Progetto di Information Security

Transcript

1 Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza dei sistemi informativi aziendali in un'ottica proattiva e svincolata da situazioni di carattere contingente.

2 Il corso L utilizzo di Internet nei processi di business delle aziende porta benefici evidenti, sia in termini di incremento di efficienza o di miglioramento delle prestazioni dei processi esistenti. Tuttavia, la rilevanza strategica dell information technology comporta nuovi e importanti rischi legati alla protezione dei dati aziendali, tanto da rendere centrale il concetto di information security. Infatti l'organizzazione del lavoro, la gestione dei progetti critici, la distribuzione delle informazioni e delle conoscenze all'interno dell'azienda ed il supporto ai processi decisionali sono ormai fortemente condizionati dalle risorse informatiche. Appare quindi evidente la necessità di affrontare il tema della sicurezza dei sistemi informativi aziendali in un'ottica manageriale ispirata alla gestione del rischio informatico e a politiche di investimento adeguate agli obiettivi aziendali, nell'ambito dei processi di pianificazione e gestione delle risorse critiche dell'azienda. I destinatari Scopo del corso Questo corso ha l'obiettivo di migliorare l'approccio metodologico alle problematiche di hacking. L'obiettivo della introduzione alle problematiche di hacking, vuole quindi dimostrare le tecniche di attacco, per fornire i giusti strumenti di difesa a chi, in seguito, avrà la responsabilità di mantenere efficiente l'infrastruttura di sicurezza aziendale. È profondamente diverso studiare le contromisure per far fronte ad un attacco, dall'effettuare un attacco. È altresì scopo del corso, quello di far crescere nei partecipanti l'interesse in un argomento, quale quello della sicurezza informatica, complesso ed impegnativo. Mantenere alto il livello di sicurezza di una infrastruttura, infatti, comporta un grosso lavoro di aggiornamento, praticamente quotidiano, da parte dei responsabili della sicurezza. Buona parte del proprio tempo deve essere dedicato alla consultazione delle risorse che la Rete mette a disposizione, correlando le informazioni che giornalmente aumentano, per applicarle alla propria realtà. Il corso è rivolto: ai manager, e in particolare ai responsabili dei Sistemi Informativi e dell'organizzazione, interessati a comprendere gli elementi di vulnerabilità e di minaccia riguardanti i sistemi informativi; ai Security Manager e a chi, a vario titolo, si occupa di sicurezza nelle aziende industriali, di servizi o della Pubblica Amministrazione; ai professionisti che operano nel campo della consulenza manageriale sui sistemi informativi aziendali. Informazioni sul corso Durata del corso 2 giorni Data di inizio

3 I contenuti del corso Il corso si articola in due giornate. Nella prima, all'interno dellanalisi della situazione aziendale, verranno analizzate le metodologie di Risk Analysis e Risk Management. La seconda giornata è dedicata all illustrazione di casi pratici riguardanti infrastrutture di sicurezza e metodologie operative. Si tratta di progetti concretamente realizzati da SecureGate come contromisure per la riduzione dei rischi evidenziati nelle analisi di Risk Management. Risk Analysis con Metodologia CRAMM - Analisi ed individuazione dei processi aziendali maggiormente critici - Individuazione dei dati che caratterizzano i processi critici - aggregazione in Data Asset utilizzando criteri differenziati. - Modellizzazione dei Data Asset per ogni processo critico - Analisi della compliance al DL 30 Giugno 2003 n. 196, denominato Codice in materia di protezione dei dati personali - Valutazione di criticità dei Data Asset considerando i 4 parametri di sicurezza: 1) Integrità; 2) Riservatezza; 3) Disponibilità; 4) Non ripudio - Rilevazione dei diversi scenari di impatto Minacce e Vulnerabilità del Sistema Informativo - Identificazione e valutazione delle minacce (fisiche, logiche ed organizzative / procedurali) che potrebbero colpire il sistema informativo aziendale. - Analisi delle Vulnerabilità -> Introduzione al workshop della seconda giornata - Definizione per ogni processo critico del suo profilo di rischio Risk Management - Valutazione del profilo di rischio - analisi delle contromisure esistenti - Definizione delle contromisure ottimali di sicurezza fisiche, logiche ed organizzativo / procedurali - Come effetuare una Gap Analysis tra le contromisure di sicurezza implementate e quelle ideali - Scelta delle contromisure: Valutazioni costo / beneficio - Definizione di un piano determini la priorità di implementazione

4 Implementazione delle Contromisure di Sicurezza - Scrittura di Policy e Procedure destinate a diverse figure aziendali - Re-engineering di un processo aziendale dal punto di vista organizzativo: implementazione di una PKI - Implementazione delle contromisure di sicurezza fisiche - Definizione della cessione a terzi del rischio residuo (cenni) Analisi del Rischio il VA - Effettuare un assessment di sicurezza - Valutazione delle Vulnerabilità di un sistema informativo - Metodologie di analisi delle vulnerabilità Come Eseguire un VA - Analisi dei sistemi informatici e telefonici - Tipologie di Analisi: 1. Vulnerability Assessment, Penetration Test, Ethical Hacking, Hos-based VA 2. Analisi da remoto e interne 3. Tool e procedure manuali - Case Study: Vulnerability Assessment di un'applicazione Web Gestione del Rischio Autenticazione di Utenti Remoti - Descrizione dello scenario - Valutazione delle Vulnerabilità: Soluzioni Tecniche - Le tecnologie di Strong Authentication Progettare un'architettura di Strong Authentication - I token One-Time-Password Hardware e Software - Integrazione con i sistemi RAS/NAS - La gestione di un sistema di Strong Authentication

5 NOTA INFORMATIVA Per qualsiasi informazione potete telefonare al numero o scrivere all indirizzo di corsi@securegate.mi.it Per iscriversi Compilare la scheda d iscrizione e spedire: via fax al numero a mezzo posta a: SECUREGATE via Vassallo 31, Milano Sede dei corsi Tutti i corsi di formazione di SecureGate si svolgeranno a Milano. Il luogo esatto dei corsi a cui partecipare sarà comunicato per iscritto. Rinvio e variazione corsi SecureGate si riserva il diritto di rinviare, annullare o modificare i corsi programmati dandone comunicazione via fax o ai partecipanti entro 3 giorni lavorativi prima della data di inizio del corso. In tal caso il suo unico obbligo è provvedere al rimborso dell importo ricevuto senza ulteriori oneri. Modalità di Pagamento Si prega di provvedere al saldo della quota d iscrizione prima della data dell incontro. Per l emissione della fattura si prega di fornire tutti i dati richiesti nel certificato d iscrizione. Copia della fattura/contratto di adesione al corso viene spedita a ricevimento del pagamento e comunque entro la data di inizio del corso. Modalità di disdetta In caso d impossibilità di partecipazione potremo accettare un altro nominativo in sostituzione, purché sia comunicato via fax almeno un giorno prima della data di inizio del corso. È possibile rinunciare all iscrizione entro e non oltre il 10 giorno lavorativo precedente la data d inizio del corso comunicando la decisione del recesso per iscritto via fax allo oppure via posta per raccomandata con ricevuta di ritorno. In tal caso verrà restituita l intera quota versata. Qualora la comunicazione di disdetta avvenga successivamente a tale data oppure avvenga di fatto con la mancata presenza al corso, sarà comunque dovuto l intero importo