Sicurezza e privacy nell'era del Cloud Computing
MODULO 1: INTRODUZIONE
Cos'è il Cloud Computing
I principali servizi del Cloud e la definizione del NIST (IaaS, PaaS, SaaS)
Architettura di riferimento del Cloud Computing
Virtualizzazione e multi-tenancy
Le normative europea e italiana sul Cloud Computing
Definizione di “rischio” e assement sulla sicurezza per la migrazione al Cloud
Requisiti di sicurezza del Cloud Computing
MODULO 2: INFRASTRUCTURE-AS-A-SERVICES (IAAS) SECURITY
Architettura generica di un IaaS, i “rischi” di sicurezza di un IaaS
Protezione dell’infrastruttura fisica (reti, server…)
Protezione dell’infrastruttura virtuale
Sicurezza delle virtual machine
Tecnologie e strumenti per la sicurezza di un IaaS
MODULO 3: PLATFORM-AS-A-SERVICES (PAAS) SECURITY
Architettura generica di un PaaS
I “rischi” di sicurezza di un PaaS
Protezione della piattaforma
Tecnologie e strumenti per la sicurezza di un PaaS
MODULO 4: SOFTWARE-AS-A-SERVICES (SAAS) SECURITY
Architettura e tipologie di SaaS
I principali rischi di sicurezza di SaaS: il modello OWASP
Tecnologie e strumenti per la sicurezza di un SaaS
MODULO 5: STRUMENTI PER LA VERIFICA DELLA SICUREZZA DI UN CLOUD
Security Assesment
Strumenti per il testing della sicurezza di un Cloud
MODULO 6: GOVERNANCE DELLA SECURITY
Il processo di governance del Cloud
Security as a Services
Auditing degli accessi
Policy
Account management & provisioning, Disaster Recovery & Business Continuity Planning
Intrusion detection & Incident Response
MODULO 7: CONCETTI GENERALI SULLA NORMA ISO/IEC 27001 E 27002
Analisi della norma ISO/IEC 27001 (Information Security Management System).
Analisi della norma ISO/IEC 27002 (Code of practice for information security controls)
Valutazione delle minacce e delle vulnerabilità più comuni dei sistemi informativi e del conseguente innalzamento dei livelli di rischio
MODULO 8: PROBLEMATICHE DI PRIVACY DEL CLOUD COMPUTING
Dove vengono memorizzati i dati delle aziende?
Principali rischi relativi alla sicurezza dei dati, protezione dei dati sensibili, tecnologie e strumenti per la protezione dei dati nel Cloud (memorizzazione e trasferimento)
Protezione dei dati sensibili.
Analisi della norma ISO/IEC 27018:2014 (Code of practice for protection of personally identifiable information (PII) in public clouds).
MODULO 9: INFORMATION SECURITY RISK MANAGEMENT
Analisi della norma ISO/IEC 27005 (Information security risk management).
Definizione di Rischio informatico.
Relazione fra Rischio, Asset e Processi.
Le metriche del Rischio.
Valutazione dei rischi: approccio quantitativo, qualitativo ed ibrido.
Fasi di gestione del Rischio.