Di cosa mi occupo
Sono un consulente direzionale su tematiche afferenti il mondo ICT. I servizi di consulenza e formazione sono suddivisi su tre aree: privacy, cybersecurity e reingegnerizzazione processi. Di seguito troverete una descrizione che vi aiuterà a comprendere meglio gli ambiti di operatività. Ho un canale Telegram a cui ci si può iscrivere cliccando qui nel quale fornisco informazioni e/o aggiornamenti sulle notizie riguardanti la sicurezza informatica.
Cybersecurity
- Adeguamento alla NIS 2. La Direttiva Europea per la cybersecurity, recepita dal D.Lgs 138/2024 è uno degli elementi d’interesse per le organizzazioni private e pubbliche. Il processo di adeguamento richiede competenze di natura tecnico-organizzativa che spesso sono messe a disposizione del cliente per accompagnarlo durante il processo di adeguamento. In tal senso, oltre alla normativa principale, è necessario conoscere anche i principali standard internazionali di riferimento (ad es.: ISO 27001:2022, ISO 27005, Critical Security Controls) e la normativa nazionale integrata al quadro della NIS 2.
- Percorsi di formazione. La tematica della cybersecurity è tra le più richieste in termini di domanda di formazione. Negli ultimi anni l’attività è stata erogata per associazioni, organizzazioni pubbliche e private nonché università. La formazione viene specificamente calibrata sul pubblico di riferimento e sull’esigenza del cliente, mantenendo la massima chiarezza e semplicità possibile. L’obiettivo è massimizzare la comprensione dell’utente e sensibilizzarlo verso i potenziali rischi e le contromisure. L’attività può essere erogata sia in presenza che in modalità eLearning.
- Cybersecurity assessment. È un intervento finalizzato ad analizzare il livello di sicurezza informatica all’interno di aziende e pubbliche amministrazioni. L’assessment può essere rivolto verso l’intera infrastruttura ICT o verso una singola parte di essa (ad esempio il portale web istituzionale). È un’attività che generalmente interessa il reparto ICT nella persona del Responsabile dei Sistemi informativi o il Responsabile della Cyber Security. L’attività viene svolta a vari livelli di complessità: partendo da un’analisi tecnico-funzionale delle soluzioni, fino ad arrivare ad attività di penetration-test.
- Adeguamento al GDPR. La sicurezza dei dati personali passa attraverso l’adempimento normativo del GDPR. L’attività svolta ha la finalità di verificare che il trattamento dei dati personale degli utenti venga svolto nel rispetto della legge e con completezza, al fine di evitare ammonimenti e sanzioni.
- Data Protection Impact Analysis (DPIA). L’analisi d’impatto per la protezione dei dati personali è una misura cautelativa prevista dal GDPR e si fonda su un’analisi completa del contesto in cui opera l’azienda o la pubblica amministrazione. Lo scopo finale è evidenziare le modalità con cui viene svolto un trattamento preso in esame, dando evidenza dei rischi e delle relative contromisure. La DPIA è un prodotto sartoriale, studiato e realizzato specificamente sulla realtà del cliente, al fine di garantire la massima trasparenza ed efficacia nel risultato.
- Data breach management. La gestione corretta di un data breach è divenuta una priorità negli ultimi anni. L’intervento in oggetto si sviluppa con azioni volte ad individuare le aree di criticità tecnico-operativa studiando la soluzione migliore per evitare il ripetersi della problematica. Inoltre l’attività può essere progettata anche con finalità formative per scoprire la modalità di gestione migliore in modo da ridurre i tempi di ripristino del servizio (RTO).
- Privacy assessment. È un intervento indirizzato ad aziende e pubbliche amministrazioni, dedicato alla creazione/gestione di un ecosistema in cui la privacy delle informazioni è posto al centro del business.
Reingegnerizzazione di processi e digitalizzazione
- Analisi dei processi: pochi sono a conoscenza che dietro ai data-breach ci sono spesso problemi di natura organizzativa. Processi senza responsabili dall’esito non corretto possono generare falle nella sicurezza e creare problemi allo svolgimento ordinario delle attività di business. L’analisi dei processi mira ad individuare le aree critiche e proporre soluzioni tecnico-organizzative adeguate.
- Analisi flussi dati: sempre meno organizzazioni possono vantare il reale controllo sui flussi dati. Questo tipo di intervento mira a mappare tutti i flussi dati di business evidenziando quelli prioritari e maggiormente esposti a rischi.
- Consolidamento infrastrutture ICT. Le attività di riorganizzazione dei processi, in ambito ICT, si traducono in interventi di tipo tecnico-organizzativi volti ad ottimizzare la parte IT del cliente. Non si tratta quindi solo di affiancare interventi infrastrutturali ma di agevolarli con metodologie e strumenti realizzati appositamente per il cliente.
- Supporto al change management: il cambiamento è una fase fisiologica di ogni struttura organizzativa. Esso è affrontato dalle principali metodologie di project e service management (ad es.: ITIL, PRINCE2, etc..). Supportare il cambiamento significa analizzare gli effetti che questo può avere internamente al business ma anche esternamente, offrendo una visione più ampia e soluzioni più armonizzate.
Ulteriori aspetti legati alla formazione del personale
Una gran parte della mia attività prevede l’erogazione di formazione per enti privati e pubblici su un gran numero di argomenti: sicurezza informatica, firme elettroniche, aspetti di informatica forense, analisi dei rischi e piani di gestione dell’emergenza informatica.
La formazione è un elemento essenziale per sviluppare le competenze di aziende, pubbliche amministrazioni centrali e locali. Gli argomenti proposti nei corsi, sono sempre aggiornati e sono “modellati” sulle esigenze professionali del committente. Possono essere erogati in modalità sincrona o registrati per essere successivamente visionati dal personale. Di seguito sono elencati gli argomenti più richieste da P.A. e aziende private.
Firme Elettroniche
Aspetti tecnici e di utilizzo
Quali sono le tipologie di firme elettroniche. Come si utilizzano e quando. Quali sono le loro caratteristiche?Il corso mira a fornire tutte le indicazioni necessarie per gestire al meglio le firme elettroniche, avendo cura di utilizzare concetti e linguaggio comprensibili anche al personale non tecnico.
Gestione Documentale
Aspetti tecnici e organizzativi
Quali sono gli aspetti tecnici più rilevanti riportate nelle Linee Guida AgID di “Creazione, Gestione e Archiviazione del Documento Informazione”? Il corso approfondirà gli aspetti salienti, puntando il riflettore su tutti quei vincoli tecnico-organizzativi da cui non si può prescindere. Il tutto con un linguaggio semplice e assolutamente alla portata di tutti.
Cybersecurity
Tecniche di attacco e difesa
Il corso affronterà gli argomento più importanti legati alla cybersecurity tra cui: tecniche di attacco dolosa, gestione degli incidenti colposa, tecniche di difesa, impatto sull’organizzazione. Il corso è studiato per essere seguito anche da personale non tecnico perchè il linguaggio adottato e le spiegazioni sono state particolarmente semplificate. L’obiettivo è rendere consapevole il personale attraverso una formazione adeguata.
Trattamento dei dati
Compliance al GDPR
Quali sono gli aspetti tecnico-organizzativi per gestire adeguatamente i dati personali? Quali sono i rischi a cui ci si espone e come gestire quei trattamenti definiti dal Garante della Protezione dei Dati “ad elevato rischio”? Il corso affronterà queste tematiche fornendo risposte molto pratiche ai quesiti più comuni e suggerendo soluzioni applicabili nell’immediato in modo da massimizzare il valore della formazione.
Risk Management
Metodologie di gestione del rischio ICT
Come può il personale di aziende e P.A. gestire adeguatamente il rischio informatico? Quali sono gli aspetti e le tecniche più rilevanti. Come devono essere applicati concetti come Disaster Recovery, Business Continuity, e come si gestiscono i relativi piani? Il corso esporrà le metodologie più rilevanti e spiegherà metodi d’impiego e peculiarità di ciascuno.
Simulazioni
Esercizi e Casi Studio
Tutti gli argomenti trattati sono completi di casi studio aggiornati, pertinenti e spiegati nel dettaglio. In molte occasioni è possibile integrare alla parte nozionistica anche simulazioni per stimolare il lavoro di gruppo e l’apprendimento.
È importante sottolineare che questi corsi sono stati erogati, negli anni, ad aziende pubbliche, private e organismi professionali. Il linguaggio utilizzato in questi corsi è appositamente studiato per essere compreso da tutti i partecipanti, in particolare dal personale non tecnico a cui spesso tali corsi sono rivolti. Questo significa l’adozione di concetti semplici, l’abolizione dei tecnicismi e di terminologie straniere al fine di ridurre l’ambiguità concettuale. L’elevato numero di esempi fornisce, infine, un valido supporto alla comprensione generale.