Corsi di formazione sulla sicurezza informatica nella PA

Corso di formazione avanzato di sicurezza informatica nella Pubblica Amministrazione.

Insieme ad un team di esperti abbiamo analizzato in maniera pratica:

• come vengono effettuati i principali attacchi informatici
• quali protezioni perimetrali adottare
• e quali sono le soluzioni sono più efficaci

La visione di questo corso di formazione avanzato sulla sicurezza informatica nella PA è consigliato agli uffici CED e agli esperti del settore ICT.

Durante questo corso di formazione (inedito) abbiamo analizzato l’attacco informatico subito dal Comune di Ferrara tra l’11 e il 12 luglio 2023.

• cosa è successo?
• in che modo l’ente ha risposto all’attacco (tempi, costi, modalità operative)?
• cosa poteva essere fatto PRIMA?
• + 5 cose che non possono assolutamente mancare all’interno di una Pubblica Amministrazione relativamente alla sicurezza informatica

Ospite speciale: Massimo Poletti – Dirigente Servizio Sistemi Informativi (CIO) e Responsabile per la Transizione al Digitale del Comune di Ferrara.

Corso di formazione dedicato agli RTD, agli uffici CED e a tutte quelle persone che, all’interno dell’ente, si occupano direttamente della posta elettronica (tecnici / sistemisti).

Nel corso del 2024 sono state introdotte – a livello globale – diverse novità importanti per proteggere i domini dall’invio fraudolento di e-mail, da una parte, e per assicurare che le e-mail “vere” giungano correttamente a destinazione, dall’altra.

Se sei un addetto ai lavori, durante questo corso di formazione ti aiutermeo a comprendere come configurare correttamente i server di posta elettronica in seguito a questi importanti aggiornamenti.

Nello specifico, andremo a lavorare sulle micro-configurazioni (lato DNS, soprattutto) che consentiranno di:

• mettere il tuo ente al riparo da eventuali attacchi di SPAM
• essere il più sicuri possibile che le e-mail “vere” raggiungano correttamente i destinatari delle comunicazioni reali (e importanti)

L’anello debole di ogni strategia di cybersecurity è il fattore umano e il social engineering fa leva proprio sull’incapacità della vittima di riconoscere l’attacco, sfruttando emozioni come paura e senso di urgenza per spingerla a compiere una determinata azione: ad esempio inviare denaro, divulgare informazioni sensibili o credenziali di accesso.

Una panoramica di come il nostro cervello percepisce le informazioni che riceve, per rafforzare quello che definiamo “firewall umano”.

Relatore d’eccezione: Sebastian Zdrojewski

Ha lavorato per 25 anni nel settore IT affrontando problemi di sicurezza informatica, privacy e protezione dei dati per le aziende. Nel 2017 ha fondato Rights Chain, un progetto che mira a fornire risorse e strumenti per il copyright e la protezione della proprietà intellettuale per i creatori di contenuti, gli artisti e le imprese.

L’Agenzia per la cybersicurezza nazionale ha adottato il “Regolamento unico per le infrastrutture digitali e i servizi cloud per la Pubblica Amministrazione”.

Mettendo così fine ad un periodo transitorio, dal 1 agosto 2024 entrerà in vigore questo nuovo Regolamento, pensato come “strumento guida” per le PA per quanto riguarda l’individuazione delle possibili soluzioni cloud.

Programma del corso:

• Classificazione dei dati e servizi in ordinari, critici e strategici
• Nuovi livelli minimi di sicurezza per le infrastrutture cloud
• Processo di migrazione dei dati e servizi verso il cloud
• Requisiti per la qualificazione dei fornitori di servizi cloud
• Ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN)
• Tempistiche e scadenze per l’adeguamento

Relatore: Andrea Marella

Alcuni strumenti utili – e azioni da compiere – per affronare al meglio il problema della cybersicurezza nella Pubblica Amministrazione.

Relatore: Andrea Marella

Molti enti non le hanno mai implementate davvero o le hanno semplicemente compilate “così tanto per” nel 2017 e poi le hanno dimenticate in un cassetto.

All’interno di questo corso di formazione scoprirai:

• perché nel 2025 il livello “minimo” non basta più – ed io sono convinto che dovresti puntare almeno livello “standard”
• come compilare DAVVERO il documento (non con semplici “sì”, “ok”, “fatto”, ma con informazioni concrete sulle misure di sicurezza implementate all’interno dell’ente)
• chi deve compilarlo (con buone probabilità avrai bisogno del supporto dei dei tuoi fornitori IT)
• un approccio pratico e progressivo, con mappe mentali che ho creato per ogni singola misura (121 in totale!)

Ma soprattutto capirai perchè questo documento ti sarà d’aiuto nel momento in cui dovessi subire un attacco informatico.

Relatore: Andrea Marella

Il nuovo Disegno di Legge Ransomware (che dovrebbe diventare legge entro la fine dell’estate 2025) estenderà gli obblighi di notifica degli incidenti informatici e le attività di audit a tutti i soggetti pubblici, indipendentemente dalle dimensioni.

Ma la cosa che mi ha colpito di più è un caso concreto che ho analizzato insieme all’avvocato Cicchinelli: un ordine professionale degli psicologi è stato sanzionato dal Garante Privacy con 30.000 euro perché le sue misure di sicurezza (basate sulla vecchia circolare AgID del 2017) sono state considerate “inadeguate e non aggiornate”.

Il messaggio è chiaro: non basta più dire “siamo piccoli, facciamo il minimo”. Serve un approccio strutturato.

Ecco allora 3 step che devi assolutamente considerare:

• Governance della cybersicurezza: chi farà cosa all’interno dell’ente in caso di incidente informatico?
• Piano per la notifica degli incidenti: quali procedure adottare per non farsi trovare impreparati?
• Piano di prevenzione del rischio cyber: un approccio documentato e periodicamente aggiornato

Perchè in caso di eventuale attacco informatico dovrai avere a disposizione (anche) la documentazione “giusta” per evitare sanzioni salate.

Relatore: Andrea Marella