Analisi e gestione del rischio
A.A. 2023/2024
Obiettivi formativi
L'obiettivo dell'insegnamento è di fornire agli studenti una panoramica ampia su una disciplina fortemente intersettoriale come è l'Analisi del Rischio che ha una lunga tradizione e pratica in settori come l'economia, la finanza, la gestione d'impresa, la salute e le infrastrutture pubbliche. Con questo insegnamento si vuole familiarizzare gli studenti con i principi e i metodi dell'Analisi del Rischio, fornendo strumenti concettuali e di analisi per interpretare fenomeni complessi nel settore della sicurezza informatica, valutare aspetti tecnici e tecnologie e affrontare processi di integrazione di metodi di gestione standard della sicurezza informatica all'interno di contesti aziendali.
Risultati apprendimento attesi
Al termine dell'insegnamento, lo studente dovrà dimostrare di aver compreso i principi dell'analisi del rischio e in particolare la norma ISO31000:2018. Dovrà possedere un lessico appropriato nel dominio del risk management e comprendere le interrelazioni che caratterizzano la disciplina con maggior approfondimento per quanto riguarda i temi relativi alla sicurezza informatica.
Periodo: Primo semestre
Modalità di valutazione: Esame
Giudizio di valutazione: voto verbalizzato in trentesimi
Corso singolo
Questo insegnamento può essere seguito come corso singolo.
Programma e organizzazione didattica
Edizione unica
Responsabile
Periodo
Primo semestre
Programma
L'insegnamento tratterà i seguenti temi: i sistemi informativi aziendali, la sicurezza delle informazioni, una introduzione ai sistemi di gestione e alle best practices internazionali, la gestione del rischio con la ISO 31000, il processo di risk management, il sistema di gestione dell'Information Security ISO/IEC 27000:2018, il database di minacce, i controlli di sicurezza. Inoltre, alcuni approfondimenti verticali su opportunità, rischi e raccomandazioni della trasformazione digitale (cloud, IoT, intelligenza artificiale) e infine sul ruolo del Chief Information Security Officer.
Prerequisiti
Non ci sono prerequisiti obbligatori per partecipare a questo insegnamento ma visto il tema trattato è utile una conoscenza dei sistemi informativi delle imprese pubbliche e private, delle minacce hacker, delle vulnerabilità delle infrastrutture hardware/software e delle misure di sicurezza atte a proteggere gli asset aziendali.
Metodi didattici
L'insegnamento sarà basato su lezioni frontali e testimonianze esterne di professionisti del mondo del lavoro. Gli studenti saranno invitati a studiare dei temi collaterali e i volontari potranno presentare il loro lavoro durante le lezioni con brevi interventi.
Materiale di riferimento
I testi di riferimento sono:
1)
Diego Fiorito; Risk management: how to achieve personal and business goals. ISBN 9798686535879 / Eccetto chapter III (pagine 59-70). In inglese.
2)
Ioannis Tsiouras; Risk Management - La norma ISO 31000:2018. ISBN 978889114981. In italiano.
3)
ISO 31000:2018; Risk management — Guidelines. https://www.iso.org/obp/ui/#iso:std:iso:31000:ed-2:v1:en In Inglese.
4)
ISO/IEC 27000; Information technology — Security techniques — Information security management systems — Overview and vocabulary. https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html In inglese
5)
Cesare Gallotti; Sicurezza delle informazioni (edizione del 2022). ISBN 9791220888196 (e-book) e 9791220388450 (cartaceo) https://www.cesaregallotti.it/libro.html in italiano.
Cesare Gallotti; Information Security (2022 edition). ISBN 9791220888851 (e-book) and 9791220388474 (hardcopy) https://www.cesaregallotti.it/libro-ENG.html (alternativa in inglese).
Libri facoltativi:
6)
Clusit Community for Security; I primi 100 giorni del Responsabile della Sicurezza delle Informazioni. https://100giorni.clusit.it/#/ in italiano
Clusit Community for Security; The first 100 days of the Information Security Manager. https://100days.clusit.it/#/Download (alternativa in inglese)
7)
Clusit Community for Security; Rischio digitale Innovazione e Resilienza. https://risk.clusit.it/ solo in italiano (just in Italian)
8)
Alan Calder; NIST Cybersecurity Framework. A pocket guide. ISBN 9781787780408 in inglese
1)
Diego Fiorito; Risk management: how to achieve personal and business goals. ISBN 9798686535879 / Eccetto chapter III (pagine 59-70). In inglese.
2)
Ioannis Tsiouras; Risk Management - La norma ISO 31000:2018. ISBN 978889114981. In italiano.
3)
ISO 31000:2018; Risk management — Guidelines. https://www.iso.org/obp/ui/#iso:std:iso:31000:ed-2:v1:en In Inglese.
4)
ISO/IEC 27000; Information technology — Security techniques — Information security management systems — Overview and vocabulary. https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html In inglese
5)
Cesare Gallotti; Sicurezza delle informazioni (edizione del 2022). ISBN 9791220888196 (e-book) e 9791220388450 (cartaceo) https://www.cesaregallotti.it/libro.html in italiano.
Cesare Gallotti; Information Security (2022 edition). ISBN 9791220888851 (e-book) and 9791220388474 (hardcopy) https://www.cesaregallotti.it/libro-ENG.html (alternativa in inglese).
Libri facoltativi:
6)
Clusit Community for Security; I primi 100 giorni del Responsabile della Sicurezza delle Informazioni. https://100giorni.clusit.it/#/ in italiano
Clusit Community for Security; The first 100 days of the Information Security Manager. https://100days.clusit.it/#/Download (alternativa in inglese)
7)
Clusit Community for Security; Rischio digitale Innovazione e Resilienza. https://risk.clusit.it/ solo in italiano (just in Italian)
8)
Alan Calder; NIST Cybersecurity Framework. A pocket guide. ISBN 9781787780408 in inglese
Modalità di verifica dell’apprendimento e criteri di valutazione
La verifica dell'apprendimento avverrà tramite esame orale. La valutazione terrà in forte conto l'uso corretto dei termini e definizioni della norma ISO 31000:2018, della capacità di documentare alcuni scenari ipotetici di rischio aziendale e la comprensione della sicurezza delle informazioni (ISO/IEC 27000:2018).
Siti didattici
Docente/i