Analisi e gestione del rischio

A.A. 2017/2018
Insegnamento per
6
Crediti massimi
48
Ore totali
Lingua
Italiano
Obiettivi formativi
Il principale obiettivo del corso è di fornire agli studenti una panoramica ampia su una disciplina fortemente intersettoriale come è l'Analisi del Rischio che ha una lunga tradizione e pratica in settori come l'economia, la finanza, la gestione d'impresa, la salute e le infrastrutture pubbliche. In ambito informatico l'applicazione e lo studio dei principi dell'Analisi del Rischio è recente e molto spesso limitata ad alcuni ambiti gestionali. Con questo corso si vuole familiarizzare gli studenti con i principi e i metodi dell'Analisi del Rischio, fornendo in questo modo strumenti concettuali e di analisi per interpretare fenomeni complessi nel settore della sicurezza informatica, valutare aspetti tecnici e tecnologie, e affrontare processi di integrazione di metodi di gestione standard della sicurezza informatica all'interno di contesti aziendali.
Gli studenti imparano ad analizzare report internazionali riguardanti la sicurezza informatica delle aziende.
La disciplina dell'Analisi del Rischio viene introdotta richiamando sia documenti prodotti nel settore della sicurezza informatica, sia in altri settori dove tradizionalmente lo studio si è sviluppato maggiormente.
È presentato nei suoi aspetti fondamentali il modello quantitativo dell'Utilità Attesa. In seguito sono introdotti gli sviluppi più moderni basati su studi comportamentali (Teorie dei Prospetti).
In questo modo gli studenti acquisiscono competenze sia nella modellazione, sia nell'analisi quantitativa in condizioni di rischio.
In seguito sono introdotti i principali metodi qualitativi, classificazioni di priorità e matrici del rischio, discutendone l'applicabilità e i limiti in casi reali. Le competenze circa tali metodi sono indispensabili considerando l'ampia diffusione che essi hanno in analisi aziendali e nel settore della consulenza.
Alcuni dei principali standard gestionali diffusi a livello internazionale sono introdotti, In particolare PCI-DSS e alcuni della famiglia ISO/IEC 27000 and 31000. In conclusione, lo standard CVSS per la valutazione e classificazione delle vulnerabilità software viene presentato corredato di esempi. Tutti questi standard sono ampiamente adottati in ambito aziendale.

Struttura insegnamento e programma

Edizione attiva
Responsabile
Lezioni: 48 ore
Docente: Cremonini Marco
Programma
1. Rischio e vulnerabilità nelle organizzazioni

2. Breve prospettiva storica e definizione del contesto interdisciplinare

3. L'analisi del rischio classica: Teoria dell'Utilità Attesa

4. Oltre il modello classico: Prospect Theory ed euristiche.

5. Terminologia, ontologia e analisi del rischio IT: il metodo FAIR

7. Standard Internazionali

8. Common Vulnerability Scoring System (CVSSv3)
Informazioni sul programma
La frequenza è fortemente consigliata
Propedeuticità
Nessuna
Prerequisiti e modalità di esame
Prova scritta
Metodi didattici
Lezioni frontali
Materiale didattico e bibliografia
1.
Verizon 2015 Data Breach Investigation Report
Verizon RISK Team
Sex, Lies and Cyber-crime Surveys
D. Florencio e C. Herley, Microsoft Research, 2011.

2.
An Incomplete History of Risk Management
Book chapter "Risk Assessment and Risk Management"
Information Security is Information Risk Management
Dan Geer et al., 2002
Vulnerability and Risk: Some Thoughts From A Political and Policy Perspective
D. Sarewitz, R. Pielke, and M. Keykhah - Risk Analysis, 2003

3.
Dispensa tratta dal testo: Risk Analysis in Theory and Practice
Jean-Paul Chavas - Elsevier 2004
Capitoli: 1, 2, 3, 4, 6 e parte del 7 (in italiano)
Mild vs. Wild Randomness
Benoit Mandelbrot and Nassim Nicholas Taleb
Heavy-tailed distribution of cyber-risks
D. Sornette

4.
Prospect Theory: An Analysis of Decision under Risk
Daniel Kahneman and Amos Tversky - Econometrica - 1979
Advances in prospect theory: Cumulative representation of uncertainty
Daniel Kahneman and Amos Tversky - J. Risk and Uncertainty - 1992
Heuristic Decision Making
Gerd Gigerenzer and Wolfgang Gaissmaier
Helping Doctors and Patients Make Sense of Health Statistics
Gerd Gigerenzer et al.

5.
Dispensa tratta dal testo: Measuring and Managing Information Risk - a FAIR Approach (in italiano)
Jack Freund and Jack Jones, Elsevier 2015

6.
What's Wrong with Risk Matrices?
A. Cox
What's Wrong with Hazard-Ranking Systems?
A. Cox

7.
PCI-DSS Version 3.0
Payment Card Industry (PCI) Data Security Standard.
ISO/FDIS 31000:2010 e 31010:2010
Risk management - Principles and guidelines
Risk management - Risk assessment techniques
ISO/IEC FDIS 27005:2011 (sintesi e commento)
Information technology — Security techniques — Information security risk management
ISO/IEC FDIS 27001:2013 (sintesi e commento)
Information technology - Security techniques - Information security management systems - Requirements

8.
Common Vulnerability Scoring System v3.0: Specification Document
Periodo
Primo semestre
Periodo
Primo semestre
Modalità di valutazione
Esame
Giudizio di valutazione
voto verbalizzato in trentesimi
Docente/i
Ricevimento:
su appuntamento
Via Celoria 18, Milano