Corso - Auditing e controllo della sicurezza informatica

1 - Premessa: richiamo alle problematiche e agli obblighi in tema di gestione del SGSI

• Definizioni
• Promemoria sui principi di un sistema di gestione del SGSI (ISO 27001)
• Requisiti normativi e legali per la gestione del SGSI

2 - Ruoli e responsabilità in termini di indirizzo e monitoraggio del SGSI

• Ruoli e responsabilità degli attori coinvolti nel SII (Direzione Generale, Direzioni Aziendali, DSI, RSSI, DPO, Revisore, Auditor, controllo interno, ecc.)
• Organi decisionali
• La governance da progettare nell'ambito della gestione e del monitoraggio del SGSI

3 - Verifica della sicurezza informatica

• Categorie di audit (audit della configurazione, test intrusivi, audit del codice, ...)
• L'approccio che deve essere adottato dal revisore (preparazione della missione, svolgimento della missione, restituzione della missione, metriche, ecc.)
• L'audit nell'ambito del subappalto
• Certificazione dei revisori
• La presa in considerazione dei risultati dell'audit da parte dell'ente (arbitrato, miglioramento dei sistemi operativi, ecc.)
• Indicatori di monitoraggio dell'audit

4 - Cruscotti di sicurezza informatica

• Gli approcci proposti (norme ISO 27004)
• Categorie di indicatori di sicurezza a livello strategico e operativo
• La costruzione e la fornitura di cruscotti di sicurezza informatica
• Il trattamento delle difformità (identificazione delle non conformità, definizione delle misure correttive, ecc.)

5 - Controlli di sicurezza informatica

• Controlli permanenti (intrusion detection, log management, logging, ecc.)
• Verifiche periodiche (survey, trace management, ecc.)
• Revisioni della direzione (approccio, obiettivi, ecc.)

6 - Considerazione di audit, tabelle e controlli di sicurezza negli approcci progettuali

• Le nuove regole europee imposte dal regolamento europeo (Privacy By Design)

7 - Caso di studio

• Implementazione di dashboard SGSI