Cybersecurity: come proteggere l’impresa

Il corso mira a:

• fornire una conoscenza solida degli strumenti base ed avanzati per migliorare la consapevolezza sulla sicurezza informatica in azienda
• rendere il partecipante consapevole dei rischi e degli strumenti 
• fornire un approfondimento sulle policies, che spettano solamente al decisore, ma impattano sugli strumenti informatici (e derivano dai rischi).

Generalità (1 ora)
Dopo aver definite i requisiti della sicurezza delle informazioni, si mette a fuoco il ruolo della crittografia come strumento di sicurezza, evidenziando come però esso, per quanto potente, non risponde a tutti i bisogni.
• Definizione e requisiti della sicurezza delle informazioni
• Ruolo della crittografia, che non risponde a tutti i bisogni della cybersecurity
• Perché la crittografia non basta: i firewall, il malware

Cifratura simmetrica (2 ore)
Si presenta l’approccio standard alla crittografia simmetrica, ancora oggi frequentemente usata, per capirne le potenzialità e gli obiettivi, oltre a quelli dell’attaccante. Nel caso di cifrari a blocchi si spiega come cifrare un file più grande di un blocco. Algoritmi di cifratura, inclusa la proposta del NIST (AES, del National Institute of Standards and Technology, fondato negli USA, 1901), senza dimenticare le politiche aziendali riguardo la confidenzialità.
• Modello dell'avversario e obiettivi
• Modello di cifratura
• Cifrari moderni a flusso e a blocco
• Cifrario perfetto e One Time Pad (cifrario di Vernam)
• Modello cifratura a blocco
• Modi operativi per la cifratura a blocco
• Advanced Encryption Standard (AES, del NIST), NIST e gli algoritmi di cifratura simmetrica a blocco
• Policies e protezione dati

Cifratura a chiave pubblica (1 ora)
Si introdurrà il principale risultato della crittografia asimmetrica, ovvero quella a chiave pubblica, scaturita dal modello di Diffie-Hellman. Focus su uno dei principali algoritmi, come RSA, e come l’approccio possa condurre alla firma digitale.
• Il modello di Diffie-Hellmann per la definizione della crittografia a chiave pubblica (e introduzione alla firma digitale)
• Uno dei principali algoritmi a chiave pubblica: RSA (Rivest, Shamir ed Adleman)

Integrità ed autenticità; firma digitale (4 ore)
Focus su un altro requisito della sicurezza delle informazioni, ovvero l’integrità, che imposta con particolare attenzione può condurre all’autenticità (autenticazione). La firma digitale e come questa possa essere apportata tramite apposita infrastruttura, che in genere occorre per l’intera crittografia che fa uso di chiavi pubbliche.
• Modello di integrità/autenticità
• Generalità su hashing: collisioni e paradosso del compleanno
• Funzioni hash, standard HMAC (hash più avanzato, con chiave)
• Autenticazione (introduzione)
• Public Key Infrastructure e Policies (ingredienti e standard per applicare la crittografia a chiave pubblica)

Mondo reale (4 ore)
Dimostrazioni pratiche ed excursus sul bitcoin.
• Motivazione e finalità
• Dimostrazione e configurazione di Thunderbird per OpenPGP
• OpenSSL & PKI (descrizione/esemplificazione di soluzioni per la crittografia)
• Blockchain e bitcoin

Autenticazione (2 ore)
L’autenticazione, da non confondere qui con l’autenticità, permette di identificare il partner di comunicazione a distanza. Può avvenire in vari modi, che verranno esaminati.
• Basata su password
• Basata su challenge-response (sfida mediante quesito, a cui si risponde in maniera corretta)
• Basata su terze parti 

Sicurezza by-design (3 ore)
Prevedere la sicurezza di quanto progettiamo fin dalla fase progettuale, piuttosto che quando si manifesta un problema, applicandola in-depth, ovvero a strati sovrapposti (alimentando la metafora che vede la sicurezza come la sovrapposizione di più tavolette con qualche buco, il cui risultato è comunque un oggetto senza buchi che lo attraversano totalmente). Si accennerà quindi al progetto OWASP (Open Project Web Application Project), alla sua classifica dei rischi e alle sue linee guida.
• Safety vs. security (classica dualità fra due diversi termini inglesi che si traducono entrambi con “sicurezza”)
• Security “by-patching” and “by-design”
• Defence-in-depth, ovvero organizzare la difesa a strati sovrapposti
• Threat modeling, ovvero il processo in cui minacce potenziali possono essere identificate ed elencate, attribuendo priorità alle mitigazioni
• OWASP, top ten risks, e linee guida

Governance della sicurezza (3 ore)
Verranno riassunti i modelli di attacco, discutendo anche i metodi di analisi dati per comprendere minacce reali o potenziali, attraverso modi propri dell’intelligence.
SI parlerà di framework di sicurezza, definendoli ed evidenziandone gli obiettivi; si presenterà il Framework Nazionale. Strumenti di valutazione: security assessment.
• Modelli di attacco
• Cyber threat intelligence
• Framework di sicurezza
• Security assessment.

Soft Skill – Problem Solving (4 ore)
• Il pensiero complesso e problemi
• La componente razionale ed emotiva del problem solving
• Il percorso del problem solving.

Il corso è rivolto a soggetti interessati a sviluppare una concreta professionalità nel campo della gestione strategica ed operativa della sicurezza delle informazioni, con impatto su qualunque organizzazione. Il target più adatto è il professionista del settore che cerca un corso verticale sul tema per rispondere alle domande quotidiane inerenti la cybersecurity.

Il corso prevede diverse metodologie didattiche:
• lezioni online con l'utilizzo di EDU di Zoom Meeting al fine di consentire la massima interazione docente/allievo tipica delle nostre attività d'aula tradizionale
• discussioni guidate e studio di casi aziendali, per fare delle best practice una privilegiata fonte di apprendimento.

La quota d’iscrizione per la frequenza dell’intero percorso:
• per la persona non titolare di P. I.V.A. è di 960,00 €  IVA inclusa
• per azienda o professionista titolare di P. I.V.A. è di 960,00 € + IVA
• per i Soci Fondatori/Sostenitori CUOA, per gli Alumni Master CUOA, Alumni La Sapienza e gli allievi dei corsi executive CUOA di oltre 60 ore è di 600€ + IVA

Lo staff del corso è a disposizione per un incontro di orientamento gratuito e senza alcun impegno. È richiesto l'invio del curriculum vitae aggiornato o una breve descrizione del proprio profilo professionale.
Gli incontri hanno l’obiettivo di:
- mettere a fuoco esperienze e competenze acquisite
- condividere obiettivi di crescita e sviluppo personale e professionale
- identificare i punti sui quali intervenire e stabilire le priorità per raggiungere i propri obiettivi e individuare le soluzioni più adatte.

Per procedere con l'iscrizione e il pagamento cliccare sul pulsante in alto a destra "ACQUISTA" e seguire le istruzioni.

Chiara Sposetti, tel.0444 333852, jobleader@cuoa.it