Dipartimento di Informatica - Sede di Crema

CORSO DI LAUREA TRIENNALE SSRI ONLINE

Sicurezza dei Sistemi e delle Reti Informatiche Erogazione Online

Gestione della sicurezza nei sistemi informativi

Docente
Donato Caccavella

Crediti
6 cfu

Anno: III

Quadr: II

“L’insostenibile obbligo della azienda che deve dimostrare di aver fatto tutto il possibile per aver evitato l’incidente. Qualunque esso sia…”

Le imprese sono sempre più soggette a obblighi normativi di controllo sull’organizzazione aziendale al fine di tutelare i terzi e se stesse, evitando che vengano commessi reati in loro danno o favore. Né va tralasciato, peraltro, che nel caso di incidenti di qualsivoglia natura, l’impresa ha pur sempre se non un obbligo quantomeno un onere di preservare in maniera idonea il dato informatico che può rappresentare prova di quanto accaduto.
Fra gli adempimenti più noti e impegnativi possono esser menzionati, a titolo non esaustivo, la normativa sulla Privacy , sulla responsabilità amministrativa delle società e degli enti , sulla corruzione e falso in bilancio , ma sula tutela della sicurezza dei lavoratori : il sempre più frequente intreccio del diritto positivo con sistemi informatici oggetto di accertamento per determinare i fatti, le operazioni eseguite per evitarli e le responsabilità dei singoli lavoratori e/o dell’azienda richiede un’analisi ed uno studio integrati delle discipline – la giuridica e l’informatica – coinvolte.
Occorre in ogni caso evidenziare come le sinergie organizzative e gli obblighi imposti dalle diverse fonti normative o regolamentari se costituiscono per l’azienda un indubbio dispendio di risorse, allo stesso tempo rappresentano una reale opportunità evolutiva per un efficace controllo aziendale, che permetta di adottare un definito e rigoroso processo organizzativo di autocontrollo che impone un approccio di sistema sulle varie problematiche.
Nel brevemente descritto assetto organizzativo particolare importanza andrebbe dedicata alla prevenzione, l’approccio alla quale dovrebbe esser finalizzato alla riduzione del numero di “incidenti” e allo stesso tempo, posto che ogni incidente genera solitamente un risvolto di natura giudiziaria (civile e/o penale) o almeno disciplinare, assolvere alla funzione di precostituire gli elementi di prova da utilizzare in un eventuale contenzioso, per documentare le condotte degli operatori e le politiche di sicurezza dell’organizzazione, ovvero dar conto delle misure necessarie ad evitare l’incidente anche a tutela degli organi dirigenziali e di sorveglianza.
Tuttavia, come spesso accade, l’impostazione normativa tende ad esser considerata solo come un insieme di obblighi formali, con la conseguenza che la realtà conosce definizioni dei modelli organizzativi e delle azioni adottate dall’azienda privi di consistenza.
Orbene, attraverso l’illustrazione e la disamina di alcuni casi sarà chiarito come tale inadeguatezza ceda alla “prova di resistenza” giudiziaria; del pari, saranno esposti anche gli scenari frequenti, quelli immaginari e quelli reali: ciò che viene collettivamente reputato come accaduto, quello che realmente accade e quali possono essere le immediate azioni di intervento.

Alla luce di quanto è stato premesso, l’insegnamento si pone l’obiettivo di far acquisire agli studenti le competenze di base necessarie per:

  • identificare le reali aree di rischio sulla base dell’ente in esame;
  • definire e realizzare gli accorgimenti organizzativi e tecnologici necessari a prevenirli o, in subordine, a documentare l’accaduto;
  • svolgere un’attività di controllo che consenta di verificare che i regolamenti, i protocolli e i modelli organizzativi adottati siano effettivamente implementati ed efficaci.

In quest’ottica, l’insegnamento si articolerà in un parte giuridica, una tecnica e una metodologica:

  • nella parte giuridica verrà offerta una panoramica sulla normativa vigente, utile innanzitutto per illustrare agli studenti l’ambito di applicazione della materia, ma fondamentale per far comprendere quale sia il perimetro giuridico nel quale muoversi per le opportune attività di implementazione e verifica di accorgimenti organizzativi e tecnologici atti a impedire la commissione di reati o l’accadimento di incidenti;
  • nella parte tecnica verrà dato ampio spazio agli standard da adottare in tale contesto, tra cui rilevanza è assunta dagli standard ISO, e alle soluzioni tipiche da adottare;
  • nella parte metodologica verranno presentate le modalità di implementazione degli accorgimenti organizzativi e tecnologici per realizzare un’adeguata attività di verifica che non dovrà prescindere della caratteristica di economicità, né cagionare disagi rilevanti all’interno dell’ente, dovendo comunque risultare attendibile e affidabile sia in caso di verifica positiva, quanto in caso di verifica che evidenzi possibili integrazioni del modello adottato.

In sintesi e conclusione, verrà chiarito come le tecnologie informatiche siano un valido strumento per documentare in maniera attendibile l’adozione, l’attuazione e la verifica, da parte dell’organo dirigente, di modelli di organizzazione e di gestione idonei a prevenire illeciti, anche ove i medesimi dovessero realizzarsi”. E ciò o non solo per le fattispecie informatiche introdotte dalla legge di ratifica della Convenzione di Budapest sulla criminalità informatica, ma anche per quelle più frequenti, come ad esempio relative alla sicurezza sul lavoro.

Programma

Elementi di diritto

Elementi di procedura penale

  • Attori del processo penale
  • Fasi del procedimento penale
  • Mezzi di raccolta delle prove nel processo penale
  • Accertamenti tecnici nel processo penale (perizia, ct, incidente probatorio…)

Elementi di procedura civile

  • Tipi di procedimenti (civile, cautelare…)
  • Fasi del procedimento civile
  • Mezzi di raccolta delle prove nel processo civile
  • Accertamenti tecnici nel processo civile

Il documento informatico

  • Definizione di documento informatico
  • Firme elettroniche: aspetti tecnici e giuridici
  • Il valore probatorio del documento informatico

Altre norme rilevanti

  • Normativa privacy
  • La responsabilità penale degli enti: D.Lgs. 231/2001
  • Aspetti rilevanti sulla gestione dei sistemi informativi rispetto al D.Lgs. 231/2001
  • Normativa sul lavoro e job act
  • Controllo dei dipendenti e dei collaboratori
  • La videosorveglianza sui posti di lavoro
  • Proprietà intellettuale, segreto industriale e diritto d’autore

Aspetti tecnici di valutazione, prevenzione e controllo dei rischi

Standard ISO

  • ISO/IEC 27037
  • ISO/IEC 27035
  • ISO/IEC 27038
  • ISO/IEC 19011

Risposta agli incidenti informatici

  • La fase di valutazione del rischio
  • L’incident response
  • Forensic readiness plan

Casi di studio

  • Gestione dei sistemi informativi in ambito aziendale per tutela della proprietà industriale
  • Gestione dei sistemi informativi in ambito aziendale per controllo del personale
  • Gestione dei sistemi informativi in ambito sanitario
  • Misure tecniche per certificazione di processi e software

Simulazione

  • Un caso pratico: valutazione del rischio
  • Un caso pratico: risposta all’incidente
  • Un caso pratico: simulazione dibattimentale

L’insegnamento prevede infine anche riproduzioni in laboratori tecnici, esercitazioni pratiche e vere e proprie simulazioni dibattimentali, volte ad approfondire ruoli, competenze e dinamiche sia aziendali ma anche per alcuni casi processuali.

Modalità d’esame

Le prove di esame consisteranno in una prova scritta composta da 15 domande la cui risposta libera non deve superare approssimativamente le 700 battute – durata 2 ore.

Materiale di riferimento

  • Elementi Maior di Diritto Processuale Civile
    A cura di Antonella Comite
    Simone Editore
  • Elementi Maior di Diritto Processuale Penale
    Simone Editore
  • Elementi Maior di Legislazione in materia di documentazione e semplificazione amministrativa
    Simone Editore
  • Privacy e Pubblica Amministrazione
    Autori Beatrice Locoratolo
    Simone Editore
  • Manuale di Organizzazione Aziendale
    Autori Antonio Sortino
    Simone Editore
  • IT Auditing Using Controls to Protect Information Assets,
    C. Davis, M. Schiller, K. Wheeler, McGraw-Hill Education
  • Health and Safety, Environment and Quality Audits: A risk-based approach
    S. Asbury, Routledge
  • A Guide to Effective Internal Management System Audits: Implementing Internal Audits as a Risk Management Tool
    A. W. Nichols, IT Governance Publishing
  • Il processo
    Franz Kafka
  • I fratelli Kramazov
    Fëdor Dostoevskij
  • Rashom
    Akira Kurosawa
    FILM