Presentazione

Che valore hanno oggi le informazioni per le organizzazioni? Cosa fare per proteggerle? Come orientarsi nel complesso mondo della cibersicurezza? Questo corso introduttivo offre una prima risposta a queste domande, presentando l’approccio fornito dalle due norme CEI UNI EN ISO/IEC 27001:2024 e CEI UNI EN ISO/IEC 27002:2023, nella recente traduzione in italiano.

Sono passati più di vent’anni da quando Bruce Schneier, esperto di crittografia e di sicurezza informatica, saggista e famoso conferenziere, espresse il concetto della sicurezza come un processo e non un prodotto: ”La sicurezza è un processo, non un prodotto. I prodotti forniscono un certo livello di protezione, ma l'unico modo per condurre efficacemente il proprio business in un mondo insicuro è implementare processi che riconoscano l'insicurezza intrinseca nei prodotti. Il trucco è ridurre il rischio di esposizione indipendentemente dai prodotti o dalle patch disponibili.”

Ancora oggi però è molto forte la tentazione di risolvere il problema della “Security Posture” aziendale tramite l’acquisizione di uno o più prodotti oppure spostando la strategia alla ricerca di un “Deus ex machina”, di un eroe in grado salvare l’azienda dalla cattiva sorte (“Sventurata la terra che ha bisogno di eroi”, da “Vita di Galileo” di Bertolt Brecht).

La normazione si inserisce in questo contesto fornendo un approccio per processi frutto di trent’anni di rielaborazioni. Nel contesto di una organizzazione, la norma ISO/IEC 27001 contiene i requisiti per stabilire, implementare, mantenere e migliorare un sistema di gestione della sicurezza delle informazioni mentre la norma ISO/IEC 27002 fornisce un insieme di controlli generici di riferimento per la sicurezza delle informazioni, comprensivi di linee guida per la loro implementazione, basati su una “migliore prassi” riconosciuta a livello internazionale.

Scopo

Il corso, con un taglio pratico/operativo, ha l’obiettivo di trasmettere le conoscenze di base e gli strumenti, tramite esempi finalizzati a:

Comprendere la struttura di base delle norme, i requisiti ed i controlli, vale a dire le misure tecniche, fisiche ed organizzative che devono essere implementate per creare un sistema di gestione volto alla sicurezza delle informazioni;
Acquisire elementi sul processo di implementazione, documentazione e verifica di tale sistema;
Saper usare efficacemente la lista dei “controlli”;
Servirsi del sistema di gestione per la sicurezza delle informazioni anche in aree di "compliance" correlate (es. GDPR)

Destinatari

Titolari e Responsabili del trattamento GDPR; Responsabili per la protezione dei dati; Responsabili IT; Consulenti; Auditor di sistemi di gestione; Tecnici e Responsabili di Sistema di Gestione e compliance .

Programma

Ore 09.00 Registrazione e presentazione del corso

Ore 09.30 Inizio lavori

Introduzione alla famiglia delle norme ISO 27000, storia, definizioni e relazioni

Acronimi e definizioni
La famiglia delle norme ISO/IEC 27000, la storia e le loro relazioni
Introduzione alle norme ISO/IEC 27001 e ISO/IEC 27002
Capitoli della norma ISO/IEC 27001 (clausole)
Documenti obbligatori per la certificazione aziendale
Categorie dei controlli ISO/IEC 27002

Ore 11.00 – 11.15 Coffee break

Definizione SGSI (Sistema di Gestione della Sicurezza delle Informazioni)
Ambito di applicazione
Obiettivi della sicurezza delle informazioni
Politica di Gestione della Sicurezza delle informazioni
Modello Organizzativo
Dichiarazione di applicabilità (SOA)
Processo di gestione della sicurezza delle informazioni
Politiche di sicurezza
Procedure operative
Le persone come fattore determinante per la sicurezza delle informazioni
KPI

Valutazione e Gestione dei Rischi

Standard ISO/IEC 27005: Information Security Risk Management
Cenni alle metodologie di gestione del rischio
Criterio di accettazione del rischio
Risk assessment report
Risk treatment plan

La continuità operativa

Cenni allo standard ISO 22301 (Security and resilience – Business Continuity Management Systems) sulla continuità del business aziendale.

Alcuni esempi pratici: punti di contatto tra sicurezza e privacy

Cenni al Framework Nazionale per la Cybersecurity e la Data Protection (2019)
Controlli essenziali di Cybersecurity (2016)

Ore 13.30 Conclusione lavori e domande - Test di verifica crediti CNI

Relatori

Il relatore è l'ing. Romeo Costanzo, esperto del settore, abilitato e riconosciuto idoeno dal CEI alla docenza per questo corso.

Modalità di iscrizione

Le iscrizioni dovranno pervenire entro 7 giorni precedenti la data d’inizio del corso.

Iscrizioni posteriori a questa data, saranno accettate subordinatamente alla disponibilità dei posti. Il corso verrà confermato via e-mail una settimana prima.

Modalità di partecipazione

Il numero massimo di partecipanti è di 25.

Al termine del corso (con una frequenza minima del 90% della durata del corso) verrà rilasciato l'attestato di partecipazione CEI e gli eventuali crediti richiesti.