Implementing and Auditing Security Control
Codice:
Durata (gg):
5 GG
Obiettivi didattici:
La sicurezza delle informazioni è determinante ai fini del successo delle organizzazioni. Una gestione inadeguata espone a rischi elevati e a conseguenze estremamente negative che possono compromettere la continuità nell’erogazione dei servizi e nella realizzazione dei prodotti. La mancanza di sicurezza delle informazioni agisce direttamente sulle prestazioni delle organizzazioni.
In questo scenario risulta di particolare importanza la formazione del personale responsabile di verificare e monitorare la capacità dell’organizzazione nel garantire con continuità adeguati livelli di sicurezza. Il corso, della durata di cinque giorni, fornisce gli elementi formativi indispensabili alla gestione dell’intero processo di audit e controllo.
Il percorso di formazione in Implementing and Auditing Security Control offre contenuti di assoluta eccellenza per tutti i professionisti chiamati a progettare, implementare o valutare politiche di Sicurezza e Controlli, nonché procedure, preposte protezione e alla Sicurezza delle infrastrutture e dei dati.
Al termine del corso i partecipanti saranno in grado di:
- Monitorare l’organizzazione al fine di garantire con continuità la conformità ai requisiti della norma internazionale ISO/IEC 27001.
- Di valutare le politiche e le procedure aziendali attraverso le più note e consolidate metodologie di analisi quali NIST, ISACA CobiT, Common Criteria, ITSec, COSO, ITIL.
- Identificare eventuali criticità e punti di forza del sistema e proporre adeguate azioni correttive o preventive.
- Progettare politiche e controlli nonché procedure in grado di potenziare le capacità analitiche e reattive di una struttura aziendale preposta alla gestione e alla protezione dei dati.
Metodologia didattica:
Il corso è organizzato su una didattica di tipo teorico/pratica che consente all'allievo di ottenere tutte le nozioni e le capacità operative necessarie a pianificare e gestire un’attività di Auditing in contesti di tipo Enterprise, nonché di pianificare, attuare e valutare politiche e procedure atte alla protezione e alla salvaguardia dei dati e delle applicazioni.
La parte pratica, sviluppata in modalità in particolare, si focalizzerà sull’offrire al discente tutte le esperienze essenziali a garantirgli l’autonomia operativa e la capacità di inserimento in un team di auditor o di progetto volto alla promulgazione di policy o procedure volte alla protezione delle infrastrutture, degli applicativi e dei dati.
L'attività didattica prevede che i contenuti del corso vengono affrontati in un razionale di 70% per la teoria e del 30% per le sessioni di pratica.
Il nostro approccio modula l’offerta formativa attraverso una accurata e delicata gestione dei processi e delle interazioni con i discenti lasciando al nostro formatore il compito di attivare il loro interesse e la loro collaborazione e aiutandoli a svincolarsi da ogni ostacolo e resistenza nel percorso di crescita. A supporto del raggiungimento di questi obiettivi i nostri formatori approcciano il corso attraverso la metodologia detta “dei piccoli gruppi interattivi” e con le tecniche ad essa più congeniali: griglie di analisi, casi didattici, compiti progettuali, simulazioni, filmati, ecc…. Attraverso il nostro metodo si realizza un insegnamento personalizzato e individuale, integrato da momenti di esercitazioni pratiche atte a verificare l'apprendimento e la preparazione del discente.
Destinatari:
- Il Un corso intensivo, della durata di cinque giorni, che consente ai partecipanti di acquisire l’esperienza necessaria per effettuare l’audit di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) e di gestire il team di audit applicando tecniche, procedure e principi di audit largamente riconosciuti.
- Durante questo corso i partecipanti acquisiranno le conoscenze e le competenze necessarie per pianificare ed eseguire con successo un audit conforme con il processo di certificazione dello standard ISO/IEC 27001:2005. Lavorando sulla base di esercizi pratici, i partecipanti svilupperanno le capacità (gestione delle tecniche di audit) e le competenze (gestione dei team di audit ed i programmi di audit, comunicazione con i clienti, risoluzione dei conflitti, etc..) necessarie per condurre efficacemente un audit. Tra i destinatari annoveriamo professionisti o personale coinvolto nella conduzione di audit interni o esterni sui sistemi di gestione per la sicurezza delle informazioni (SGSI).
Prerequisiti:
E’ preferibili avere una esperienza lavorativa in ambito ICT ed, in particolare nella sicurezza delle informazioni e/o nella gestione dei servizi IT.
Conoscenze in uscita:
Il corso permette di apprendere tutte le componenti teorico/pratiche utili alla predisposizione di un Audit per una struttura ICT.
Il discente sarà chiamato a partecipare in modalità “Role Playing” alla simulazione di un intero Audit ICT volto alla preparazione di un documento SGSI.
In aggiunta il discente sarà in grado di comprendere, valutare e revisionare/progettare, politiche e procedure atte alla salvaguardia di infrastrutture, applicazioni e dati, prevedendo per esse anche indicatori utili al loro costante monitoraggio (GRC).
Le tematiche così affrontate permetteranno una grande autonomia operativa e una significativa crescita nel bagaglio di conoscenze del partecipante.
Max corsisti:
Per garantire una adeguata fruizione dei contenuti del corso è prevista in aula una quantità massima di 12 discenti.
Programma didattico:
L'attività didattica proposta consente di integrare i contenuti teorici con approfondite esperienze attraverso una serie di attività di laboratorio realizzabili grazie all’ausilio di attori capaci di simulare, in modalità Role Playing Game (RPG), situazioni realistiche nelle quali il discente sarà chiamato a mettere in pratica quanto appreso nella sessione teorica.
Il corso porta inoltre il discente ad approfondire e integrare conoscenze e all’acquisizione di una metodologia di “problem solving.
In sintesi il programma didattico è riportato in Appendice 1
Testo di riferimento:
I testi di riferimento per il Corso sono le Normative Internazionali ISO/IEC 27001, 19000, nonché NIST, ITIL, CobiT e ITSec. Per il resto i discenti riceveranno delle dispense specifiche messe a disposizione dal nostro personale docente utili alle attività d’aula.
Appendice 1
Modulo 01 – Introduzione a SGSI
- Introduzione alla ISO IEC 20000-1:2011;
- I principi della ISO IEC 20000-1:2011;
- Differenze tra la ISO IEC 20000 ed il modello ITIL v3;
- Analisi dettagliato dei requisiti e dei processi previsti dallo schema ISO IEC 20000
- Lo schema di certificazione ISO IEC 20000.
- Lo SGSI
- Dettaglio clausole della norma ISO27001
Modulo 2: L’audit
- Pianificazione e avvio di un audit ISO27001
- Fondamenti e principi di auditing
- Approccio basato su rischio ed evidenza
- Preparazione e documentazione di un audit ISO27001
- Preparare il meeting di apertura dell’audit
- Reporting Security Information to Management
- Approccio suggerito
Laboratorio: Stesura di un piano di auditing per un’azienda di medie dimensioni
Modulo 3: Il Rischio
- Misurazione del rischio
- Le metodologie internazionali:
o NIST
o CobiT
o ITSec
o ITIL
o CoSo
- Il Trattamento del rischio
o Piattaforme SIEM
- Enterprise Risk Magement/Strategic Risk Management
o GRC: Governance, Risk Management e Compliance
- Incidente e Incident Handling
- La Business Continuity
- La Disaster Recovery e le politiche di contingenza
Modulo 4: La conduzione dell’Audit
- Conduzione di un audit ISO27001
- Comunicazione durante l’audit
- Procedure di audit
- Disegnare i piani di test
- Formulazione dei riscontri
- Stesura dei rapporti di non conformità
- Conclusione e follow-up di un audit ISO27001
Modulo 5: La Documentazione di Audit e il Follow-up
- Documentazione dell’audit
- Revisione di qualità
- Condurre il meeting di chiusura dell’audit
- Valutazione dei piani correttivi
- Programma di gestione dell’audit
Modulo 6: Laboratorio Formativo
- Simulazione completa di Auditing della durata di 8 ore in modalità ‘open book’
