Analisi e gestione del rischio

A.A. 2018/2019
Insegnamento per
6
Crediti massimi
48
Ore totali
SSD
INF/01
Lingua
Italiano
Obiettivi formativi
Il principale obiettivo del corso è di fornire agli studenti una panoramica ampia su una disciplina fortemente intersettoriale come è l'Analisi del Rischio che ha una lunga tradizione e pratica in settori come l'economia, la finanza, la gestione d'impresa, la salute e le infrastrutture pubbliche. In ambito informatico l'applicazione e lo studio dei principi dell'Analisi del Rischio è recente e molto spesso limitata ad alcuni ambiti gestionali. Con questo corso si vuole familiarizzare gli studenti con i principi e i metodi dell'Analisi del Rischio, fornendo in questo modo strumenti concettuali e di analisi per interpretare fenomeni complessi nel settore della sicurezza informatica, valutare aspetti tecnici e tecnologie, e affrontare processi di integrazione di metodi di gestione standard della sicurezza informatica all'interno di contesti aziendali.
Gli studenti imparano ad analizzare report internazionali riguardanti la sicurezza informatica delle aziende.
La disciplina dell'Analisi del Rischio viene introdotta richiamando sia documenti prodotti nel settore della sicurezza informatica, sia in altri settori dove tradizionalmente lo studio si è sviluppato maggiormente.
È presentato nei suoi aspetti fondamentali il modello quantitativo dell'Utilità Attesa. In seguito sono introdotti gli sviluppi più moderni basati su studi comportamentali (Teorie dei Prospetti).
In questo modo gli studenti acquisiscono competenze sia nella modellazione, sia nell'analisi quantitativa in condizioni di rischio.
In seguito sono introdotti i principali metodi qualitativi, classificazioni di priorità e matrici del rischio, discutendone l'applicabilità e i limiti in casi reali. Le competenze circa tali metodi sono indispensabili considerando l'ampia diffusione che essi hanno in analisi aziendali e nel settore della consulenza.
Alcuni dei principali standard gestionali diffusi a livello internazionale sono introdotti, In particolare PCI-DSS e alcuni della famiglia ISO/IEC 27000 and 31000. In conclusione, lo standard CVSS per la valutazione e classificazione delle vulnerabilità software viene presentato corredato di esempi. Tutti questi standard sono ampiamente adottati in ambito aziendale.

Struttura insegnamento e programma

Edizione attiva
Responsabile
INF/01 - INFORMATICA - CFU: 6
Lezioni: 48 ore
Docente: Cremonini Marco
STUDENTI FREQUENTANTI
Programma
1. Report come strumenti per acquisire informazioni

2. Definizioni e contesto nella sicurezza informatica

3. L'analisi del rischio classica: Modello dell'Utilità Attesa

4. Oltre il modello classico: Prospect Theory

5. Common Vulnerability Scoring System (CVSSv3)

6. Metodi qualitativi ed euristiche

7. Standard internazionali per la gestione del rischio IT
Informazioni sul programma
La frequenza è consigliata
Propedeuticità
Nessuna
Prerequisiti e modalità di esame
Nessun prerequisito. Prova scritta.
Metodi didattici
Lezioni frontali
Materiale didattico e bibliografia
disponibile interamente online sul sito Ariel del corso
STUDENTI NON FREQUENTANTI
Programma
1. Report come strumenti per acquisire informazioni

2. Definizioni e contesto nella sicurezza informatica

3. L'analisi del rischio classica: Modello dell'Utilità Attesa

4. Oltre il modello classico: Prospect Theory

5. Common Vulnerability Scoring System (CVSSv3)

6. Metodi qualitativi ed euristiche

7. Standard internazionali per la gestione del rischio IT
Prerequisiti e modalità di esame
Nessun prerequisito. Prova scritta.
Materiale didattico e bibliografia
disponibile interamente online sul sito Ariel del corso
Periodo
Primo semestre
Periodo
Primo semestre
Modalità di valutazione
Esame
Giudizio di valutazione
voto verbalizzato in trentesimi
Docente/i
Ricevimento:
su appuntamento
Via Celoria 18, Milano