Gestione della sicurezza nei sistemi informativi

A.A. 2020/2021
6
Crediti massimi
48
Ore totali
SSD
ING-IND/35
Lingua
Italiano
Obiettivi formativi
L'insegnamento ha l'obiettivo di far acquisire agli studenti le competenze di base nell'ambito della gestione del rischio informatico e della sicurezza nei sistemi informativi alla luce degli adempimenti legislativi che le organizzazioni produttive sono tenute a ripsettare. Fra queste la normativa sulla Privacy, sulla responsabilità amministrativa delle società e degli enti, sulla corruzione, sul falso in bilancio e sulla tutela della sicurezza dei lavoratori.
Saranno inotre introdotti gli accorgimenti tecnologici da predisporre sia per la prevenzione del rischio in ambito informatico, ma anche per precostituire gli elementi di prova da utilizzare in ambito giudiziario, ovvero dar conto delle misure messe in atto per evitare l'incidente informatico.
Risultati apprendimento attesi
Al termine dell'insegnamento lo studente sarà in grado di: identificare nell'ambito di un'organizzazione le reali aree di rischio informatico; definire e implementare gli accorgimenti organizzativi e tecnologici necessari a prevenire incidenti, e in subordine, a documentare l'accaduto; in caso di incidente, organizzare il team di intervento e trattare nel modo più corretto i reperti informatici rilevanti.
Programma e organizzazione didattica

Edizione unica

Responsabile
Periodo
Secondo semestre
Lezioni registrate
Programma
Elementi di diritto
Elementi di procedura penale
- Attori del processo penale
- Fasi del procedimento penale
- Mezzi di raccolta delle prove nel processo penale
- Accertamenti tecnici nel processo penale (perizia, ct, incidente probatorio )
Elementi di procedura civile
- Tipi di procedimenti (civile, cautelare )
- Fasi del procedimento civile
- Mezzi di raccolta delle prove nel processo civile
- Accertamenti tecnici nel processo civile
Il documento informatico
- Definizione di documento informatico
- Firme elettroniche: aspetti tecnici e giuridici
- Il valore probatorio del documento informatico
Altre norme rilevanti
- Normativa privacy
- La responsabilità penale degli enti: D.Lgs. 231/2001
- Aspetti rilevanti sulla gestione dei sistemi informativi rispetto al D.Lgs. 231/2001
- Normativa sul lavoro e job act
- Controllo dei dipendenti e dei collaboratori
- La videosorveglianza sui posti di lavoro
- Proprietà intellettuale, segreto industriale e diritto d'autore
Aspetti tecnici di valutazione, prevenzione e controllo dei rischi
Standard ISO
- ISO/IEC 27037
- ISO/IEC 27035
- ISO/IEC 27038
- ISO/IEC 19011
Risposta agli incidenti informatici
- La fase di valutazione del rischio
- L'incident response
- Forensic readiness plan
Casi di studio
- Gestione dei sistemi informativi in ambito aziendale per tutela della proprietà industriale
- Gestione dei sistemi informativi in ambito aziendale per controllo del personale
- Gestione dei sistemi informativi in ambito sanitario
- Misure tecniche per certificazione di processi e software
Simulazione
- Un caso pratico: valutazione del rischio
- Un caso pratico: risposta all'incidente
- Un caso pratico: simulazione dibattimentale
L'insegnamento prevede infine anche riproduzioni in laboratori tecnici, esercitazioni pratiche e vere e proprie simulazioni dibattimentali, volte ad approfondire ruoli, competenze e dinamiche sia aziendali ma anche per alcuni casi processuali.
Prerequisiti
No
Metodi didattici
Lezioni frontali
Materiale di riferimento
- Slide

Approfondimenti
- Volumi su elementi di Diritto Processuale Civile, di Diritto Processuale Penale, Privacy
- C. Davis, M. Schiller, K. Wheeler, IT Auditing Using Controls to Protect Information Assets, McGraw-Hill Education
- ISO 27037, 27035, 27038, 19011
Modalità di verifica dell’apprendimento e criteri di valutazione
Quiz rapido con 10 domande a risposta multipla + esame orale
ING-IND/35 - INGEGNERIA ECONOMICO-GESTIONALE - CFU: 6
Lezioni: 48 ore
Docente/i
Ricevimento:
Su appuntamento
Su appuntamento, scrivere a michele.ferrazzano@unimi.it