Analisi e gestione del rischio
A.A. 2018/2019
Obiettivi formativi
Il principale obiettivo del corso è di fornire agli studenti una panoramica ampia su una disciplina fortemente intersettoriale come è l'Analisi del Rischio che ha una lunga tradizione e pratica in settori come l'economia, la finanza, la gestione d'impresa, la salute e le infrastrutture pubbliche. In ambito informatico l'applicazione e lo studio dei principi dell'Analisi del Rischio è recente e molto spesso limitata ad alcuni ambiti gestionali. Con questo corso si vuole familiarizzare gli studenti con i principi e i metodi dell'Analisi del Rischio, fornendo in questo modo strumenti concettuali e di analisi per interpretare fenomeni complessi nel settore della sicurezza informatica, valutare aspetti tecnici e tecnologie, e affrontare processi di integrazione di metodi di gestione standard della sicurezza informatica all'interno di contesti aziendali.
Risultati apprendimento attesi
Gli studenti imparano ad analizzare report internazionali riguardanti la sicurezza informatica delle aziende.
La disciplina dell'Analisi del Rischio viene introdotta richiamando sia documenti prodotti nel settore della sicurezza informatica, sia in altri settori dove tradizionalmente lo studio si è sviluppato maggiormente.
È presentato nei suoi aspetti fondamentali il modello quantitativo dell'Utilità Attesa. In seguito sono introdotti gli sviluppi più moderni basati su studi comportamentali (Teorie dei Prospetti).
In questo modo gli studenti acquisiscono competenze sia nella modellazione, sia nell'analisi quantitativa in condizioni di rischio.
In seguito sono introdotti i principali metodi qualitativi, classificazioni di priorità e matrici del rischio, discutendone l'applicabilità e i limiti in casi reali. Le competenze circa tali metodi sono indispensabili considerando l'ampia diffusione che essi hanno in analisi aziendali e nel settore della consulenza.
Alcuni dei principali standard gestionali diffusi a livello internazionale sono introdotti, In particolare PCI-DSS e alcuni della famiglia ISO/IEC 27000 and 31000. In conclusione, lo standard CVSS per la valutazione e classificazione delle vulnerabilità software viene presentato corredato di esempi. Tutti questi standard sono ampiamente adottati in ambito aziendale.
La disciplina dell'Analisi del Rischio viene introdotta richiamando sia documenti prodotti nel settore della sicurezza informatica, sia in altri settori dove tradizionalmente lo studio si è sviluppato maggiormente.
È presentato nei suoi aspetti fondamentali il modello quantitativo dell'Utilità Attesa. In seguito sono introdotti gli sviluppi più moderni basati su studi comportamentali (Teorie dei Prospetti).
In questo modo gli studenti acquisiscono competenze sia nella modellazione, sia nell'analisi quantitativa in condizioni di rischio.
In seguito sono introdotti i principali metodi qualitativi, classificazioni di priorità e matrici del rischio, discutendone l'applicabilità e i limiti in casi reali. Le competenze circa tali metodi sono indispensabili considerando l'ampia diffusione che essi hanno in analisi aziendali e nel settore della consulenza.
Alcuni dei principali standard gestionali diffusi a livello internazionale sono introdotti, In particolare PCI-DSS e alcuni della famiglia ISO/IEC 27000 and 31000. In conclusione, lo standard CVSS per la valutazione e classificazione delle vulnerabilità software viene presentato corredato di esempi. Tutti questi standard sono ampiamente adottati in ambito aziendale.
Periodo: Primo semestre
Modalità di valutazione: Esame
Giudizio di valutazione: voto verbalizzato in trentesimi
Corso singolo
Questo insegnamento non può essere seguito come corso singolo. Puoi trovare gli insegnamenti disponibili consultando il catalogo corsi singoli.
Programma e organizzazione didattica
Edizione unica
Responsabile
Periodo
Primo semestre
STUDENTI FREQUENTANTI
Programma
1. Report come strumenti per acquisire informazioni
2. Definizioni e contesto nella sicurezza informatica
3. L'analisi del rischio classica: Modello dell'Utilità Attesa
4. Oltre il modello classico: Prospect Theory
5. Common Vulnerability Scoring System (CVSSv3)
6. Metodi qualitativi ed euristiche
7. Standard internazionali per la gestione del rischio IT
2. Definizioni e contesto nella sicurezza informatica
3. L'analisi del rischio classica: Modello dell'Utilità Attesa
4. Oltre il modello classico: Prospect Theory
5. Common Vulnerability Scoring System (CVSSv3)
6. Metodi qualitativi ed euristiche
7. Standard internazionali per la gestione del rischio IT
Informazioni sul programma
La frequenza è consigliata
Propedeuticità
Nessuna
Prerequisiti
Nessun prerequisito. Prova scritta.
Metodi didattici
Lezioni frontali
Materiale di riferimento
STUDENTI NON FREQUENTANTI
disponibile interamente online sul sito Ariel del corso
Programma
1. Report come strumenti per acquisire informazioni
2. Definizioni e contesto nella sicurezza informatica
3. L'analisi del rischio classica: Modello dell'Utilità Attesa
4. Oltre il modello classico: Prospect Theory
5. Common Vulnerability Scoring System (CVSSv3)
6. Metodi qualitativi ed euristiche
7. Standard internazionali per la gestione del rischio IT
2. Definizioni e contesto nella sicurezza informatica
3. L'analisi del rischio classica: Modello dell'Utilità Attesa
4. Oltre il modello classico: Prospect Theory
5. Common Vulnerability Scoring System (CVSSv3)
6. Metodi qualitativi ed euristiche
7. Standard internazionali per la gestione del rischio IT
Prerequisiti
Nessun prerequisito. Prova scritta.
Materiale di riferimento
disponibile interamente online sul sito Ariel del corso
Docente/i
Ricevimento:
da concordare
online