I dati digitali sono il nuovo oro per i criminali informatici, che tentano continuamente di alterarli mediante danneggiamento, sottrazione o di negarne l’accesso agli utenti legittimi.
I processi e le tecnologie utilizzati per proteggere e mettere al sicuro i dati digitalizzati sono “mezzi materiali” di protezione dei dati che insieme alle best practices permettono di conseguire l’obiettivo generale della riservatezza, disponibilità continua e dell’immutabilità dei dati aziendali critici.
Imparare i meccanismi tecnici e le prassi migliori per garantire la protezione digitali dei dati è l’obiettivo di alcuni dei Master disponibili sul territorio nazionale.
La sezione corsi cyber security
Introduzione alla Data Protection
La protezione dei dati è il processo di salvaguardia dei dati digitalizzati da attività di danneggiamento, compromissione o perdita e dovrebbe comprendere anche la capacità di ripristino dei dati qualora fossero resi inaccessibili o inutilizzabili.
La protezione dei dati dovrebbe anche garantire che i dati siano conformi ai requisiti legali o normativi applicabili e siano accessibili solo per gli scopi per i quali chi accede è autorizzato. I dati protetti dovrebbero infine essere disponibili quando necessario e utilizzabili per lo scopo previsto.
L’ambito della protezione dei dati è quindi ricompreso nella garanzia della terna formata da Disponibilità, Integrità e Riservatezza (RID) che devono essere garantite con misure tecnico-implementative (fonte: SNIA org).
Nella disciplina della sicurezza informatica è bene chiarire che, da un punto di vista tecnico, i termini “Data Protection”, “Data Security” e “Data Privacy” hanno accezioni diverse fra loro, anche se a volte, in termini di business, sono utilizzati come termini similari.
Infatti, mentre la “protezione dei dati” è riferita alle attività di salvaguarda delle informazioni rispetto alla loro perdita (ad esempio attraverso accorgimenti di backup e ripristino n.d.r.), la “sicurezza dei dati” si riferisce specificamente alle misure adottate per proteggere l’integrità dei dati stessi da manipolazioni e malware garantendo una difesa dalle minacce interne ed esterne (un esempio ne è la tecnica di crittografia).
Infine, la “riservatezza dei dati” riguarda principalmente il controllo sull’accesso ai dati (un esempio riguarda le pratiche di identificazione, autenticazione e autorizzazione n.d.r.).
Naturalmente una violazione della privacy può portare a problemi di sicurezza dei dati. In particolare, una violazione dei dati personali, sensibili o particolari è chiamata data breach e prevede sanzioni in ottemperanza alla normativa di riferimento, che in Europa è rappresentata dal GDPR da cui scaturisce la normativa di riferimento per la protezione dei dati personali .
Sette i principi di protezione e responsabilità delineati (articolo 5.1-2 del GDPR n.d.r.): legittimità, equità e trasparenza, limitazione delle finalità, minimizzazione dei dati, accuratezza, limitazione dell’archiviazione, integrità e riservatezza ed infine la responsabilità (accountability). In aggiunta il GDPR stabilisce le misure di Data security secondo l’art. 32.
Per fornire una adeguata preparazione alla Data Protection l’Unione Europea ha anche reso disponibile un portale dedicato che introduce alla Data Protection da cui è possibile trarre spunto prima di implementare progetti in cui si renda necessario condividere dati e rendere fruibili dati aperti (progetti di Open Data).
I Master dedicati alla Data Protection
Università di Milano
Studiare e approfondire la disciplina della Data Protection è importante per tutti coloro che nel proprio lavoro vogliano contribuire a mettere al sicuro le informazioni digitalizzate ricoprendo ruoli tecnici o consulenziali nelle organizzazioni (sia da neolaureati, sia da mid-senior o senior level).
Anche la figura del Data Protection Officer (DPO), sancita dal GDPR, richiede una conoscenza approfondita non solo del sistema regolatorio, ma anche delle misure tecniche e di governance.
E’ utile chiarire che per il Garante della privacy italiana, il DPO è un professionista, indipendente rispetto al datore di lavoro, che conosce la normativa sulla protezione dei dati ma le sue competenze non sono certificate per cui “non rientra tra quelle disciplinate dall’art. 42 del GDPR, quindi non può essere approvata dall’Autorità” (fonte: Federprivacy).
Università di Milano: Master in cybersecurity e data protection
Tuttavia per un ruolo così importante e peculiare è necessario conseguire un mix di competenze che possano spaziare fra quelle tecniche, legali e di management con un attento occhio alla capacità consulenziale di fornire indicazioni a colui che ha la precisa responsabilità sui dati (tipicamente il titolare del trattamento come stabilito dal GDPR).
Per questo obiettivo di preparazione a tutto tondo alla Data Protection si segnala il Master di secondo livello dell’Università di Milano dal titolo “Master in cybersecurity e protezione dati”.
Prevede un piano didattico capace di coprire sia le competenze digitali sia quelle legali e manageriali, trattando gli argomenti metodologici di analisi del rischio, le architetture di sicurezza, le best practice e gli standard più diffusi alla base delle politiche aziendali (tra questi il NIST framework; COBIT, ISO27000, ISO31000), per poter identificare minacce e vulnerabilità, predisporre le procedure e l’organizzazione aziendale per la governance, impostare un adeguato controllo dei sistemi, organizzare le attività di auditing interno e le verifiche esterne e garantire la gestione della conformità e dell’operatività.
Il Master ha la durata di un anno e le iscrizioni sono state chiuse il 9 febbraio con l’avvio previsto dal 7 marzo fino al 28 febbraio 2024. Il folto elenco delle materie è costituito da una introduzione in diverse discipline tecniche quali ad esempio le basi di dati e le architetture dei sistemi digitali e la programmazione ma sono anche necessari i fondamenti di tipo legale legati al diritto penale ed alla sua applicazione processuale nonché ovviamente i fondamenti legati al GDPR e alle normative internazionali di cyber security.
Completano la formazione le discipline legate al management quali l’introduzione all’information security agli standard di risk management e alla protezione delle infrastrutture critiche.
Sole 24h Business School
Proposto dalla 24 ore business school è invece “l’Executive Master Cybersecurity e Data Protection” che, mediante un percorso metà tra la didattica teorica e la pratica, entra nel merito delle prassi di prevenzione e di salvaguardia dei dati.
Appartengono al primo gruppo le materie di “cyber risk management” e “le tecniche d’attacco nelle aziende e la prevenzione”, mentre sono ricomprese nel secondo gruppo le materie di “Gestione dell’incidente informatico”, “gestione della sicurezza aziendale”, “la gestione della crisi e ripristino fino alla normale operatività”.
Business School24: Executive Master Cybersecurity e Data Protection
Il percorso è completato dalle prassi di “Digital forensics”, “Ethical hacking”, e dagli argomenti “Aspetti giuridici del crimine informatico, sicurezza delle informazioni e protezione della proprietà intellettuale”.
Il Master prevede un percorso pianificato fra il 24 marzo e la fine di giugno con un impegno su sette weekend con fruibilità da remoto ma anche in aula dalla sede di Milano. Il percorso si presta sia per figure professionali che sono già in azienda, sia per neolaureati anche se quest’ultimi non fossero occupati potrebbero avere maggiori difficoltà nel mettere in pratica subito gli insegnamenti ricevuti.
Generalmente è consigliabile scegliere questo tipo di Master dopo uno o due anni di attività lavorativa in azienda anche per capire in che direzione far evolvere le proprie aspirazioni professionali e gli obiettivi di carriera.
Per coloro che lavorando non hanno molto tempo, ma che sono comunque intenzionati ad approfondire e a entrare nel merito della Data Protection in relazione al loro lavoro, la Business School rende disponibile anche lo stesso Master in una versione ridotta e part time, con una durata da aprile a settembre e un impegno complessivo meno legato alle lezioni in streaming con il resto del percorso organizzato in un formula on-demand, dal device che si preferisce (computer, smartphone, tablet e smart TV) e completato da un project work da sviluppare on-line.
Business School24: Executive Master Cybersecurity e Data Protection (part time)
Master Unicusano
Anche nel Master di secondo livello della Unicusano il titolo indica un approfondimento alla data protection: “Master Specialista in cyber security, digital forensics e data protection”.
Unicusano: Master Specialista in Cybersecurity, Digital Forensics e Data Protection
Il percorso di studi si occupa del doppio aspetto di formazione alla cyber security e alla privacy per la tutela della protezione dei dati personali. In particolare, al tema della privacy legata alla data protection è dedicata tutta la struttura didattica della seconda parte del Master, che approfondisce il trattamento dei dati personali in ambito lavorativo, i principali reati informatici e gli illeciti realizzati nelle imprese, fornendo conoscenze sulle garanzie costituzionali e completando la formazione con l’analisi di casi di studio relative alle indagini a tutela della persona offesa del reato.
Gli aspetti di cyber security sono invece trattati nella prima parte unitamente alle necessarie definizioni introduttive alla materia. La scadenza per le iscrizioni è fissata al 28 febbraio, ma la fruizione è sempre possibile grazie alla modalità interamente on line della piattaforma che eroga i corsi con accessibilità 24h su 24.
Master Tor Vergata
Ultimo in Lista ma non ultimo in Importanza è il Master di II livello in Competenze digitali per la protezione dei dati, la cyber security e la privacy aperto per l’anno 2022 /2023 dall’Università Tor Vergata di Roma.
Master Tor Vergata: Competenze per protezione dati, cybersecurity e privacy
Anche in questo percorso formativo la parola d’ordine è interdisciplinarietà fra le componenti giuridico-normativa, gestionale-aziendalistica e tecnologico-digitale che da un punto di vista professionale mirano a formare rispettivamente, responsabili in uffici legali e legislativi, professionisti di tipo DPO e consulenti di direzione e naturalmente tutte le figure operative e altamente specialistiche che sono legate alla prevenzione e la resilienza agli attacchi informatici.
Le lezioni sono previste a partire dalla fine di aprile per la durata totale di un anno. Il bando è disponibile nella sezione dedicata del sito universitario.
