Certified Chief Information Security Officer (CCISO)

EC-Council CCISO

Vendor: EC-Council
Modalitá: In presenza o classe virtuale online
Livello: Executive
Esame: 71250
Centro esami mobile: Non disponibile
Durata: 5 giorni
Lingua: Italiano

Vai alla versione On Demand
COD: CCISO-ILT Categorie: , ,
Prezzo del corso (IVA esc.)

 3’600

A quali ruoli prepara il corso:

  • Chief Information Security Officer
  • Chief information officer
  • Head Project Manager
  • Chief Technical Officer

Completa la tua carriera con la certificazione CISO

Certified Chief Information Security Officer

Cos'è EC-Council Certified Chief Information Security Officer?

Il programma Chief Certified Information Security Officer (CCISO) dell’EC-Council ha dato una spinta ai professionisti della sicurezza informatica di tutto il mondo. La certificazione CCISO è stata sviluppata dall’EC-Council grazie all’esperienza di un gruppo di esperti di sicurezza informatica che fanno parte del nostro Consiglio Consultivo CCISO. Questi professionisti hanno creato le fondamenta del programma, definendo i contenuti dell’esame, del corpo di conoscenze e del piano di formazione. I membri del Consiglio hanno contribuito come autori, redattori di esami e insegnanti, assicurando anche un miglioramento continuo della qualità attraverso revisioni periodiche dei materiali. Ogni parte del programma CCISO è stata progettata per far avanzare la carriera di un professionista della sicurezza nel settore della leadership esecutiva.

Con il programma CCISO, l’EC-Council trasferirà la conoscenza degli esperti alla nuova generazione di leader, concentrandosi sulle competenze più rilevanti per sviluppare e mantenere un portfolio di sicurezza informatica vincente. Questo programma è un corso di formazione e certificazione innovativo, creato per formare esperti di cybersecurity con una solida preparazione etica e professionale. Il curriculum del CCISO, sviluppato da dirigenti della sicurezza per chi già ricopre o aspira a ricoprire ruoli dirigenziali, offre una prospettiva manageriale che unisce i principi di gestione della sicurezza informatica, l’intelligenza aziendale e le competenze tecniche generali. Per partecipare al programma di certificazione è necessaria un’esperienza professionale pregressa. I candidati devono soddisfare i requisiti minimi del CCISO per poter sostenere l’esame di certificazione.

Richiesta Informazioni

Abilita JavaScript nel browser per completare questo modulo.
Nome
Come ci hai trovato?

Certified Chief Information Security Officer - Dettagli esame

Al termine del corso sarà possibile sostenere l’esame di certificazione relativo attestando le proprie competenze.

Per sostenere l’esame il candidato deve fornire prova di esperienza di almeno 5 anni in 3 dei seguenti 5 domini:

  • Governance and risk management (policy, legal, and compliance)
  • Information security controls, compliance, and audit management
  • Security program management and operations
  • Information security core competencies Strategic planning,finance, procurement, and vendor management

Laurea e Dottorato in Sicurezza IT possono essere utilizzati per ridurre l’esperienza necessaria rispettivamente a 3 e 2 anni per alcuni domini.
Titolo dell’esame: Certified Chief Information Security Officer (C|CISO)
Numero di domande: 150
Durata esame: 2.5 ore
Formato esame: domande a risposta multipla su scenari
Codice Esame: 712-50
Punteggio minimo: 60-85%
Modalità di esame: Remoto o Testing Center

Certified Chief Information Security Officer - Scheda Corso

Dominio 1: Governance e Gestione del Rischio

Governance

  • Definire, implementare, gestire e mantenere un programma di governance della sicurezza informatica che includa leadership, strutture organizzative e processi.
  • Allineare il quadro di governance della sicurezza informatica con gli obiettivi organizzativi e la governance, ad esempio, stile di leadership, filosofia, valori, standard e politiche.
  • Stabilire una struttura di gestione della sicurezza informatica.
  • Stabilire un quadro per il monitoraggio della governance della sicurezza informatica (considerando l’analisi costi/benefici dei controlli e del ROI).
  • Comprendere standard, procedure, direttive, politiche, regolamenti e questioni legali che influenzano il programma di sicurezza informatica.
  • Comprendere il programma di conformità alla sicurezza informatica dell’impresa.

Gestione del Rischio

  • Creare una politica e un documento di principi per il programma di gestione del rischio.
  • Creare una metodologia e un quadro di valutazione del rischio.
  • Creare e gestire un registro dei rischi.
  • Creare un programma di valutazione del rischio e checklist.
  • Creare metriche e processi di reportistica del rischio.

Dominio 2: Controlli di information security, Compliance e Gestione degli audit

Processi Operativi e Controlli di Sicurezza

  • Identificare i processi operativi e gli obiettivi dell’organizzazione.
  • Progettare controlli dei sistemi informativi in linea con le esigenze operative e gli obiettivi aziendali, effettuando test preliminari per garantirne l’efficacia.
  • Determinare e selezionare le risorse necessarie per implementare e mantenere efficacemente i controlli di sicurezza delle informazioni, includendo risorse umane, dati, infrastrutture e architettura (piattaforme, sistemi operativi, reti, database, ecc.).
  • Sviluppare e implementare controlli dei sistemi informativi per mitigare i rischi, monitorandone l’efficacia attraverso metriche e indicatori di performance chiave.
  • Condurre test di sicurezza per verificare l’efficacia dei controlli, rilevare vulnerabilità e garantire l’allineamento con il programma di gestione del rischio dell’organizzazione.
  • Progettare e implementare processi per identificare e correggere tempestivamente le carenze di sicurezza, assicurandosi che eventuali problemi siano registrati, analizzati e risolti in modo efficiente.
  • Automatizzare i controlli dei sistemi informativi per migliorare l’efficienza operativa.
  • Misurare, gestire e segnalare l’implementazione e l’efficacia dei controlli di sicurezza.

Conformità e Regolamentazione

  • Analizzare e comprendere le normative, le leggi, gli standard e le best practice esterne applicabili all’organizzazione e al settore di appartenenza.
  • Conoscere gli standard internazionali di sicurezza e gestione del rischio, come ISO 27000 e la serie 31000.
  • Implementare e gestire strategie, piani, politiche e procedure di sicurezza informatica per ridurre il rischio normativo.
  • Riconoscere l’importanza delle organizzazioni di regolamentazione della sicurezza informatica e dei principali stakeholder del settore.
  • Monitorare e applicare modifiche normative, tendenze di settore e best practice.
  • Comprendere e gestire i controlli dei programmi di conformità aziendale, inclusi processi di audit, certificazioni e procedure di sicurezza.
  • Documentare, analizzare e segnalare le attività di conformità.
  • Conoscere e applicare i processi di audit e di correzione delle non conformità.
  • Seguire i principi etici aziendali.

Dominio 3: Gestione e Operatività del Programma di Sicurezza

Gestione del Programma di Sicurezza

  • Per ogni progetto di sicurezza informatica, sviluppare una chiara dichiarazione dell’ambito del progetto in linea con gli obiettivi organizzativi.
  • Definire le attività necessarie per eseguire con successo il programma di sicurezza informatica, stimare la durata delle attività e sviluppare un piano di programmazione e assegnazione del personale.
  • Sviluppare, gestire e monitorare il budget del programma di sicurezza informatica, stimando e controllando i costi dei singoli progetti.
  • Identificare, negoziare, acquisire e gestire le risorse necessarie per progettare e implementare con successo il programma di sicurezza informatica (ad es. personale, infrastrutture e architettura).
  • Acquisire, sviluppare e gestire il team di sicurezza informatica.
  • Assegnare ruoli e responsabilità chiari al personale di sicurezza informatica, garantendo formazione continua per migliorare le prestazioni e la responsabilità.
  • Dirigere il personale di sicurezza informatica e stabilire comunicazioni e attività di squadra tra il team IT e gli altri professionisti della sicurezza (ad es. supporto tecnico, gestione degli incidenti, ingegneria della sicurezza).

Operazioni del Programma di Sicurezza

  • Risolvere problemi relativi al personale e al lavoro di squadra rispettando i vincoli di tempo, costo e qualità.
  • Identificare, negoziare e gestire gli accordi e le relazioni con i fornitori.
  • Collaborare con fornitori e stakeholder per valutare le soluzioni consigliate, individuare incompatibilità, sfide o problematiche legate alle proposte.
  • Valutare le pratiche e i controlli di gestione dei progetti per garantire che i requisiti aziendali siano soddisfatti in modo efficiente, bilanciando i rischi per l’organizzazione.
  • Sviluppare un piano per monitorare continuamente l’efficacia dei sistemi informativi e garantire prestazioni ottimali.
  • Identificare gli stakeholder, gestire le loro aspettative e comunicare efficacemente per riferire sull’andamento e sulle prestazioni del progetto.
  • Garantire che le modifiche e i miglioramenti ai processi dei sistemi informativi vengano implementati quando necessario.

Dominio 4: Competenze Core della Sicurezza delle Informazioni

Controllo degli Accessi

  • Definire i criteri per il controllo degli accessi obbligatorio e discrezionale, comprendendo i fattori che influenzano l’implementazione delle regole di accesso e progettando un piano di controllo adeguato.
  • Implementare e gestire un piano di controllo degli accessi in linea con i principi fondamentali che regolano i sistemi di accesso, come il principio del “necessario conoscere” (need-to-know).
  • Identificare i diversi sistemi di controllo degli accessi, come le carte d’identità e i sistemi biometrici.
  • Comprendere l’importanza degli avvisi di sicurezza per l’applicazione delle regole di accesso.
  • Sviluppare procedure per garantire che gli utenti dei sistemi informativi siano consapevoli delle loro responsabilità in materia di sicurezza prima di ottenere l’accesso.

Ingegneria Sociale, Phishing e Furto di Identità

  • Comprendere i diversi concetti di ingegneria sociale e il loro ruolo negli attacchi interni, sviluppando le migliori strategie per contrastarli.
  • Progettare un piano di risposta per identificare i casi di furto d’identità.
  • Identificare e sviluppare un piano per contrastare gli attacchi di phishing.

Sicurezza Fisica

  • Identificare gli standard, le procedure, le direttive, le politiche, le normative e le
  • leggi relative alla sicurezza fisica.
  • Valutare il valore degli asset fisici e l’impatto della loro indisponibilità.
  • Progettare, implementare e gestire un piano di sicurezza fisica completo, coordinato e integrato per garantire la sicurezza aziendale complessiva, includendo un programma di audit e metriche di performance.

Disaster Recovery e Pianificazione della Continuità Operativa

  • Sviluppare, implementare e monitorare i piani di continuità operativa, ripristino di emergenza e gestione delle contingenze per garantire la resilienza dell’organizzazione in caso di eventi dirompenti, allineandoli agli obiettivi aziendali.
  • Coordinare le operazioni di pianificazione della continuità e della gestione dei rischi.
  • Integrare il processo di documentazione del ripristino come parte della gestione operativa.
  • Definire i criteri per testare e aggiornare i piani di disaster recovery.
    Comprendere l’importanza dell’integrazione dei requisiti IT nei piani di continuità operativa (COOP – Continuity of Operations Plan).

Firewall, IDS/IPS e Sistemi di Difesa della Rete

  • Comprendere e gestire la sicurezza delle reti cloud.
  • Identificare i sistemi appropriati di rilevamento e prevenzione delle intrusioni per proteggere le informazioni aziendali.
  • Progettare e sviluppare un programma per monitorare i firewall e identificare problemi di configurazione.
  • Comprendere i sistemi di difesa perimetrale, come i sistemi a griglia e i controlli di accesso su router, firewall e altri dispositivi di rete.
  • Analizzare l’architettura di rete, i modelli, i protocolli e i componenti come router e switch che contribuiscono alla sicurezza della rete.
  • Comprendere il concetto di segmentazione della rete.
  • Gestire DMZ, VPN e tecnologie di telecomunicazione come PBX e VoIP.
    Identificare vulnerabilità e strategie di protezione della sicurezza di rete, come l’uso di SSL e TLS per la trasmissione sicura dei dati.
  • Fornire supporto, monitoraggio e risoluzione dei problemi relativi a hardware e software.
  • Gestire account, diritti di rete e accesso ai sistemi e alle apparecchiature.

Sicurezza delle Reti Wireless

  • Identificare vulnerabilità e attacchi associati alle reti wireless e gestire diversi strumenti di sicurezza per la protezione delle reti wireless.

Virus, Trojan, Malware e altre Minacce da Codici Dannosi

  • Valutare il rischio rappresentato da virus, trojan e malware per la sicurezza aziendale e identificare le principali fonti e modalità di infezione.
  • Implementare e gestire sistemi antivirus.
  • Sviluppare strategie di contrasto a virus, trojan e malware, inclusa la formazione di team di sicurezza e non sicurezza sulle best practice di sviluppo sicuro.

Migliori Pratiche di Programmazione Sicura e Protezione delle Applicazioni Web

  • Sviluppare e mantenere programmi di garanzia della sicurezza in linea con i principi della codifica sicura e con le fasi del ciclo di vita dello sviluppo del software (SDLC).
  • Comprendere le tecniche di ingegneria inversa per la sicurezza.
  • Configurare e utilizzare strumenti di supporto alla creazione di programmi sicuri.
  • Analizzare le vulnerabilità del software con tecniche come l’analisi del codice statico e dinamico, nonché la composizione del software.
  • Installare e gestire sistemi IT in ambienti di test isolati per evitare di alterare il codice del programma o compromettere la sicurezza.
  • Identificare vulnerabilità e attacchi alle applicazioni web e applicare strumenti di sicurezza per contrastare gli attacchi informatici.
  • Rafforzamento della Sicurezza dei Sistemi Operativi (OS Hardening)
    Identificare le vulnerabilità dei sistemi operativi e sviluppare un piano per rafforzarne la sicurezza.
  • Comprendere i log di sistema, i processi di gestione delle patch e la gestione della configurazione per garantire la sicurezza delle informazioni aziendali.

Hardening del Sistema Operativo (Hardening OS)

  • Identificare le varie vulnerabilità e attacchi del sistema operativo e sviluppare un piano per indurire i sistemi operativi.
  • Comprendere i log di sistema, il processo di gestione delle patch e la gestione delle configurazioni per la sicurezza dei sistemi informativi.

Tecnologie di Crittografia

  • Comprendere il concetto di crittografia e decrittografia, certificati digitali, infrastruttura a chiave pubblica e le principali differenze tra crittografia e steganografia.
  • Identificare i diversi componenti di un sistema di crittografia.
  • Sviluppare un piano per le tecniche di crittografia nella sicurezza delle informazioni.

Valutazione delle Vulnerabilità e Test di Penetrazione

  • Progettare, sviluppare e implementare un programma di test di penetrazione basato sulla metodologia di test di penetrazione per garantire la sicurezza dell’organizzazione.
  • Identificare le diverse vulnerabilità associate ai sistemi informativi e le problematiche legali relative ai test di penetrazione.
  • Sviluppare procedure pre e post test.
  • Sviluppare un piano per la redazione dei report dei test di penetrazione e l’implementazione delle correzioni delle vulnerabilità tecniche.
  • Sviluppare sistemi di gestione delle vulnerabilità.

Forense Informatica e Risposta agli Incidenti

  • Sviluppare un piano per identificare una potenziale violazione della sicurezza e prendere le misure appropriate per riportare l’incidente.
  • Seguire le procedure di terminazione del sistema e i requisiti di reportistica relativi a potenziali incidenti di sicurezza o violazioni effettive.
  • Valutare le potenziali violazioni della sicurezza per determinare se le politiche di sicurezza della rete sono state violate, valutare l’impatto e preservare le prove.
  • Diagnosticare e risolvere i problemi di IA (Integrity Assurance) in risposta agli incidenti segnalati.
  • Progettare procedure di risposta agli incidenti.
  • Sviluppare linee guida per determinare se un incidente di sicurezza è indicativo di una violazione della legge che richiede azioni legali specifiche.
  • Identificare le informazioni di sistema volatili e persistenti.
  • Configurare e gestire laboratori forensi e programmi.
  • Comprendere vari dispositivi di media digitali, principi e pratiche di e-discovery e i diversi file system.
  • Sviluppare e gestire un programma forense digitale organizzativo.
  • Stabilire, sviluppare e gestire team di investigazione forense.
  • Progettare i processi di investigazione, come raccolta delle prove, imaging, acquisizione dei dati e analisi.
  • Identificare le migliori pratiche per acquisire, archiviare e processare le prove digitali.
  • Configurare e utilizzare vari strumenti di investigazione forense.
    Progettare tecniche anti-forensi.

Dominio 5: Pianificazione Strategica e Finanziaria

Pianificazione Strategica

  • Progettare, sviluppare e mantenere l’architettura della sicurezza delle informazioni aziendali (EISA) allineando i processi aziendali, software e hardware IT, reti locali e a larga scala, persone, operazioni e progetti con la strategia complessiva di sicurezza dell’organizzazione.
  • Eseguire un’analisi esterna dell’organizzazione (ad esempio, analisi di clienti, concorrenti, mercati e ambiente industriale) e un’analisi interna (gestione del rischio, capacità organizzative, misurazione delle performance, ecc.) e utilizzarle per allineare il programma di sicurezza delle informazioni con gli obiettivi dell’organizzazione.
  • Identificare e consultarsi con i principali stakeholder per garantire la comprensione degli obiettivi dell’organizzazione.
  • Definire un piano strategico proattivo, visionario e innovativo per il ruolo del programma di sicurezza delle informazioni con obiettivi chiari e target che supportano le esigenze operative dell’organizzazione.
  • Definire indicatori chiave di performance e misurare l’efficacia su base continuativa.
    Valutare e adeguare gli investimenti IT per garantire che siano in linea con gli obiettivi strategici dell’organizzazione.
  • Monitorare e aggiornare le attività per garantire la responsabilità e il progresso.

Finanza

  • Analizzare, prevedere e sviluppare il budget operativo del dipartimento IT.
    Acquisire e gestire le risorse necessarie per l’implementazione e la gestione del piano di sicurezza delle informazioni.
  • Allocare risorse finanziarie a progetti, processi e unità all’interno del programma di sicurezza delle informazioni.
  • Monitorare e supervisionare la gestione dei costi dei progetti di sicurezza delle informazioni, il ritorno sugli investimenti (ROI) degli acquisti chiave relativi alle infrastrutture IT e alla sicurezza, e garantire che siano allineati con il piano strategico.
  • Identificare e riportare le metriche finanziarie agli stakeholder.
  • Equilibrare il portafoglio di investimenti in sicurezza IT sulla base delle considerazioni EISA e delle priorità di sicurezza aziendale.
  • Comprendere il ciclo di vita degli acquisti e determinare l’importanza degli acquisti eseguendo un’analisi dell’impatto aziendale (Business Impact Analysis).
  • Identificare diverse strategie di approvvigionamento e comprendere l’importanza dell’analisi costi-benefici durante l’acquisto di un sistema informatico.
  • Comprendere i concetti base di approvvigionamento, come la Dichiarazione degli Obiettivi (SOO), la Dichiarazione di Lavoro (SOW) e il Costo Totale di Proprietà (TCO).
Questo sito utilizza i cookie per offrirti un'esperienza di navigazione migliore. Navigando su questo sito web, acconsenti al nostro utilizzo dei cookie.
Ulteriori info Accetta