Analisi e gestione del rischio
A.A. 2024/2025
Obiettivi formativi
L'obiettivo dell'insegnamento è di fornire agli studenti una panoramica ampia su una disciplina fortemente intersettoriale come è l'Analisi del Rischio che ha una lunga tradizione e pratica in settori come l'economia, la finanza, la gestione d'impresa, la salute e le infrastrutture pubbliche. Con questo insegnamento si vuole familiarizzare gli studenti con i principi e i metodi dell'Analisi del Rischio, fornendo strumenti concettuali e di analisi per interpretare fenomeni complessi nel settore della sicurezza informatica, valutare aspetti tecnici e tecnologie e affrontare processi di integrazione di metodi di gestione standard della sicurezza informatica all'interno di contesti aziendali.
Risultati apprendimento attesi
Al termine dell'insegnamento, lo studente dovrà dimostrare di aver compreso i principi dell'analisi del rischio e in particolare la norma ISO31000:2018. Dovrà possedere un lessico appropriato nel dominio del risk management e comprendere le interrelazioni che caratterizzano la disciplina con maggior approfondimento per quanto riguarda i temi relativi alla sicurezza informatica.
Periodo: Primo semestre
Modalità di valutazione: Esame
Giudizio di valutazione: voto verbalizzato in trentesimi
Corso singolo
Questo insegnamento può essere seguito come corso singolo.
Programma e organizzazione didattica
Edizione unica
Responsabile
Periodo
Primo semestre
Programma
L'insegnamento tratterà i seguenti temi: i sistemi informativi aziendali, la sicurezza delle informazioni, una introduzione ai sistemi di gestione e alle best practices internazionali, la gestione del rischio con la ISO 31000, il processo di risk management, il sistema di gestione dell'Information Security ISO/IEC 27000:2018, il database di minacce, i controlli di sicurezza. Inoltre, alcuni approfondimenti verticali su opportunità, rischi e raccomandazioni della trasformazione digitale (cloud, IoT, intelligenza artificiale) e infine sul ruolo del Chief Information Security Officer.
Prerequisiti
Non ci sono prerequisiti obbligatori per partecipare a questo insegnamento ma visto il tema trattato è utile una conoscenza dei sistemi informativi delle imprese pubbliche e private, delle minacce hacker, delle vulnerabilità delle infrastrutture hardware/software e delle misure di sicurezza atte a proteggere gli asset aziendali.
Metodi didattici
L'insegnamento sarà basato su lezioni frontali e numerose testimonianze esterne di professionisti del mondo del lavoro. Gli studenti saranno invitati a studiare dei temi collaterali e i volontari potranno presentare il loro lavoro durante le lezioni con brevi interventi.
Materiale di riferimento
I testi di riferimento, altre al PPT spiegato a lezione, sono:
1)
Diego Fiorito; Risk management: how to achieve personal and business goals. ISBN 9798686535879 / Eccetto chapter III (pagine 59-70). In inglese.
2)
Risk Management - La norma ISO 31000. La metodologia per applicare efficacemente il risk management in tutti i contesti. Terza edizione aggiornata con 5 casi di studio. ISBN 8891149837. In italiano.
3)
ISO 31000:2018; Risk management — Guidelines. https://www.iso.org/obp/ui/#iso:std:iso:31000:ed-2:v1:en In Inglese.
4)
ISO/IEC 27000:2018; Information technology — Security techniques — Information security management systems — Overview and vocabulary. https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html In inglese
5)
Cesare Gallotti; Sicurezza delle informazioni (edizione del 2022). ISBN 9791220888196 (e-book) e 9791220388450 (cartaceo) https://www.cesaregallotti.it/libro.html in italiano. Oppure
Cesare Gallotti; Information Security (2022 edition). ISBN 9791220888851 (e-book) and 9791220388474 (hardcopy) https://www.cesaregallotti.it/libro-ENG.html (alternativa in inglese).
Libri facoltativi (6-12):
- I primi 100 giorni del Responsabile della Sicurezza delle Informazioni (in italiano) o The first 100 days of the Information Security Manager (in inglese) scaricabili gratuitamente dal sito https://c4s.clusit.it/
Altri libri (in italiano) scaricabili gratuitamente dal sito https://c4s.clusit.it/ e in particolare quelli più recenti come
- Rischio Digitale Innovazione e Resilienza
- Supply Chain Security
- Intelligenza Artificiale e Sicurezza
- IoT Security e Compliance
- Consapevolmente Cloud.
Infine
- Alan Calder; NIST Cybersecurity Framework. A pocket guide. ISBN 9781787780408 in inglese
1)
Diego Fiorito; Risk management: how to achieve personal and business goals. ISBN 9798686535879 / Eccetto chapter III (pagine 59-70). In inglese.
2)
Risk Management - La norma ISO 31000. La metodologia per applicare efficacemente il risk management in tutti i contesti. Terza edizione aggiornata con 5 casi di studio. ISBN 8891149837. In italiano.
3)
ISO 31000:2018; Risk management — Guidelines. https://www.iso.org/obp/ui/#iso:std:iso:31000:ed-2:v1:en In Inglese.
4)
ISO/IEC 27000:2018; Information technology — Security techniques — Information security management systems — Overview and vocabulary. https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html In inglese
5)
Cesare Gallotti; Sicurezza delle informazioni (edizione del 2022). ISBN 9791220888196 (e-book) e 9791220388450 (cartaceo) https://www.cesaregallotti.it/libro.html in italiano. Oppure
Cesare Gallotti; Information Security (2022 edition). ISBN 9791220888851 (e-book) and 9791220388474 (hardcopy) https://www.cesaregallotti.it/libro-ENG.html (alternativa in inglese).
Libri facoltativi (6-12):
- I primi 100 giorni del Responsabile della Sicurezza delle Informazioni (in italiano) o The first 100 days of the Information Security Manager (in inglese) scaricabili gratuitamente dal sito https://c4s.clusit.it/
Altri libri (in italiano) scaricabili gratuitamente dal sito https://c4s.clusit.it/ e in particolare quelli più recenti come
- Rischio Digitale Innovazione e Resilienza
- Supply Chain Security
- Intelligenza Artificiale e Sicurezza
- IoT Security e Compliance
- Consapevolmente Cloud.
Infine
- Alan Calder; NIST Cybersecurity Framework. A pocket guide. ISBN 9781787780408 in inglese
Modalità di verifica dell’apprendimento e criteri di valutazione
La verifica dell'apprendimento avverrà tramite esame orale. La valutazione terrà in forte conto l'uso corretto dei termini e definizioni della norma ISO 31000:2018, della capacità di documentare alcuni scenari ipotetici di rischio aziendale e la comprensione della sicurezza delle informazioni (ISO/IEC 27000:2018).
Siti didattici
Docente/i