ll Mini-Master si rivolge a tutte quelle professionalità che vogliono approfondire la conoscenza della cybersecurity con nozioni di informatica forense, OSINT applicato, comprensione degli ecosistemi propri dell’Hacking, del Cybercrime, dell’Information Warfare e del Dark Web ed, infine, teoria e pratica in Autodifesa Digitale. I partecipanti scopriranno come proteggere i dati personali della propria azienda o dei propri clienti, con dei cenni alle richieste normate dal GDPR.
Le caratteristiche e il taglio formativo particolarmente innovativo ed efficace rendono il percorso particolarmente adatto anche a Studenti di ingegneria, informatica, computer science per integrare il loro curriculum accademico.
Approfondimento: Artificial Intelligence, algorithmic systems, profilazione e tutela dei dati personali. Questa prima sessione si concentra sull’art. 32 del GDPR (sicurezza del trattamento). Vengono analizzati i casi in cui è consigliata la pseudonimizzazione e la cifratura dei dati personali con approfondimenti pratici sull’obbligo di valutazione del livello di sicurezza.
Relatori: Mauro Alovisio, Federico AlteaVengono introdotti i concetti di Cybercrime, Cyber-espionage e Information Warfare.
Lo scopo di questa sessione è fornire gli strumenti di base per la comprensione e l’analisi dei rischi e delle minacce legate al cybercrime, al cyber-espionage e all'information warfare.
Al termine del modulo il partecipante avrà un’ampia conoscenza dei principali aspetti legati alla sicurezza informatica e sarà in grado di comprendere le dinamiche proprie del cyberspazio, valutandole nel loro complesso e nel loro continuo mutamento. Inoltre potrà mettere in pratica le strategie e le azioni adeguate alle necessità che si troverà ad affrontare.
Nel modulo vengono illustrati i concetti base dell’autodifesa digitale. Lo scopo è fornire le conoscenze minime, teoriche e pratiche, per l’utilizzo dei principali strumenti di cifratura, cancellazione sicura, navigazione anonima, cifrature di file su hard disk e supporti USB, etc. Gli argomenti affrontati sono di supporto sia in ambito lavorativo, sia nella vita quotidiana, per esempio per il recupero di dati erroneamente cancellati da supporti USB esterni, HardDisk.
In questo modulo vengono esposte le nozioni e le conoscenze di base per coloro che si affacciano per la prima volta al mondo dell’intelligence e nello specifico dell’OSINT (open source intelligence).
In questa giornata verranno svolti diversi laboratori pratici, sugli argomenti trattati nei precedenti moduli. L’attività inizierà con la consegna di un esempio d’incidente di Cybersecurity in azienda con la spiegazione dello scenario e di tutti i suoi attori.
L’aula verrà divisa in gruppi di lavoro. Ogni gruppo dovrà prima simulare la denuncia al Garante per data breach e poi illustrare le attività aziendali conseguenti alla crisi.
Relatori: Raoul Chiesa, Matteo VinciDopo una breve demo di alcuni strumenti OSINT e CSINT, i gruppi di lavoro formati al mattino dovranno affrontare diverse missioni OSINT, utilizzando gli strumenti illustrati nella terza giornata di corso.
L’esame finale non sarà un test per decidere “bocciati o promossi”, ma una serie di domande che ogni partecipante si porter “a casa” per successivi approfondimenti personali!
Relatori: Raoul Chiesa, Matteo Vinci, Mauro Alovisio, Federico AlteaÈ prevista una particolare scontistica per i clienti di PRIVACYCURA e delle società del GRUPPO ALTEA, di SECURITY BROKERS, per le Associazioni del settore e per i liberi professionisti.
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Se desideri ricevere maggiori informazioni sul Mini-Master scrivici a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..
Saremo lieti di rispondere alle tue domande.
L’attività di consulenza in ambito di protezione dei dati personali si sviluppa in varie fasi, di cui la prima è l’individuazione di una politica privacy ad hoc per l'azienda.
Inizialmente vengono svolti degli incontri con la direzione aziendale e con i vari responsabili di settore per comprendere al meglio la realtà. Una volta individuate le mansioni delle aree aziendali, l’organigramma interno, i contratti in uso, l’eventuale documentazione in ambito privacy ed il flusso dei dati personali all’interno e all’esterno della società si sviluppa un piano di adeguamento al GDPR, Codice Privacy D.lgs. n. 196/2003 e D.lgs. 101/2018.
Durante gli incontri verrà appurata la necessità di effettuare una Valutazioni d’impatto Privacy (cosiddetta “DPIA”) su trattamenti particolarmente delicati svolti dall’azienda. Ad esempio, videosorveglianza all’interno dei locali aziendali, profilazione dei clienti, utilizzo di nuove tecnologie non ancora valutate, ecc.
Il servizio si occupa di redigere il Registro delle attività di trattamento del Titolare del Trattamento ai sensi dell’art. 30 del Regolamento Europeo n.679/2016 (GDPR) e, se necessario, il Registro delle attività di trattamento del Responsabile del trattamento.
I Registri delle Attività di Trattamento devono contenere:
Successivamente alla predisposizione dei Registri delle attività di trattamento è necessario sviluppare un’attenta analisi dei rischi delle sedi operative, degli archivi cartacei e digitali. Questo per comprendere al meglio se le misure in atto a livello logico, organizzativo e fisico sono sufficienti a mantenere un rischio basso per l’azienda.
La redazione dei documenti principali in ambito di protezione dei dati personali si può eseguire solo dopo aver analizzato attentamente la realtà aziendale e le mansioni delle singole aree aziendali.
I documenti da produrre per la compliance al GDPR, al Codice Privacy D.lgs. 196/2003 e al D.lgs. 101/2018 sono:
Il DPO (Data Protection Officer o Responsabile della protezione dei dati personali) è una figura introdotta dal GDPR, cioè una persona fisica/società che può essere sia interna che esterna all’azienda con il compito di sorvegliare l’operato in ambito privacy dell’azienda.
Nello specifico la sezione 4 del GDPR denominata “Responsabile della protezione dei dati” definisce:
La formazione in materia di Privacy è obbligatoria ai sensi del Regolamento Europeo n. 679/2016 per tutti i soggetti che trattano dati all’interno della società. Unitamente ad essa la formazione in materia di Cybersecurity è necessaria per comprendere al meglio la teoria della privacy e la praticità delle misure di sicurezza messe in atto dalla società.
La formazione in materia di Privacy si articola in: Descrizione delle maggiori leggi in materia di protezione dei dati, Inquadramento delle figure del Trattamento (Titolare del Trattamento, Responsabile del Trattamento, Addetti al Trattamento, DPO), Diritti dell’interessato e dell’eventuale esercizio, Procedure in ambito privacy adottate dall’azienda, Procedure operative sulla gestione di un Data Breach e Regolamenti interni in materia di protezione dei dati personali.
Formazione base di Cybersecurity per i dipendenti: corso di formazione rivolto al personale aziendale senza particolari conoscenze nell'ambito della cybersecurity. All'interno del corso vengono fornite solide basi di cybersecurity al fine di tutelare la sicurezza delle informazioni trattate e difendersi dalle principali minacce informatiche quali ad esempio Virus, Phishing, Social Engineering e frodi telefoniche.
Corsi di formazione avanzati in materia di Cybersecurity: corsi di formazione creati ad hoc in ambito della cybersecurity modellati sulle esigenze dell'azienda, basati sulle piattaforme e/o sui software utilizzati all'interno dell'azienda.
La sensibilizzazione del personale può essere affrontata con delle simulazioni di attacchi di Phishing, Social Engineering e Data Breach, in modo da verificare il comportamento dell’utente.
All'interno dei corsi di formazione, su richiesta del committente, potranno essere incluse le policy aziendali attualmente in essere.
Il servizio di Verifica di documenti e politiche in ambito di protezione dei dati personali si sviluppa concordando con il cliente la periodicità di ogni controllo.
In ogni audit verrà verificata:
Il servizio proposto ha lo scopo di identificare gli eventuali punti deboli presenti nel perimetro informatico di proprietà dell'azienda. A seguito dell’individuazione vengono fornite idonee linee guida atte a mitigare o eliminare ogni possibile rischio di sicurezza derivante dalle vulnerabilità rilevate.
A titolo esemplificativo e non esaustivo l’attività di Vulnerability Assessment e Network Scan porterà in evidenza:
L’attività è rivolta sia a reti pubbliche raggiungibili tramite Internet, sia a reti private. La modalità di esecuzione delle attività potrà essere sia “in presenza” direttamente all’interno dell’azienda, sia in remoto. Nel caso di scansioni remote di reti private verrà fornito un appliance specifico che verrà collegato all’interno della rete dell'azienda e permetterà al personale della PrivacyCura di effettuare le attività previste.
Il servizio di Penetration Testing può essere riassunto come una vera e propria simulazione di attacco etico ad un sistema o una rete informatica in condizioni reali. Tramite i test effettuati è possibile determinare quale sia realmente la resistenza dell’intera struttura informatica in previsione di un eventuale attacco informatico. L’attività è composta da molteplici fasi, tra cui:
L’attività, a seconda delle esigenze dell'azienda committente potrà essere svolta in tre diverse modalità:
L’attività prevede un servizio di consulenza da parte del nostro Team di sicurezza informatica al fine di stabilire unitamente alla direzione aziendale quali servizi e/o sistemi possono migliorare l’attuale sicurezza dell’attuale infrastruttura informativa.
L’attività si compone di molteplici punti, tra cui i più importanti:
PrivacyCura, in quanto vendor independent, ci tiene a specificare che l’attività non prevede la rivendita diretta di software o hardware atti a migliorare la situazione generale relativa alla sicurezza della rete oggetto di analisi, ma offre un servizio di consulenza a 360° in cui vengono consigliati fornitori adatti alle esigenze dell'azienda ed un servizio di consulenza che può essere prolungato anche dopo il termine dell’attività richiesta, al fine di avere un organo di controllo che supervisioni tutte le future attività relative alla sicurezza intraprese.