MODULO 1:  INTRODUZIONE

Cos'è il Cloud Computing
I principali servizi del Cloud e la definizione del NIST (IaaS, PaaS, SaaS)
Architettura di riferimento del Cloud Computing
Virtualizzazione e multi-tenancy
Le normative europea e italiana sul Cloud Computing
Definizione di “rischio” e assement sulla sicurezza per la migrazione al Cloud
Requisiti di sicurezza del Cloud Computing

 

MODULO 2: INFRASTRUCTURE-AS-A-SERVICES (IAAS) SECURITY

Architettura generica di un IaaS, i “rischi” di sicurezza di un IaaS
Protezione dell’infrastruttura fisica (reti, server…)
Protezione dell’infrastruttura virtuale
Sicurezza delle virtual machine
Tecnologie e strumenti per la sicurezza di un IaaS

MODULO 3: PLATFORM-AS-A-SERVICES (PAAS) SECURITY

Architettura generica di un PaaS
I “rischi” di sicurezza di un PaaS
Protezione della piattaforma
Tecnologie e strumenti per la sicurezza di un PaaS

MODULO 4: SOFTWARE-AS-A-SERVICES (SAAS) SECURITY

Architettura e tipologie di SaaS
I principali rischi di sicurezza di SaaS: il modello OWASP
Tecnologie e strumenti per la sicurezza di un SaaS

MODULO 5: STRUMENTI PER LA VERIFICA DELLA SICUREZZA DI UN CLOUD

Security Assesment
Strumenti per il testing della sicurezza di un Cloud

 

MODULO 6: GOVERNANCE DELLA SECURITY

Il processo di governance del Cloud
Security as a Services
Auditing degli accessi
Policy
Account management & provisioning, Disaster Recovery & Business Continuity Planning
Intrusion detection & Incident Response

MODULO 7: CONCETTI GENERALI SULLA NORMA ISO/IEC 27001 E 27002 

Analisi della norma ISO/IEC 27001 (Information Security Management System).
Analisi della norma ISO/IEC 27002 (Code of practice for information security controls)
Valutazione delle minacce e delle vulnerabilità più comuni dei sistemi informativi e del conseguente innalzamento dei livelli di rischio

MODULO 8: PROBLEMATICHE DI PRIVACY DEL CLOUD COMPUTING

Dove vengono memorizzati i dati delle aziende?
Principali rischi relativi alla sicurezza dei dati, protezione dei dati sensibili, tecnologie e strumenti per la protezione dei dati nel Cloud (memorizzazione e trasferimento)
Protezione dei dati sensibili.
Analisi della norma ISO/IEC 27018:2014 (Code of practice for protection of personally identifiable information (PII) in public clouds).

MODULO 9: INFORMATION SECURITY RISK MANAGEMENT

Analisi della norma ISO/IEC 27005 (Information security risk management).
Definizione di Rischio informatico.
Relazione fra Rischio, Asset e Processi.
Le metriche del Rischio.
Valutazione dei rischi: approccio quantitativo, qualitativo ed ibrido.
Fasi di gestione del Rischio.

Nessuno

Il Cloud Computing consente alle aziende di esternalizzare le risorse IT e di trasferirle su data center distribuiti sulla rete. Questo consente di ottimizzare l’utilizzo delle risorse e di risparmiare sui costi dell’IT ma pone nuove problematiche relative alla sicurezza dei sistemi, dei dati, e sulla protezione di dati sensibili (privacy). Le normative vigenti, inoltre, non sono completamente pronte a supportare queste nuove tecnologie.