Introduzione
Questo corso fornisce gli strumenti per definire un programma di analisi e gestione del rischio all’interno di organizzazioni complesse.
Obiettivi del corso
L’obiettivo da raggiungere con il presente modulo è preparare i partecipanti ad acquisire le competenze necessarie per identificare, valutare e gestire i rischi per la sicurezza dell'informazione all'interno di un'organizzazione.
A chi si rivolge
Professionisti della sicurezza dell'informazione, manager IT, auditor IT, consulenti di sicurezza, compliance officer e altri professionisti che desiderano acquisire competenze avanzate nella gestione del rischio.
Requisiti per l’accesso
Conoscenza di base dei concetti di sicurezza dell'informazione e delle best practice per la gestione della sicurezza dell'informazione.
Contenuti del corso
Il corso copre i concetti e le tecniche di base per la gestione del rischio e della sicurezza delle informazioni, nonché le best practice per la pianificazione, la progettazione e l'implementazione di sistemi di sicurezza dell'informazione efficaci.
Modulo 1
Definizione del concetto di rischio
Tipologie di rischi operativi (tecnologici, organizzativi, legali, reputazionali, di processo)
Elementi costitutivi del rischio (minacce e vulnerabilità)
Requisiti per la gestione del rischio
Modulo 2
Approccio multilaterale al rischio (stakeholder, view e view point)
Struttura metodologica di alto livello (identificazione, analisi, valutazione, gestione)
Identificazione: minacce, vulnerabilità e asset
Analisi: qualitativa, semi quantitativa, quantitativa
Valutazione: metodi e tecniche
Gestione: rischio inerente e residuo, soglie di accettabilità, piani di remediation e scelte strategiche
Risk management e continuità operativa
Modulo 3
Introduzione alle best practices e standard di settore
ISO 27005 – Risk management
NIST SP 800-37 REV. 2 9 - SP 800–30 REV.1 9 - SP 800–39 10 - SP 800–82 REV. 2
OCTAVE
ISACA RISK IT FRAMEWORK
MEHARI
EBIOS RISK MANAGER (Expression Des Besoins Et Identification Des Objectifs
De Sécurité)
FAIR - Factor Analysis Of Information Risk
Modulo 4
Risk management e normative cogenti
Il quadro della normazione europea e le norme “risk based”
Gestione dei rischi e protezione dei dati (GDPR)
Gestione dei rischi nel sistema finanziario
Gestione dei rischi nelle infrastrutture critiche
Modulo 5
Monitoraggio e controllo dei rischi
Monitoraggio continuo dei rischi identificati
Analisi dei trend dei rischi nel tempo
Revisione periodica del risk management plan
Comunicazione e reportistica dei risultati
Modulo 6
Esercitazioni e simulazioni
Durata: 3 giorni