Corso - Diventare Responsabile della sicurezza del Sistema Informativo

PARTE 1: IL COMPITO DEL CISO, IL SUO RUOLO, LE SUE RESPONSABILITÀ, IL SUO AMBITO DI AZIONE E LE SUE MODALITÀ DI LAVORO

1 - Introduzione: quali sono le sfide della sicurezza informatica?

• Alcune definizioni, ambiti e terminologie di base
• Problemi, minacce e rischi

2 - Le missioni del CISO

• Consulenza alla Direzione Generale su obblighi di legge e rischi informatici
• Formalizzare una strategia e definire un piano d'azione
• Partecipare alla creazione della governance
• Consigliare e assistere la gestione del progetto e la gestione del progetto
• Formare, sensibilizzare
• Eseguire un controllo proattivo
• Verificare ed eseguire controlli di conformità e misurare l'efficacia

3 - Obblighi di legge e requisiti

• Illecito e responsabilità contrattuale
• Obblighi di legge
• Rispetto della privacy / Segretezza della corrispondenza
• GDPR: regolamento generale sulla protezione dei dati
• SOX: Sarbanes Oaxley
• Normativa italiana
• CPI: Codice della Proprietà Intellettuale

4 - Individuazione delle autorità competenti e degli standard

• PCI DSS
• Garante della Privacy
• AGID
• ACN

5 - Contratti

6 - Governance della sicurezza informatica

• Livelli di maturità e tipi di organizzazione
• Il comitato direttivo, arbitrale, di monitoraggio e di approvazione
• Percorso gerarchico e percorso funzionale
• Collegamenti con altri settori
• Notifica di incidente, gestione degli avvisi

7 - Formalizzazione di una strategia di sicurezza informatica

• Aggiunta di strumenti e best practice
• Orientato ai problemi o orientato all'ISMS
• Passi nella formalizzazione di una tabella di marcia

8 - Gestione del rischio

• Lo standard ISO 31000
• Norma ISO27005
• Casi studio
• Norma ISO 27002
• Norma ISO 27001

9 - La definizione di un repository

• Lettera di impegno della direzione
• Lettera di nomina RSSI
• La politica generale di protezione delle informazioni
• Come costruire la politica di sicurezza del sistema informativo?
• Policy e procedure

PARTE 2: DALLA TEORIA ALLA PRATICA

10 - Lo stato dell'arte delle soluzioni tecniche di sicurezza IT

• Sicurezza degli accessi: filtraggio, filtraggio delle applicazioni (WAF, autenticazione, autorizzazione, rilevamento delle intrusioni, logging, supervisione
• Sicurezza commerciale
• Sicurezza dei server: hardening, hosting
• La sicurezza delle postazioni di lavoro fisse e mobili
• Sicurezza delle applicazioni

11 - Architetture di sicurezza

• Periferiche
• In depth

12 - Introduzione alla continuità operativa e ai piani di emergenza

• Fondamenti di continuità aziendale
• Lo standard ISO 22301
• Le fasi di un progetto di business continuity
• Il piano di disaster recovery

13 - Tenendo conto del fattore umano

• Sensibilizzazione (Awareness)
• Formazione
• Comunicazione

14 - Monitoraggio legale e tecnico sicurezza informatica

15 - Controllo e audit

• Definizione degli indicatori di controllo
• Test intrusivi
• Formalizzazione e aggiornamento dei cruscotti

16 - Suggerimenti generali per il successo nel tuo ruolo di CISO

• Gli ostacoli e le difficoltà incontrate dai CISO (feedback)
• Appropriazione corretta e buona comunicazione del ruolo del CISO