Security & Privacy
Security & Privacy
SICUREZZA E GESTIONE ORGANIZZATIVA
Information Security Foundation based on ISO/IEC 27002: 2013
Obiettivo
Il corso illustra i principi e gli elementi chiave della sicurezza delle informazioni con l’obbiettivo di accrescere nei partecipanti la consapevolezza del valore e della vulnerabilità delle informazioni e la conoscenza delle misure di sicurezza necessarie per proteggerle. Il corso è basato sullo standard internazionale ISO/IEC 27002:2013 “Raccolta di Prassi sui controlli per la sicurezza delle informazioni”, che contiene un ampio insieme di linee guida (Best Practice) per l’attuazione dei controlli comunemente riconosciuti per la sicurezza delle informazioni e che può essere impiegato nell’ambito dell’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) conforme alla norma ISO/IEC 27001:2013. Il corso prepara i partecipanti ad ottenere la certificazione EXIN Information Security Foundation based on ISO/IEC 27002:2013. Il corso è rivolto a chiunque sia interessato ad acquisire una conoscenza di base dei concetti e delle problematiche relative alla sicurezza delle informazioni e di quali efficaci misure possano essere attuate al fine di proteggere al meglio le informazioni, quindi : chiunque sia coinvolto nella gestione delle informazioni aziendali, Professionisti IT, Manager IT, Consulenti IT, Business Manager e Security Manager.
Destinatari
il corso è rivolto a:
Professionisti IT, Manager IT, Consulenti IT, Business Manager e Security Manager.
Programma del corso:
MODULO 1: INFORMAZIONI E SICUREZZA
concetto di informazione
il valore delle informazioni
proprietà di confidenzialità
integrità
disponibilità
MODULO 2: MINACCE E RISCHI
concetti di minaccia e di rischio
analisi del rischio
strategie di gestione dei rischi
relazione tra minacce
rischi ed affidabilità delle informazioni
MODULO 3: APPROCCIO ED ORGANIZZAZIONE
policy ed organizzazione della sicurezza
ruoli e responsabilità
gestione degli incidenti
MODULO 4: MISURE DI SICUREZZA
misure di sicurezza fisica
tecniche ed organizzative
MODULO 5: LEGGI E NORMATIVE
conformità
diritti di Proprietà Intellettuale
privacy e protezione dei dati personali
riesami della sicurezza
Pre-requisiti
per partecipare al corso:
-
Per partecipare con profitto a questo corso non sono previsti prerequisiti.E’ utile una conoscenza generale della terminologia e dei principali concetti del settore di Information Technology.
DURATA: 2GG
Privacy e trattamento dei dati nel mondo ICT (Gdpr)
Obiettivo:
Il corso è rivolto a tutti i soggetti che, nello svolgimento della propria attività professionale, trattano dati personali (di fornitori, dipendenti o semplici utenti) oltre che a professionisti del mondo dell’ICT e del marketing. Il corso analizza i principi generali della disciplina stabilita dal Codice Privacy (D.lgs 196/2003) e gli adempimenti obbligatori ivi previsti. Un particolare focus sarà dedicato al mondo dell’ICT, con un’analisi della normativa specifica prevista dal Codice e dai provvedimenti del Garante in tema di trattamento di dati in rete (siti internet, cookie, etc), App, Cloud, web marketing (attraverso mail, social network, etc.) e videosorveglianza. Si tratta di un corso con un taglio pratico, rivolto quindi a chiunque che, pur non essendo un giurista, debba gestire nello svolgimento della propria attività professionale trattamenti di dati personali in conformità al D.Lgs 196/2003.
Argomenti
MODULO 1: I CONCETTI DI “PRIVACY” E “PROTEZIONE
DEI DATI PERSONALI” E I LORO PRINCIPI
finalità
correttezza
legittimazione
qualità
esattezza.
MODULO 2: I SOGGETTI PREVISTI DAL CODICE
titolare
interessato
responsabile (interno ed esterno)
incaricato
amministratore di sistema
MODULO 3: LE TIPOLOGIE DI DATI
comuni
sensibili
anonimi
MODULO 4: GLI ADEMPIMENTI PREVISTI DAL D.LGS
196/2003
l’informativa
il consenso
le lettere d’incarico e gli atti di nomina
le misure minime di sicurezza.
MODULO 5: I DIRITTI DEGLI INTERESSATI E IL LORO
ESERCIZIO
l’opposizione al trattamento
la rettifica e l’aggiornamento dei dati
MODULO 6: IL TRATTAMENTO DATI IN INTERNET
Il trattamento dati in Internet.
La privacy nei siti web (privacy policy, cookie, etc.).
Pre-requisiti
per partecipare al corso:
- Nessuno in particolare
A chi è rivolto
a tutti i titolari del trattamento dei dati pubblici e privati
DURATA: 1GG
Corso Sicurezza & Privacy Amministratori di sistema
Obiettivo
Il corso fornisce una panoramica sugli adempimenti legati al provvedimento dell’Autorità Garante della Privacy in merito agli Amministratori di sistema. Nel corso verranno discussi gli aspetti regolamentari e tecnici del provvedimento, i ruoli, le responsabilità e gli adempimenti formali.
Destinatari
il corso è rivolto a:
Il corso si rivolge a IT admins
Programma del corso:
D.lgs 196/2003
Definizione e panoramica generale
Definizioni, obiettivi e fonti
Il provvedimento sugli “Amministratori di sistema”
Valutazione delle caratteristiche soggettive
Designazioni individuali
Elenco degli amministratori di sistema
Servizi in outsourcing
Verifica delle attività
Registrazione degli accessi
Cosa fare
Analisi degli skill delle risorse
Caratteristiche delle nomine
Inventario dei sistemi e mappature degli amministratori
Definire un sistema di auditing
Le soluzioni tecnologiche
DURATA: 1GG
Amministrazione aperta trasparenza e de-certificazione
Obiettivo
Questo programma mette in evidenza le indicazioni normative contenute nel Decreto Legislativo 14 marzo 2013, n. 33: “La trasparenza è intesa come accessibilità totale delle informazioni concernenti l’organizzazione e l’ attività delle pubbliche amministrazioni, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche. La trasparenza, nel rispetto delle disposizioni in materia di segreto di Stato, di segreto d’ufficio, di segreto statistico e di protezione dei dati personali, concorre ad attuare il principio democratico e i principi costituzionali di eguaglianza, di imparzialità, buon andamento, responsabilità, efficacia ed efficienza nell’utilizzo di risorse pubbliche, integrità e lealtà nel servizio alla nazione. Essa è condizione di garanzia delle libertà individuali e collettive, nonché dei diritti civili, politici e sociali, integra il diritto ad una buona amministrazione e concorre alla realizzazione di una amministrazione aperta, al servizio del cittadino.
Destinatari
il corso è rivolto a:
IT Admins
Programma del corso
Organizzazione e funzioni dell’amministrazione
I dati pubblicati
Dati informativi sull’organizzazione e i procedimenti
Dati informativi relativi al personale
Dati relativi a incarichi e consulenze
Dati sui servizi erogati
Dati sulla gestione economico-finanziaria dei servizi pubblici
Dati sulla gestione dei pagamenti
Dati relativi alle buone prassi
Dati su sovvenzioni, contributi, crediti, sussidi e benefici di natura
economica
Dati sul public procurement
Dati ex legge n. 190/2012
Modalità di pubblicazione on line dei dati
Posta elettronica certificata (PEC)
Procedimento di elaborazione e adozione del Programma
Le iniziative per la trasparenza e le iniziative per la legalità e la
promozione della cultura dell’integrità
Ulteriori iniziative di pubblicazione
Attività di promozione e di diffusione dei contenuti del Programma e dei
dati pubblicati
Sistema di monitoraggio interno sull’attuazione del Programma
DURATA: 1GG
Privacy officer e le misure di sicurezza (gdpr)
Descrizione del corso:
Obiettivo:
Attraverso un compiuto quadro normativo, fornire al partecipante le conoscenze necessarie per svolgere in modo efficace il ruolo di consulente della privacy e privacy officer in ordine alla individuazione e alla adozione di un complesso organizzato di misure idonee di sicurezza in conformità alle prescrizioni del Codice della Privacy.
Programma del corso:
- Modulo 1: Principi e nozioni generali
Principi generali;
Ambiti di applicazione della norma;
Definizioni;
Liceità del trattamento;
Informativa e consenso;
Diritti dell’interessato;
Diritto all’oblio;
Diritto alla portabilità dei dati;
Privacy by design;
Privacy by default;
Titolare del trattamento e suoi obblighi e responsabilità;
Responsabile del trattamento
Modulo 2: Predisporre la sicurezza dei dati
Documentazione obbligatoria (Registro del trattamento)
Sicurezza dei dati e necessità di misure adeguate
Data Breach | Violazione dei dati personali
Data Protection Impact Assessment (DPIA)
Sanzioni
Autorità di controllo (Garanti Privacy) | competenza;
Le Linee Guida del WP29
Data ProtectionOfficer (DPO)
Modulo 3: Il Privacy Officer
La figura del Privacy Officer
Il codice per la protezione dei dati personali e la sicurezza dei dati
dei sistemi
Articolazione delle misure di sicurezza: le misure minime e le
misure idonee
I reati informatici
Il Dlgs 231/2011 e il computer crimes
Modulo 4: Rischi sulla sicurezza dei dati
Le conseguenze derivanti dalla mancata adozione delle misure di
sicurezza
I rischi che incombono sulla sicurezza e riservatezza dei dati
aziendali
I profili dei potenziali nemici
Le nuove minacce: phishing, furto d’identità, pharming, etc.
Analisi dei rischi, le aree vulnerabili dell’azienda
La protezione dalle intrusioni: skills & tools
La formazione degli incaricati come misura di prevenzione
Salvataggio e ripristino dei dati - Supporti removibili
Procedure, audit, azioni correttive: organizzare un sistema di
protezione dei dati efficace
Pre-requisiti
per partecipare al corso:
Conoscenza minima della normativa
DURATA: 2GG
Il Regolamento UE Generale sulla protezione dei dati personali n. 679/2016
Descrizione del corso:
Il 4 Maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
Obiettivo:
Il corso intende fornire una analisi pratica del quadro generale di insieme e dei nuovi adempimenti privacy dal momento che sono parecchie le novità introdotte che si traducono in obblighi organizzativi, documentali, tecnici e di personale che tutti i titolari del trattamento pubblici e privati dovranno implementare nel biennio, di seguito si riportano – in schede pratiche raggruppate in base alle più importanti tematiche del Regolamento – le principali novità introdotte dal Regolamento (rispetto alla normativa vigente) e i temi che tutti i titolari del trattamento devono fin da subito considerare e tenere presenti per garantire la totale compliance dei trattamenti entro la data di entrata in vigore del nuovo quadro normativo privacy
Programma del corso:
- Ambito di applicabilità soggettiva e territoriale del nuovo Regolamento e nuove definizioni giuridiche dei concetti privacy
- Dati personali comuni, sensibili e giudiziari: definizioni e regole per il trattamento
- Le figure soggettive privacy: Titolare del trattamento, Responsabile del trattamento, persone autorizzate al trattamento, rappresentante designato del titolare trattamento
- Il nuovo obbligo di redazione e detenzione del Registro generale delle attività di trattamento svolte
- Il nuovo obbligo della valutazione preventiva d’impatto sulla protezione dei dati
- I nuovi obblighi c.d. di privacy by design e privacy by default
- La nuova Informativa privacy rafforzata
- Il consenso al trattamento dei dati personali, anche dei minori
- Il nuovo diritto alla portabilità dei dati
- La notifica della violazione dei dati personali (“Data Breach”)
- Trasferimento dei dati personali al di fuori dell’Unione Europea
- La disciplina del diritto all’oblio e dei trattamenti di profilazione
- Il nuovo apparato sanzionatorio
Pre-requisiti
Conoscenza minima della normativa
DURATA: 1GG
Il Data Protection Officer DPO (Gdpr)
Descrizione del corso:
Obiettivo:
Il 4 Maggio 2016 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”. Il Regolamento entrerà in vigore il 25 Maggio 2016 e sarà concretamente operativo nei Paesi UE a decorrere dal 25 maggio 2018, lasciando a tutti i soggetti interessati un biennio di tempo per gli adeguamenti necessari alle proprie politiche del trattamento dei dati. Per quanto riguarda l’Italia, il Regolamento sostituirà il “Codice Privacy” in vigore dal 1° Gennaio 2004. Il D.P.O. deve essere designato sulla base dell’approfondita conoscenza della normativa sulla protezione dei dati e sulla capacità di svolgere i compiti previsti all’Articolo 39 del nuovo Regolamento UE con, inoltre, un background tecnico ed organizzativo in merito al trattamento dei dati personali; può essere un soggetto interno all’azienda oppure un soggetto esterno che assolve i propri compiti sulla base di un contratto di servizi.
Programma del corso:
MODULO 1: PRINCIPI E NOZIONI PER IL “DPO”
La normativa italiana cogente: il D.Lgs. 196/03, ambito di
applicazione, definizioni, principi generali
Il nuovo Regolamento Europeo della Privacy
Trattamento e tipologia di dati
I diritti dell’interessato, informativa e consenso
Come redigere un’informativa
Organigramma Privacy nelle aziende, Ruoli e Responsabilità
Come nominare un responsabile ed individuare un incaricato
del trattamento
Analisi dei rischi
Sistema di Gestione della Sicurezza delle Informazioni (ISMS)
Misure di Sicurezza, minime e idonee
L’Amministratore di Sistema
Notificazione del trattamento al Garante
Il Garante della Privacy: compiti e funzioni
Sanzioni, violazioni amministrative e penali, risarcimento del
danno
MODULO 2: LA NUOVA FIGURA DEL “DPO”
La figura del Data Protection Officer
Professionalità ed esperienza per un ruolo da leader
Casi complessi e regole vigenti
Privacy e Statuto dei Lavoratori
La videosorveglianza in Azienda
Cookie e Privacy: istruzioni per l’uso
Policy e Privacy sul lavoro (uso della posta
elettronica aziendale ed internet)
Marketing e Telemarketing: il Registro delle Opposizioni
Conservazione dei dati di traffico per fatturazione
o repressione dei reati
Regole per la sicurezza dei dati in rete e nelle
telecomunicazioni
MODULO 3: REGOLE VIGENTI E PIANIFICAZIONE DELLE
ATTIVITÀ DEL “DPO”
Il Sistema di Gestione della Privacy
Il Cloud Computing: profili privacy
Dati e Dossier Sanitari
Data Breach
Il trasferimenti di dati all’estero: BCR e autorizzazioni del
Garante
Safe Harbor, Sentenza della Corte di Giustizia dell’Unione
Europea e Privacy Shield
Conservazione sostitutiva
MODULO 4: SISTEMI DI GESTIONE INTEGRATI
L’integrazione del Sistema di Gestione della Privacy con il
Sistema di Gestione Qualità (ISO 9001) ed il Sistema di
Gestione della Sicurezza informativa (ISO 27001)
Il D.Lgs. 231/01 ed i reati informatici
Integrazione del modello organizzativo 231 (ex D.Lgs.231/01)
e modello Privacy
La norma ISO 19011 applicata all’attività di audit sui processi
di trattamento dei dati personali
Pre-requisiti
Conoscenza minima della normativa
DURATA: 3GG
Metodologia e fasi dell’ Information Security Risk Management
Obiettivo:
Per information security risk management viene definito il processo di identificazione, controllo, eliminazione o minimizzazione di eventi incerti che possono danneggiare le risorse di un sistema IT. L’Information Security Risk Management dagli anni ’70 è uno degli aspetti fondamentali della Corporate Governance. Il corso si prefigge l’obiettivo di fornire ai partecipanti i concetti, gli strumenti e le metodologie di approccio al Risk Management nel settore informatico.
Programma del corso:
MODULO 1: RISK MANAGEMENT CONCETTI GENERALI
Classificazione dei rischi.
Misurazione del rischio.
Mappatura del rischio.
MODULO 2: FATTORI CHIAVE DEL PROCESSO DI RISK
MANAGEMENT
Metodologia e fasi della Gestione del Rischio IT:
Definizione di Rischio informatico.
Relazione fra Rischio, Asset e Processi.
Le metriche del Rischio.
Valutazione dei rischi: approccio quantitativo,
qualitativo ed ibrido.
Fasi di gestione del Rischio.
MODULO 3: METODI DI GESTIONE DEL RISCHIO E
STANDARD DI RIFERIMENTO
Metodi di Risk Management.
Lo standard ISO/IEC 31000 .
Lo standard ISO/IEC 27005.
Il metodo Mehari.
La Metodologia de Analisis y Gestion de Riesgos de los
Sistemas de Informacion (MAGERIT).
MODULO 4: FONTI TASSONOMICHE PER LA DEFINIZIONE
DELLE MINACCE E DELLE VULNERABILITÀ
Classificazione delle minacce.
Concetto di vulnerabilità e classificazione.
Le metriche della vulnerabilità.
MODULO 5: PIANO DI GESTIONE DEL RISCHIO IT
Analisi del piano di Gestione del Rischio.
Casi di studio.
Pre-requisiti
Conoscenza minima della normativa
DURATA: 3 GG
Risk Evaluation e Business Impact Analysis
Obiettivo:
La valutazione dei rischi e l’analisi degli impatti sono due fasi del cosiddetto “studio del contesto”, cioè del processo di identificazione delle esigenze di continuità di un’organizzazione. Tramite il risk assessment si determinano i rischi a cui è soggetta l’organizzazione, si analizzano le vulnerabilità e si identificano le possibili salvaguardie. La business impact analysis ha invece lo scopo di determinare le conseguenze derivanti dal verificarsi di ciascun evento critico e di valutarne l’impatto sull’operatività dell’organizzazione. Il corso si prefigge di fornire ai partecipanti i concetti, gli strumenti e le metodologie di approccio al Risk assessment e alla Business Impact Analysis BIA nell’ottica della realizzazione dei Piani di Disaster Recovery e di Business Continuity.
Programma del corso:
MODULO 1: ENTERPRISE RISK MANAGEMENT E BUSINESS
CONTINUITY
Business Continuity Management e Disaster
Recovery concetti generali.
Approcci metodologici.
Gli standard di riferimento.
MODULO 2: METODOLOGIA E FASI DELLA GESTIONE DEL
RISCHIO IT
Definizione di Rischio informatico.
Relazione fra Rischio, Asset e Processi.
Le metriche del Rischio.
Valutazione dei rischi: approccio quantitativo,
qualitativo ed ibrido.
Fasi di gestione del Rischio.
Standard di riferimento.
MODULO 3: FONTI TASSONOMICHE PER LA DEFINIZIONE
DELLE MINACCE E DELLE VULNERABILITÀ:
Classificazione delle minacce.
Concetto di vulnerabilità e classificazione.
Le metriche della vulnerabilità.
MODULO 4: PIANO DI GESTIONE DEL RISCHIO IT
Analisi del piano di Gestione del Rischio.
Casi di studio.
MODULO 5: BUSINESS IMPACT ANALISYS (BIA)
Obiettivi.
Metodi di approccio alla BIA.
Standard di Riferimento.
Cenni sugli strumenti messi a disposizione
dall’AGiD(Agenzia per l’Italia Digitale).
Casi di studio
Angular translate
- Modulo 1: Principi e nozioni generali
Principi generali;
Ambiti di applicazione della norma;
Definizioni;
Liceità del trattamento;
Informativa e consenso;
Diritti dell’interessato;
Diritto all’oblio;
Diritto alla portabilità dei dati;
Privacy by design;
Privacy by default;
Titolare del trattamento e suoi obblighi e responsabilità;
Responsabile del trattamento
Modulo 2: Predisporre la sicurezza dei dati
Documentazione obbligatoria (Registro del trattamento)
Sicurezza dei dati e necessità di misure adeguate
Data Breach | Violazione dei dati personali
Data Protection Impact Assessment (DPIA)
Sanzioni
Autorità di controllo (Garanti Privacy) | competenza;
Le Linee Guida del WP29
Data ProtectionOfficer (DPO)
Modulo 3: Il Privacy Officer
La figura del Privacy Officer
Il codice per la protezione dei dati personali e la sicurezza dei dati
dei sistemi
Articolazione delle misure di sicurezza: le misure minime e le
misure idonee
I reati informatici
Il Dlgs 231/2011 e il computer crimes
Modulo 4: Rischi sulla sicurezza dei dati
Le conseguenze derivanti dalla mancata adozione delle misure di
sicurezza
I rischi che incombono sulla sicurezza e riservatezza dei dati
aziendali
I profili dei potenziali nemici
Le nuove minacce: phishing, furto d’identità, pharming, etc.
Analisi dei rischi, le aree vulnerabili dell’azienda
La protezione dalle intrusioni: skills & tools
La formazione degli incaricati come misura di prevenzione
Salvataggio e ripristino dei dati - Supporti removibili
Procedure, audit, azioni correttive: organizzare un sistema di
protezione dei dati efficace
Pre-requisiti
Conoscenza minima della normativa
DURATA: 3GG
Il Regolamento UE Generale sulla protezione dei dati personali n. 679/2016 (GDPR)
Descrizione del corso:
Obiettivo:
Attraverso un compiuto quadro normativo, fornire al partecipante le conoscenze necessarie per svolgere in modo efficace il ruolo di consulente della privacy e privacy officer in ordine alla individuazione e alla adozione di un complesso organizzato di misure idonee di sicurezza in conformità alle prescrizioni del Codice della Privacy.
Programma del corso:
Ambito di applicabilità soggettiva e territoriale del nuovo
Regolamento e nuove definizioni giuridiche dei concetti privacy
Dati personali comuni, sensibili e giudiziari: definizioni e regole per
il trattamento
Le figure soggettive privacy: Titolare del trattamento, Responsabile
del trattamento, persone autorizzate al trattamento, rappresentante
designato del titolare trattamento
Il nuovo obbligo di redazione e detenzione del Registro generale
delle attività di trattamento svolte
Il nuovo obbligo della valutazione preventiva d’impatto sulla
protezione dei dati
I nuovi obblighi c.d. di privacy by design e privacy by default
La nuova Informativa privacy rafforzata
Il consenso al trattamento dei dati personali, anche dei minori
Il nuovo diritto alla portabilità dei dati
La notifica della violazione dei dati personali (“Data Breach”)
Trasferimento dei dati personali al di fuori dell’Unione Europea
La disciplina del diritto all’oblio
Pre-requisiti
Conoscenza minima della normativa
DURATA: 1GG