Archivi categoria: eventi

Master Cybersecurity e Data Protection – 24 Ore Business School

Ha finalmente preso il via il Master in Cybersecurity e Data Protection, organizzato dalla 24 Ore Business School, che presenterà le strategie per proteggere gli asset aziendali e prevenire i rischi informatici a una platea di allievi che da ottobre 2020 a marzo 2021 potranno seguire da remoto le lezioni sulla piattaforma tecnologica di 24ORE eLearning.

Master in Cybersecurity e Data Protection - Le strategie per proteggere gli asset aziendali e prevenire i rischi informatici

La docenza è stata affidata a professionisti, manager, imprenditori e consulenti del settore che con una collaudata metodologia didattica garantiranno per tutto il corso del Master in Cybersecurity un apprendimento graduale e completo della materia. Tra i docenti i maggiori esperti italiani di cybersecurity: Alessio L.R. Pennasilico, Corrado Giustozzi, Gabriele Faggioli, Paolo Dal Checco, Luca Bechelli, Claudio Telmon, Andrea Zapparoli Manzoni, Massimo Biagi, Giorgio Sbaraglia, Paolo Sardena e molti altri, con il coordinamento didattico di Valeria Lonati.

Avrò l’onore di essere docente, insieme a nomi di altissimo livello, della parte relativa alla digital forensics, durante la quale parlerò d’informatica forense, entrando del merito di come condurre una corretta indagine forense, dall’acquisizione delle prove digitali alla redazione di una perizia informatica forense.

Come gestire una indagine forense e perizia informatica

Durante la mia lezione, verranno delineati i contorni dell’attività d’indagine forense, illustrando il concetto di copia forense e cristallizzazione della prova informatica a valore legale per utilizzo in Tribunale, analisi forense delle evidenze digitali, redazione di elaborato peritale e relazione tecnica forense, con cenni sui ruoli di CTP informatico, CTU informatico e Perito Informatico Forense.

Tutti gli argomenti del Master saranno affrontati con taglio operativo e con una metodologia didattica interattiva, affiancando all’analisi dei singoli argomenti case history ed esercitazioni pratiche. In ogni modulo sono previste testimonianze dirette di protagonisti del mondo aziendale e consulenziale e dei Giornalisti del Sole 24 ORE che trasferiscono le esperienze di successo nel loro settore.

I moduli formativi che verranno trattati nel Master Cybersecurity e Data Protection, organizzato dalla 24 Ore Business School, sono i seguenti:

  • Evoluzione della cybersecurity nel contesto internazionale ed italiano
  • Valutazione degli asset digitali di una azienda
  • Cyber risk management
  • Le tecniche d’attacco nelle aziende e
  • la prevenzione
  • Me, the Cyberthreat? Il fattore umano nella Cybersecurity
  • La gestione della sicurezza aziendale Forensics: come gestire una indagine
  • forense
  • Gestione dell’incidente informatico
  • Aspetti giuridici del crimine informatico, sicurezza delle informazioni e protezione della proprietà intellettuale
  • Deepweb e darkweb, ethical hacking: il punto di vista di chi attacca
  • Per una cultura della sicurezza: mitigazioni, contromisure e interventi nelle organizzazioni
24 Ore Business School - Executive Master Cy bersecurity e Data Protection

Il programma completo del master è il seguente:

Evoluzione Della Cybersecurity Nel Contesto Internazionale Ed Italiano

  • Definizione e ambito d’applicazione – Leprincipaliminacce,modellidigoverno
    e gestione del rischio
  • La Cyberwarfare
  • La sicurezza informatica in Italia e le norme vigenti: i rischi attuali per le aziende
    – la Direttiva NIS
    – l’organizzazione di Cyber Defense italiana
    – CSIRT, CERT nazionali
    – crittografia, steganografia
  • Governo della sicurezza, processi aziendali e sicurezza della supply chain dei servizi essenziali
  • Protezione e contrabbando di informazioni

Valutazione Asset Digitali

  • Valore economico e necessità di protezione delle informazioni nella società postindustriale
  • Gli asset intangibili digitali dal punto di vista tecnico ed economico/ patrimoniale: il software, i dati, i siti web e i social media
  • Metodologie e standard di misurazione del software e dei dati
  • Elementi tariffari e valori di mercato
  • La certificazione del valore di un asset, la blockchain, la due diligence negoziale e gli strumenti giudiziali

Cyber Risk Management

  • L’analisi dei rischi: analisi quantitativa, analisi qualitativa
  • Identificazione delle minacce e delle vulnerabilità
  • Sistema di monitoraggio e gestione del piano di resilience
  • DLP, IRP (Incident Response Plan), Business Continuity e Disaster Recovery: la redazione di un piano di emergenza
  • Legami con GDPR, Sicurezza perimetrale: Firewall, VPN; Backup: sistemi RAID e NAS
  • IDS (Intrusion Detection System), IPS (Intrusion Prevention System): tipologie e configurazioni

Le Tecniche D’attacco Nelle Aziende E La Prevenzione

  • Il social engineering, il phishing
  • Gli attacchi tipici alle aziende
  • I ransomware
  • I rischi dell’email: Spoofing e BEC
  • Furto di identità, gestione dei profili social
  • Attacchi ai devices mobili, il BYOD in azienda
  • I rischi connessi alla messaggistica istantanea

Me, The Cyberthreat? Il Fattore Umano Nella Cybersecurity

  • Un approccio olistico alla Cybersecurity
  • Le caratteristiche dei sistemi socio-tecnici
  • Analisi dei fattori umani coinvolti negli attacchi di Cybersecurity, adesione/ violazione delle regole e scenari di impegno e disimpegno morale
  • Analisi della maturità dell’organizzazione: indagine su comportamenti, convinzioni e atteggiamenti (HAIS-Q e questionari HF) e valutazione degli asset tangibili e intangibili (metodo valutazione intangibles)
  • Analisi della maturità dell’organizzazione: valutazione della strategia di business e del modello organizzativo
  • Vulnerabilità a cui il fattore umano espone l’organizzazione

La Gestione Della Sicurezza Aziendale

  • Assessment ed Audit
  • VA/PT
  • Gestione dei fornitori in ottica di tutela aziendale e compliance
  • Gestione di una ispezione di terzi
  • Creazione di un’organizzazione/team aziendale

Forensics: Come Gestire Una Indagine Forense

  • I controlli preventivi
  • Gestire una indagine basata su sospetti
  • Gestire una indagine basata su reati conclamati
  • Gestire le evidenze di un attacco informatico

Gestione Dell’incidente Informatico

  • Il processo di gestione degli incidenti: inquadramento nell’organizzazione aziendale, ruoli e responsabilità
  • Principali fasi del processo
  • Breve inquadramento normativo: la gestione dei data breach
  • Gestioneincidentineiserviziesternalizzati – Identificareidatabreachchesiverificano
    fuori dalla tua rete
  • Soluzioni tecnologiche e organizzative per la gestione eventi e incidenti: il SOC (gestione eventi e log management, infrastrutture di centralizzazione), il SIEM
  • Esternalizzazione del servizio di monitoraggio a SOC esterni
  • LaISO/IEC27037perl’identificazione e l’acquisizione delle prove digitali

Aspetti Giuridici Del Crimine Informatico, Sicurezza Delle Informazioni E Protezione Della Proprietà Intellettuale

  • La tutela dei segreti aziendali, all’interno dell’azienda e nei rapporti con i terzi
  • Gli accordi di riservatezza (Non Disclosure Agreement) e altri rimedi contrattuali
  • aspetti contrattuali nella gestione dei VA/PT e Cloud

Deepweb E Darkweb, Ethical Hacking: Il Punto Di Vista Di Chi Attacca

  • Chi sono gli “hacker” e le loro motivazioni
  • Come cambia il metodo di attacco al variare delle motivazioni e degli obiettivi
  • Come si struttura un attacco informatico – Social Engineering, perchè l’essere umano
    è diventato l’obiettivo più ambito
  • OSINT:ilwebcomefontediinformazioni per la preparazione di un attacco
  • Cultura e conoscenza del problema: le armi più efficaci per difendersi
  • 10 punti da ricordare per proteggere noi e le aziende per cui lavoriamo

Per Una Cultura Della Sicurezza: Mitigazioni, Contromisure E Interventi Nelle Organizzazioni

  • Scenari complessi: effetti a cascata sulle reti di impresa e le filiere
  • Organizzazioni fragili e organizzazioni resilienti
  • Processi decisionali in contesti critici per la sicurezza
  • Disegno dei servizi, disegno dei processi inerenti i fattori umani nell’applicazione del GDPR
  • Awareness raising e educazione alle misure di mitigazione dei rischi (Matters)
  • Innovazione del modello aziendale e cambiamento organizzativo

La riforma delle intercettazioni, opinioni a confronto

Oggi si terrà – in esclusiva modalità virtuale a differenza di quanto inizialmente programmato – la conferenza sulla riforma delle intercettazioni organizzata dalla Camera Penale di Padova “Francesco de Castello”.

Camera Penale di Padova – La riforma delle intercettazioni

La conferenza, intitolata “LA RIFORMA DELLE INTERCETTAZIONI: OPINIONI A CONFRONTO”, sarà introdotta e coordinata dall’Avv. Pierluigi Tornago della Camera Penale di Padova e parteciperanno come relatori il Prof. Giorgio Spangher, Professore Emerito di Diritto Processuale Penale Università di Roma “La Sapienza”, il Dr. Bruno Cherchi, Procuratore Capo della Repubblica presso il Tribunale Ordinario di Venezia e il Dr. Paolo Dal Checco, Consulente informatico Forense, con una presentazione su “Captatori informatici: potenzialità, limiti e ambiti di utilizzo”.

La mia presentazione per la Camera Penale di Padova riguarderà il captatore informatico: dopo aver proposto una breve storia delle intercettazioni e delle problematiche che con la cifratura delle comunicazioni hanno creato nuove necessità investigative, analizzerò dal punto di vista tecnico le caratteristiche dei captatori informatici, illustrandone le potenzialità, i limiti e gli ambiti di operatività. In particolare, verranno analizzate le caratteristiche dei captatori informatici in ambito cellulare, concentrando l’attenzione sugli smartphone e sui tablet iOS e Android, dato che sono i più diffusi, con cenni anche alle intercettazioni telematiche su PC tramite captatore informatico.

Intercettazioni di telefono, smartphone e PC

Il programma completo del seminario sulle Intercettazioni e la nuova riforma, con cenni tecnici su potenzialità, limiti e ambito di utilizzo del cosiddetto captatore informatico, è disponibile in pdf al seguente link.

Programma della Conferenza sulla Riforma delle IntercettazioniDownload

È stato richiesto l’accreditamento al Consiglio dell’Ordine degli Avvocati di Padova. Iscrizioni a mezzo e-mail all’indirizzo [email protected] entro il 22 ottobre 2020.

Servizio TV con Le Iene sulla profilazione degli utenti

Oggi è andato in onda il servizio TV de Le Iene dove ho dato un mio piccolo contributo tecnico come perito informatico forense mostrando alcune caratteristiche della profilazione che le App fanno degli utenti tramite smartphone e PC. La navigazione, l’utilizzo dei dispositivi, la voce, le scelte che si fanno, sono tutti elementi che portano le aziende che stanno dietro ai grandi colossi del web e delle applicazioni a conoscerci meglio per poterci proporre servizi e beni sempre più mirati, il tutto chiaramente finalizzato a ottenere un ritorno d’investimento sempre maggiore dalla pubblicità o vendere un numero maggiore di beni e servizi.

Le Iene - Paolo Dal Checco - Profilazione Online

Nel servizio TV dove sono stato consulente informatico forense de Le Iene, con la iena Nicolò De Devitiis, possiamo ascoltare le interessanti osservazioni di esperti come Rudy Bandiera – divulgatore, creator e docente di online marketing – Veronica Gentili – esperta di Facebook marketing – e Joe Toscano – ex consulente di experience di design di Google – che raccontano dal loro punto di vista le varie sfaccettature della profilazione online.

Non è una novità che le applicazioni, così come i social network come Facebook, Linkedin, Twitter, Instagram ma anche qualunque sito web possano monitorare il comportamento degli utenti per tracciarne e profilarne i gusti. Importante però è esserne consapevoli, poter scegliere come e cosa lasciare che le aziende sappiano di noi ed eventualmente filtrare ogni tanto eventuali servizi troppo intrusivi.

Le Iene - Il prodotto sei tu - Come le App creano il tuo profilo

La profilazione, quindi, è un elemento ormai imprescindibile da qualunque servizio, i proprietari dei siti web conoscono chiaramente i nostri gusti di navigazione così come i social network. Il servizio de Le Iene, per Mediaset, mostra però come il tutto raggiunge livelli a volte maggiori di quello che tipicamente gli utenti immaginano quando installano un’App o utilizzano un servizio, sito web o social network come Instagram, Facebook, Linkedin o Twitter.

Diverse tracce che lasciamo dietro di noi durante il nostro uso quotidiano del web poi possono, tramite tecniche di ricerca online tramite OSINT, permettere anche a terzi di conoscere particolari che non ritenevamo di aver svelato, ma questa è un’altra storia e troveremo certamente il tempo di parlarne più avanti.

Forensic Readiness e Data Breach a Torino per ELSA e CSIG

Oggi ho avuto il privilegio di partecipare come relatore alla conferenza sulla “Protezione dei dati personali; profili applicativi, scenari e best practice per professionisti, imprese e Pubbliche Amministrazioni”, organizzata da ELSA Torino e CSIG Ivrea Torino, con un programma di tutto rilievo dedicato al Sistema di gestione GDPR, Analisi del Rischio e Sanità Digitale.

Forensic Readiness e Gestione dei Data Breach a Torino per ELSA e CSIG

Durante il mio intervento – dal titolo “Pillole di forensic readiness: come prepararsi a un data breach”.Cybersecurity” – ho raccontato alcune esperienze di gestione di data breach fornendo alcuni consigli su come prepararsi in modo produttivo a una eventuale attività d’informatica forense finalizzata a rispondere alle domande poster dal Garante della Privacy nel modulo di segnalazione data breach.

Durante la presentazione, ho illustrato alcuni elementi d’informatica forense che possono essere utili per la compilazione della notifica di segnalazione data breach la Garante della Privacy, proponendo una simulazione di compilazione che può essere utile per le aziende, DPO ed esperti di sicurezza informatica per autovalutare la capacità della propria struttura di supportare una indagine forense interna o esterna finalizzata a identificare cause, modalità, conseguenze, ambito e tempistiche di un data breach con violazione di dati personali.

Il programma della giornata di Studio organizzata da ELSA Torino e CSIG Ivrea si può scaricare in formato PDF, lo riportiamo qui di seguito per comodità, sottolineando che si distribuisce nelle tre giornate del 1 ottobre, 9 ottobre e 15 ottobre 2020.

1 ottobre 2020 : Sistema di gestione GDPR

ore 16-Saluti del Prof. Raffaele Caterina, direttore del Dipartimento di Scienze Giuridiche

 Presentazione ELSA Torino e CSIG Ivrea Torino e

Saluti  della Presidente dell’Ordine degli Avvocati  di Torino, Avv. Simona Grabbi

ore 16:30 : Un primo bilancio  dei primi anni di applicazione del regolamento alla luce della valutazione della commissione Europea , Prof. Massimo Durante, Università di Torino

ore 16:50:    Ruoli privacy all’interno delle imprese, Avv. Laura Marengo – Unione Industriale-

ore 17:10 : GDPR nelle amministrazioni pubbliche: Trasparenza e Foia– Prof. Sergio Foà, Università di Torino

ore 17:30 –  Il trasferimento dei dati all’estero: Prof. Marco Orofino, Università Statale di Milano

ore 17:50  – Le  ispezioni del Garante– dott.ssa Paola  Zambon

ore 18:10 –   Applicazione del GDPR nei social media: Avv. Francesca Bassa, StudioBASSA

9 ottobre  2020  GDPR- analisi del rischio

ore 16  – saluti prof.. Guido Boella, Direttore del Dipartimento di Informatica

Presentazione associazioni  ELSA Torino e CSIG Ivrea Torino

ore 16:15 – Analisi del rischio — Ing. Ezio Veiluva (Csi)

ore 16: 35  Pseudonimizzazione attraverso l’encryption, database auditing e controllo degli accessi prof. Ruggero Pensa

ore 17: 00 DPIA: Dott. Stefano Tresoldi, socio Csig

ore 17:20 – Il data breach: Dott.ssa Pinuccia Carena (Asl  Cuneo)

ore 17:40  Pillole di forensic readiness: come prepararsi a un data breach”.Cybersecurity: Dott.  Paolo Dal Checco 

ore 18:conclusioni

15  ottobre  2020  Sanità digitale e GDPR

ore 16—Saluti  ELSA Torino e CSIG Ivrea Torino

ore: 16:  –  Data protection e futuro dell’Europa prof. Francesco Pizzetti

ore 16: 30 – Le nuove sfide del Garante: IA   e GDPR, Garante privacy Prof. Guido Scorza

ore 16:45 – GDPR e ricerca:, Prof. Pierluigi Perri, Università Statale di Milano

ore 17:05 –  Il fascicolo e dossier sanitario: Alesssandra Migliore; DPO Città della salute

ore 17:25 –  Il ruolo del DPO nella sanità, avv.Ivan Tosco- Csig

ore 17:45: L’esercizio dei diritti sui dati in ambito sanitario avv. Gennaro Maria Amoruso

ore 18:05   La telemedicina: i nuovi scenari nazionali e i profili di compliance GDPR , avv. Mauro Alovisio , Csig  

ore  18: 25: Telemedicina: best pratctice  Dott.ssa Dominga Salerno ASL 3

ore 19 – Conclusioni

Pillole di Forensic Readiness all’Internet Governance Forum

Oggi ho partecipato come relatore alla conferenza Internet Governance Forum Italia di Torino, con tema videosorveglianza, sicurezza e protezione dei dati nelle città: dall’ Intelligenza Artificiale, al riconoscimento facciale, alle telecamere termiche e ai droni ai tempi del Covid: decisori, imprese e cittadini.

Il panel all’interno del quale ho portato il mio piccolo contributo verteva su un’analisi delle novità tecniche e regolatorie che hanno riguardato il sistema di controllo della videosorveglianza nelle città. Il tema è di estrema attualità anche per i rapporti con la trasparenza, la protezione dei dati, la cybersecurity, il rapporto con i cittadini, la sicurezza informatica e l’informatica forense.

Durante il panel della conferenza IGF di Torino, i relatori hanno analizzato i rischi e benefici delle tecnologie e illustrato come installare e gestire impianti nelle città nel rispetto delle garanzie dei cittadini e come conciliare la videosorveglianza con le aspettative di riservatezza delle persone.

Il mio intervento è stato orientato agli aspetti legati alla gestione dei data breach in ambito di nuove tecnologie e videosorveglianza, mostrando come anche in tale ambito risulta spesso strategica un’attività preparatoria all’indagine informatica, definita ormai da alcuni anni forensic readiness.

Pillole di Forensic Readiness - GDPR e Data Breach al IGF Forum di Torino

Si tratta, in sostanza, dell’attitudine e preparazione dell’azienda a gestire una eventuale attività d’indagine digitale, composta da acquisizione forense delle prove, analisi tecnica volta a estrarre le evidenze digitali strategiche per un’eventuale procedimento penale o causa civile, la produzione di una relazione tecnica o perizia informatica che ne documenti i passaggi. Spesso la produzione in giudizio a fini legali di prove viene realizzata con approcci e metodologie errate, è quindi importante che la catena di custodia, la strumentazione e le modalità operative siano quelle corrette, così da conferire maggiore validità alla prova informatica poterla utilizzare in Tribunale o in una eventuale notifica di data breach al Garante della Privacy o agli interessati.

Il video della conferenza su videosorveglianza è disponibile su YouTube al seguente link.

Alla giornata di conferenza sulla videosorveglianza a Torino hanno partecipato:

Moderatore

  • Chiara Bellosono

Relatori

  • Mauro Alovisio (Università Statale di Milano)
  • Lara Merla (dottoranda Università di Torino)
  • Alessandro Del Ninno  (Università LUISS Guido Carli di Roma)
  • Stefano Luca Tresoldi
  • Paolo Dal Checco (Università di Torino)
  • Stefano Manzelli (esperto sistemi di videosorveglianza) (giovane)

Promotore

  • Mauro Alovisio (Presidente dell’associazione Centro Studi di Informatica Giuridica di Ivrea)

Organizzatori

  • Mauro Alovisio
  • Lara Merla
  • Chiara Bellosono