ASSINFORM Società certificata UNI EN ISO 9001:2008 Settori EA 37 - EA 08 - EA 35

Cyber Risk La collana e-learning di formazione continua ed operativa per gli intermediari di assicurazione

12 moduli di un’ora

ASSINFORM

6 ore nel 2018

6 ore nel 2019

unità didattiche divise in pillole da 10/15 minuti

SAAScuolaAssicurativaAssinform

La lettera al mercato IVASS del 29 dicembre 2017 per gli intermediari assicurativi

Il metodo didattico ASSINFORM consente agli intermediari una partecipazione attiva ed esperienziale

Estratto dalla lettera dell’IVASS

“Esiti dell’indagine conoscitiva sui presidi degli intermediari tradizionali per la gestione delle informazioni e la prevenzione dei rischi informatici. Indicazioni per gli intermediari”.

“Fondamentale, sempre sul piano della prevenzione, sarà l’accrescimento delle conoscenze informatiche degli intermediari stessi e dei collaboratori e dipendenti. A tal fine l’istituto si attende che una quota del 20% del monte ore di formazione biennale obbligatoria per l’aggiornamento professionale, ex articolo 7 del Regolamento IVASS n. 6/2014, sia dedicata, a partire dal 2018, ai temi della sicurezza informatica”.

La Collana e-learning sul Cyber Risk

12 moduli di un’ora - pillole didattiche di 10 / 15 minuti

Non più formazione una tantum...

... ma a rilascio mensile e a norma IVASS Reg. 6/2014 di moduli da

un’ora ciascuno a loro volta composti da pillole di 10-15 minuti.

Ogni pillola proponeun caso reale da risolvere

e approfondire.

Coinvolgimento continuo

L’approccio pratico consente al discente di riflettere sulle sue abitudini e grazie alle nuove

tecniche di gamification e storytelling si sente

costantemente coinvolto e stimolato

a migliorarle.

Analisi dei casi in base alla frequenza

di rischioIl programma delle 12 ore

complessive, completate entro il biennio 2018-2019, è strutturato per analizzare tutte le principali

tematiche del cyber risk, dando priorità agli eventi che

accadono con maggior frequenza.

Questioni generali• Frodi e truffe online • L'economia sommersa del Cybercrimine• Aggiornamenti di sistemi e software• Il backup ed il ripristino

Posta elettronica• Phishing• Spam• Collegamenti malevoli• Allegati• Moduli all'interno di messaggi email

Virus e malware• Virus ed antivirus• Keylogger• Ransomware• Vettori d'attacco: dispositivi USB, macro di Office• APT: advanced persistent threat

Password ed autenticazione• Attacchi alle password• Complessità delle password• Consigli per scegliere una password robusta• Gestione degli account sensibili (email personale, account bancario/paypal, siti di commercio on-line)• Furti di credenziali• Autenticazione a due fattori

Navigazione Web• Siti fraudolenti• Differenze fra http ed https• Sicurezza dei pagamenti on-line• Siti fraudolenti ed https• Auto-completamento dei moduli• Pop up malevoli• Aggiornamenti del browser

Dispositivi mobili• Il codice PIN e password robuste (abilitare l'auto-lock)• Cifratura e confidenzialità dei dati• Sicurezza della posta elettronica nei dispositivi mobili• App malevole e permessi• Utilizzo sicuro di Wi-Fi e Bluetooth• Backup• Aggiornamenti App e sistema

Posta elettronica certificata e firma digitale• Funzionamento della PEC• Modalità di registrazione di casella PEC• Introduzione alla firma digitale• Delega all'utilizzo di pec e firma digitale• Attacchi di phishing via PEC

Connessioni Wi-Fi• Utilizzo di connessioni Wi-Fi pubbliche• Sicurezza Wi-Fi a casa ed in ufficio• Connessioni VPN

I temi delle 12 oreprogramma 2018-2019

AGENDA CORSI 2018

Attestazione crediti IVASSNel 2018 saranno erogati 6 moduli di un’ora ciascuno per complessivi 6 crediti IVASS che rappresentano il 20% del monte ore formazione obbligatoria dell’anno. È così rispettata la richiesta dell’IVASS.Lo stesso dicasi per l’agenda cyber risk e-learning 2019.Al termine di ogni modulo, erogato alle scadenze indicate nelle agende 2018-2019, sarà somministrato il test finale che darà diritto al credito IVASS di un’ora.

Normativa PrivacyLe pillole conterranno inoltre specifici riferimenti sulle implicazioni normative legate alla divulgazione di dati personali e sulle responsabilità dei soggetti coinvolti.

1a ora giugno

2a ora luglio

3a ora agosto

4a ora settembre

5a ora ottobre

6a ora novembre

AGENDA CORSI 2019

7a ora febbraio

8a ora marzo

9a ora aprile

10a ora maggio

11a ora giugno

12a ora luglio

1° modulo da 60 minuti

1. Il cybercrimePartendo da una tematica conosciuta come la navigazione web, porremo l’attenzione sul crimine informatico, toccando i seguenti punti:• Frodi e truffe online• Ritorni economici: modalità di monetizzazione del

cybercrime

2. PhishingSaranno trattati in linea generale i rischi derivanti dall’uso della posta elettronica, in particolare verrà trattato l’argomento del phishing: quali sono le minacce, i rischi e le soluzioni al problema.

3. La navigazione WebSarà trattato l’argomento della navigazione web, introducendone i rischi ed alcune misure di sicurezza. Argomenti trattati:• Differenze fra http ed https• Pagamenti on-line• Siti fraudolenti ed https, la verifica dei certificati

4. Uso di dispositivi MobiliVerranno introdotti alcuni accenni su come utilizzare i dispositivi mobili per navigare online in modo sicuro e consapevole.

5. Le connessioni Wi-Fi (reti pubbliche)Si parlerà di reti Wi-Fi pubbliche e di quanti e quali rischi sono sottovalutati nel loro utilizzo. Verranno fatti alcuni esempi di attacchi.

2° modulo1. PasswordL’importanza di saper scegliere una password sicura è il primo grado di difesa dalle intrusioni informatiche. Argomenti trattati:• Differenza tra ID e Password• Come scegliere una password efficace

2. La posta elettronicaGli attacchi informatici più frequenti colpiscono attraverso la posta elettronica, verranno approfonditi alcuni concetti visti nel primo modulo inerenti alla posta elettronica. Argomenti trattati:• Lo Spam• Come riconoscere le mail malevole

3. App Malevole e PermessiQualsiasi applicazione per dispositivi mobili necessita di autorizzazioni e permessi per poter funzionare correttamente, espediente che molte applicazioni malevole sfruttano per poter accedere ai dati nei dispositivi. Argomenti trattati:• Cosa sono i Permessi• In che modo le app malevole sfruttano i permessi• Quali Permessi occorre disattivare per tutelarsi

4. La CrittografiaVerrà affrontato il tema della crittografia, dai primi espedienti per cifrare dei testi alle più recenti strategie di codifica End-To-End, con facili esempi e una simulazione dove l’utente veste i panni di un pirata informatico che tenta di effettuare un attacco.• Crittografia End-To-End• Integrità, Affidabilità e Confidenzialità dei dati • L’attacco Man-In-The-Middle

3° modulo1. Sicurezza Wi-FiVerrà trattato il tema della sicurezza nelle connessioni wireless e spiegata l’importanza della selezione dell’adeguato protocollo di sicurezza.Argomenti trattati:• Le vulnerabilità dei protocolli di sicurezza obsoleti• Il protocollo WPA2• Come impostare correttamente un router Wi-Fi

2. I CookieOgni sito web utilizza varie tipologie di cookie per poter funzionare, alcuni di questi hanno finalità di profilazione utenti e possono essere disattivati. Argomenti trattati:• Cosa sono i cookie• Quali tipologie di cookie esistono• Rischi annessi a un utilizzo improprio dei cookie• Come riconoscere e attivare/disattivare i cookie

3. RansomwareVerrà fatto un approfondimento sul malware più dannoso attualmente in circolazione, il Ransomware. Argomenti trattati:• Come funzionano i Ransomware• In che modo è possibile contrarre l’infezione• Suggerimenti su come comportarsi in caso di

Ransomware installato sul proprio computer

4. Vettori di Attacco - Dispositivi USBUna minaccia da non sottovalutare è rappresentata dai dispositivi USB compromessi, l’argomento tratterà di quali sono le minacce e perchè attacchi di questo tipo sono così efficaci• Cosa sono i dispositivi USB• In che modo un dispositivo può essere manomesso• Quali sono i danni e come prevenirli

ASSINFORM Società certificata UNI EN ISO 9001:2008 Settori EA 37 - EA 08 - EA 35

4° modulo1. Malware e AntivirusVerranno trattate le varie tipologie di malware per meglio capire in che modo le infezioni possono risultare dannose. In seguito si parlerà dei software nati per contrastare tali minacce: gli antivirus.• Le varie famiglie di malware• Caratteristiche e funzionamento degli antivirus

2. Allegati e Link MalevoliSi approfondirà l’argomento dei link malevoli e degli allegati di posta, scendendo nel dettaglio delle estensioni di file più comuni utilizzate per la veicolazione di software dannoso• Differenza tra link e url• Cosa sono e come si risconoscono le estensioni

3. Backup e RipristinoSarà trattato l’argomento del backup informatico, specificando le varie tipologie di supporto multimediale su cui è possibile salvare i dati• Le principali unità di memoria• Criticità e vantaggi di ogni supporto

4. Ingegneria SocialeVerranno trattate diverse tipologie di truffe condotte attraverso raggiri informatici con lo scopo di educare a riconoscere le minacce più comuni presenti sul web• Vishing e Phishing• Impersonificazione

Per contatti: vialmin@assinews.ittel. 0434 26136. 217

5° modulo1. La firma digitaleLa firma digitale è un pratico strumento di certificazione che garantisce la confidenzialità di messaggi e documenti inviati tramite un canale di comunicazione non sicuro, come internet.• Cos’è e a cosa serve la firma digitale• I dispositivi di firma più sicuri

2. Cosa sono i trojanUn approfondimento sulla pericolosità di questo tipo di minaccia informatica e le conseguenze derivate.• Distinzione tra Trojan e altri tipi di malware• Modalità di attacco e conseguenze

3. Le connessioni VPNIn alcune circostanze è bene nascondere i propri dati di navigazione avvalendosi di servizi VPN disponibili sia per privati che per aziende • Vantaggi nell’utilizzo di una VPN• Tipologie di collegamento ed estensione reti

4. cifratura nei disp. mobiliPrevenire il furto dei dati degli utenti è un argomento sensibile per i vari produttori, ma non tutti i dispositivi mobili hanno abilitata questa funzione e non sempre gli utenti sanno come sfruttarla in modo ottimale.• Cos’è la crittografia nei dispositivi mobili• Come verificare se il proprio dispositivo stia

applicando la crittografia• I metodi di sblocco e gli accessi abusivi

6° modulo1. Sicurezza bluetoothDietro questo comodo strumento per la connessione senza fili tra dispositivi possono celarsi pericolosi attacchi informatici.• Cos’è la tecnologia Bluetooth• Quali sono i rischi• Le precauzioni da adottare

2. Cifratura della postaSe la firma digitale risolve il problema della confidenzialità nelle comunicazioni su un canale non sicuro, la cifratura risolve il problema della riservatezza, rendendo illeggibile il contenuto dei messaggi a chi non possiede le chiavi di decodifica necessarie.• Come cifrare le mail personali• La scelta del provider di posta

3. Attacchi realiEsempi di attacchi di Phishing tratti da contesti reali, mediante simulazione di email fraudolente.• Attacchi via DropBox• Attacchi via LinkedIn

4. Gestione dei dati sensibiliOgni volta che un utente utilizza un qualsiasi browser per navigare online molti dei suoi dati sensibili possono essere salvati e immagazzinati per permettere il completamento automatico, una funzione utile che però può comportare gravi problemi di sicurezza.• Cos’è il completamento automatico e come

disabilitarlo nei vari browser di posta• Rischi e tipologie di attacco