Cyber Risk. SAA Scuola Assicurativa Assinform ASSINFORM. 12 moduli di un ora. 6 ore nel ore nel 2019

Transcript

1 ASSINFORM SAA Scuola Assicurativa Assinform Cyber Risk La collana e-learning di formazione continua ed operativa per gli intermediari di assicurazione 12 moduli di un ora unità didattiche divise in pillole da 10/15 minuti 6 ore nel ore nel 2019 ASSINFORM Società certificata UNI EN ISO 9001:2008 Settori EA 37 - EA 08 - EA 35

2 La lettera al mercato IVASS del 29 dicembre 2017 per gli intermediari assicurativi Estratto dalla lettera dell IVASS Esiti dell indagine conoscitiva sui presidi degli intermediari tradizionali per la gestione delle informazioni e la prevenzione dei rischi informatici. Indicazioni per gli intermediari. Fondamentale, sempre sul piano della prevenzione, sarà l accrescimento delle conoscenze informatiche degli intermediari stessi e dei collaboratori e dipendenti. A tal fine l istituto si attende che una quota del 20% del monte ore di formazione biennale obbligatoria per l aggiornamento professionale, ex articolo 7 del Regolamento IVASS n. 6/2014, sia dedicata, a partire dal 2018, ai temi della sicurezza informatica. La Collana e-learning sul Cyber Risk 12 moduli di un ora - pillole didattiche di 10 / 15 minuti Il metodo didattico ASSINFORM consente agli intermediari una partecipazione attiva ed esperienziale Analisi dei casi in base alla frequenza di rischio Non più formazione una tantum ma a rilascio mensile e a norma IVASS Reg. 6/2014 di moduli da un ora ciascuno a loro volta composti da pillole di minuti. Ogni pillola propone un caso reale da risolvere e approfondire. Il programma delle 12 ore complessive, completate entro il biennio , è strutturato per analizzare tutte le principali tematiche del cyber risk, dando priorità agli eventi che accadono con maggior frequenza. Coinvolgimento continuo L approccio pratico consente al discente di riflettere sulle sue abitudini e grazie alle nuove tecniche di gamification e storytelling si sente costantemente coinvolto e stimolato a migliorarle.

3 Questioni generali Frodi e truffe online L'economia sommersa del Cybercrimine Aggiornamenti di sistemi e software Il backup ed il ripristino Posta elettronica Phishing Spam Collegamenti malevoli Allegati Moduli all'interno di messaggi Virus e malware Virus ed antivirus Keylogger Ransomware Vettori d'attacco: dispositivi USB, macro di Office APT: advanced persistent threat Password ed autenticazione Attacchi alle password Complessità delle password Consigli per scegliere una password robusta Gestione degli account sensibili ( personale, account bancario/paypal, siti di commercio on-line) Furti di credenziali Autenticazione a due fattori Navigazione Web Siti fraudolenti Differenze fra http ed https Sicurezza dei pagamenti on-line Siti fraudolenti ed https Auto-completamento dei moduli Pop up malevoli Aggiornamenti del browser Dispositivi mobili Il codice PIN e password robuste (abilitare l'auto-lock) Cifratura e confidenzialità dei dati Sicurezza della posta elettronica nei dispositivi mobili App malevole e permessi Utilizzo sicuro di Wi-Fi e Bluetooth Backup Aggiornamenti App e sistema Posta elettronica certificata e firma digitale Funzionamento della PEC Modalità di registrazione di casella PEC Introduzione alla firma digitale Delega all'utilizzo di pec e firma digitale Attacchi di phishing via PEC Connessioni Wi-Fi Utilizzo di connessioni Wi-Fi pubbliche Sicurezza Wi-Fi a casa ed in ufficio Connessioni VPN I temi delle 12 ore programma AGENDA CORSI a ora giugno 2 a ora luglio 3 a ora agosto 4 a ora settembre 5 a ora ottobre 6 a ora novembre AGENDA CORSI a ora febbraio 8 a ora marzo 9 a ora aprile 10 a ora maggio 11 a ora giugno 12 a ora luglio Attestazione crediti IVASS Nel 2018 saranno erogati 6 moduli di un ora ciascuno per complessivi 6 crediti IVASS che rappresentano il 20% del monte ore formazione obbligatoria dell anno. È così rispettata la richiesta dell IVASS. Lo stesso dicasi per l agenda cyber risk e-learning Al termine di ogni modulo, erogato alle scadenze indicate nelle agende , sarà somministrato il test finale che darà diritto al credito IVASS di un ora. Normativa Privacy Le pillole conterranno inoltre specifici riferimenti sulle implicazioni normative legate alla divulgazione di dati personali e sulle responsabilità dei soggetti coinvolti.

4 1 modulo da 60 minuti 1. Il cybercrime Partendo da una tematica conosciuta come la navigazione web, porremo l attenzione sul crimine informatico, toccando i seguenti punti: Frodi e truffe online Ritorni economici: modalità di monetizzazione del cybercrime 2. Phishing Saranno trattati in linea generale i rischi derivanti dall uso della posta elettronica, in particolare verrà trattato l argomento del phishing: quali sono le minacce, i rischi e le soluzioni al problema. 5. Le connessioni Wi-Fi (reti pubbliche) Si parlerà di reti Wi-Fi pubbliche e di quanti e quali rischi sono sottovalutati nel loro utilizzo. Verranno fatti alcuni esempi di attacchi. 3. La navigazione Web Sarà trattato l argomento della navigazione web, introducendone i rischi ed alcune misure di sicurezza. Differenze fra http ed https Pagamenti on-line Siti fraudolenti ed https, la verifica dei certificati 4. Uso di dispositivi Mobili Verranno introdotti alcuni accenni su come utilizzare i dispositivi mobili per navigare online in modo sicuro e consapevole.

5 2 modulo 1. Password L importanza di saper scegliere una password sicura è il primo grado di difesa dalle intrusioni informatiche. Differenza tra ID e Password Come scegliere una password efficace 2. La posta elettronica Gli attacchi informatici più frequenti colpiscono attraverso la posta elettronica, verranno approfonditi alcuni concetti visti nel primo modulo inerenti alla posta elettronica. Lo Spam Come riconoscere le mail malevole 3. App Malevole e Permessi Qualsiasi applicazione per dispositivi mobili necessita di autorizzazioni e permessi per poter funzionare correttamente, espediente che molte applicazioni malevole sfruttano per poter accedere ai dati nei dispositivi. Cosa sono i Permessi In che modo le app malevole sfruttano i permessi Quali Permessi occorre disattivare per tutelarsi 4. La Crittografia Verrà affrontato il tema della crittografia, dai primi espedienti per cifrare dei testi alle più recenti strategie di codifica End-To-End, con facili esempi e una simulazione dove l utente veste i panni di un pirata informatico che tenta di effettuare un attacco. Crittografia End-To-End Integrità, Affidabilità e Confidenzialità dei dati L attacco Man-In-The-Middle 3 modulo 1. Sicurezza Wi-Fi Verrà trattato il tema della sicurezza nelle connessioni wireless e spiegata l importanza della selezione dell adeguato protocollo di sicurezza. Le vulnerabilità dei protocolli di sicurezza obsoleti Il protocollo WPA2 Come impostare correttamente un router Wi-Fi 2. I Cookie Ogni sito web utilizza varie tipologie di cookie per poter funzionare, alcuni di questi hanno finalità di profilazione utenti e possono essere disattivati. Cosa sono i cookie Quali tipologie di cookie esistono Rischi annessi a un utilizzo improprio dei cookie Come riconoscere e attivare/disattivare i cookie 3. Ransomware Verrà fatto un approfondimento sul malware più dannoso attualmente in circolazione, il Ransomware. Come funzionano i Ransomware In che modo è possibile contrarre l infezione Suggerimenti su come comportarsi in caso di Ransomware installato sul proprio computer 4. Vettori di Attacco - Dispositivi USB Una minaccia da non sottovalutare è rappresentata dai dispositivi USB compromessi, l argomento tratterà di quali sono le minacce e perchè attacchi di questo tipo sono così efficaci Cosa sono i dispositivi USB In che modo un dispositivo può essere manomesso Quali sono i danni e come prevenirli ASSINFORM Società certificata UNI EN ISO 9001:2008 Settori EA 37 - EA 08 - EA 35

6 1. Malware e Antivirus Verranno trattate le varie tipologie di malware per meglio capire in che modo le infezioni possono risultare dannose. In seguito si parlerà dei software nati per contrastare tali minacce: gli antivirus. Le varie famiglie di malware Caratteristiche e funzionamento degli antivirus 2. Allegati e Link Malevoli Si approfondirà l argomento dei link malevoli e degli allegati di posta, scendendo nel dettaglio delle estensioni di file più comuni utilizzate per la veicolazione di software dannoso Differenza tra link e url Cosa sono e come si risconoscono le estensioni 3. Backup e Ripristino Sarà trattato l argomento del backup informatico, specificando le varie tipologie di supporto multimediale su cui è possibile salvare i dati Le principali unità di memoria Criticità e vantaggi di ogni supporto 4. Ingegneria Sociale Verranno trattate diverse tipologie di truffe condotte attraverso raggiri informatici con lo scopo di educare a riconoscere le minacce più comuni presenti sul web Vishing e Phishing Impersonificazione 4 modulo

7 5 modulo 1. La firma digitale La firma digitale è un pratico strumento di certificazione che garantisce la confidenzialità di messaggi e documenti inviati tramite un canale di comunicazione non sicuro, come internet. Cos è e a cosa serve la firma digitale I dispositivi di firma più sicuri 2. Cosa sono i trojan Un approfondimento sulla pericolosità di questo tipo di minaccia informatica e le conseguenze derivate. Distinzione tra Trojan e altri tipi di malware Modalità di attacco e conseguenze 3. Le connessioni VPN In alcune circostanze è bene nascondere i propri dati di navigazione avvalendosi di servizi VPN disponibili sia per privati che per aziende Vantaggi nell utilizzo di una VPN Tipologie di collegamento ed estensione reti 4. cifratura nei disp. mobili Prevenire il furto dei dati degli utenti è un argomento sensibile per i vari produttori, ma non tutti i dispositivi mobili hanno abilitata questa funzione e non sempre gli utenti sanno come sfruttarla in modo ottimale. Cos è la crittografia nei dispositivi mobili Come verificare se il proprio dispositivo stia applicando la crittografia I metodi di sblocco e gli accessi abusivi 6 modulo 1. Sicurezza bluetooth Dietro questo comodo strumento per la connessione senza fili tra dispositivi possono celarsi pericolosi attacchi informatici. Cos è la tecnologia Bluetooth Quali sono i rischi Le precauzioni da adottare 2. Cifratura della posta Se la firma digitale risolve il problema della confidenzialità nelle comunicazioni su un canale non sicuro, la cifratura risolve il problema della riservatezza, rendendo illeggibile il contenuto dei messaggi a chi non possiede le chiavi di decodifica necessarie. Come cifrare le mail personali La scelta del provider di posta 3. Attacchi reali Esempi di attacchi di Phishing tratti da contesti reali, mediante simulazione di fraudolente. Attacchi via DropBox Attacchi via LinkedIn 4. Gestione dei dati sensibili Ogni volta che un utente utilizza un qualsiasi browser per navigare online molti dei suoi dati sensibili possono essere salvati e immagazzinati per permettere il completamento automatico, una funzione utile che però può comportare gravi problemi di sicurezza. Cos è il completamento automatico e come disabilitarlo nei vari browser di posta Rischi e tipologie di attacco Per contatti: vialmin@assinews.it tel