92779 - CYBERSECURITY AZIENDALE E PROTEZIONE DEI DATI

Scheda insegnamento

SDGs

L'insegnamento contribuisce al perseguimento degli Obiettivi di Sviluppo Sostenibile dell'Agenda 2030 dell'ONU.

Istruzione di qualità Imprese innovazione e infrastrutture Città e comunità sostenibili

Anno Accademico 2022/2023

Contenuti

L'obiettivo dell’insegnamento “Cybersecurity aziendale e protezione dei dati” è guidare lo studente all'integrazione dei saperi maturati nel corso di studi attraverso metodi di docenza condivisa, per fornire abilità in ordine alla applicazione delle conoscenze acquisite a contesti specifici della realtà giuridico-aziendale. Per perseguire questo obiettivo il corso sviluppa un percorso fortemente multidisciplinare sul tema della sicurezza delle informazioni e della protezione dei dati in ambito aziendale, tema che viene affrontato negli otto moduli da angolazioni diverse: i metodi e gli strumenti della sicurezza informatica nei luoghi di lavoro, la gestione della documentazione e la tutela delle informazioni aziendali, il controllo tecnologico, la tutela della vita digitale del lavoratore, la tutela penale, il whistleblowing e l'etica dei dati. Al termine del corso gli studenti saranno in grado sia di conoscere gli istituti fondamentali della sicurezza e della protezione dei dati e sia di comprendere la soluzione di casi concreti. Gli obiettivi didattici vengono perseguiti attraverso l’analisi di scenari applicativi, quesiti pratici, materiale giurisprudenziale offerti dalla attuale realtà giuridico aziendale e lasciando spazio opportuno alla risoluzione di dubbi e all'analisi di questioni direttamente sollevate dagli studenti, al fine di incentivare la loro partecipazione attiva e la loro riflessione critica. Tutto questo garantisce agli studenti di orientarsi con cognizione di fronte ai temi giuridici e informatici, sviluppando altresì competenze operative nella individuazione delle specifiche norme applicabili alla risoluzione delle fattispecie concrete esemplificate, e di relazionarsi con competenza ai sistemi informatici di imprese ed enti pubblici.

***

L’attività didattica è organizzata in otto moduli didattici, con specifici obiettivi nel quadro generale della Cybersecurity e della protezione dei dati.

Ciascun modulo, della durata di sei ore, è suddiviso in una parte di inquadramento delle questioni principali e una parte di esercitazioni pratiche (si veda sezione Metodi didattici).

La partecipazione alle attività (lezioni e esercitazioni) è fortemente raccomandata.

Modulo 1 - Cybersecurity: sicurezza delle informazioni e protezione dei dati.

Il modulo introduce i principi e le metodologie per proteggere con misure organizzative e tecniche il patrimonio informativo aziendale (infrastrutture, informazioni strategiche, dati personali) e reagire in modo corretto ai data breach.

Questioni principali

  • Attaccanti, metodologie di attacco, scenari di vulnerabilità
  • Analisi e statistiche di incidenti informatici in ambito aziendale
  • Misure organizzative e tecniche per la prevenzione, rilevazione e ripristino dei sistemi informatici
  • Valutazione e gestione del rischio informatico
  • La corretta gestione di data breach e degli attacchi ransomware e cryptolocker.

Esercitazioni pratiche

  • Sperimentazione di strumenti per la sicurezza informatica individuale
  • Approccio a un caso concreto di segnalazione di Data breach

Modulo 2 - La vita digitale: diritti e tutele dell’interessato.

Il modulo offre allo studente un panorama generale della disciplina privacy, dal punto di vista di colui cui appartengono i dati personali e di colui che tratta i dati. Il modulo si apre ripassando ed approfondendo le nozioni basilari, già trattate nel corso di Informatica giuridica, per poi esaminarne l’applicazione negli adempimenti privacy in azienda.

Questioni principali

  • Cosa sono i dati personali e perché vengono protetti; quali sono i trattamenti di dati
  • I diritti dei soggetti cui appartengono i dati: accesso, informazione, “controllo” dei dati; le basi giuridiche del trattamento; le condizioni di liceità del trattamento
  • Compiti, doveri e responsabilità di chi tratta i dati personali; le figure coinvolte
  • Sanzioni e conseguenze: le “misure diverse” e l’impatto sull’attività aziendale; il risarcimento del danno
  • Adempimenti privacy in azienda

Esercitazioni pratiche

  • Individuazione di casi di studio, commento e analisi
  • Esempi di check list, policy, informative

Modulo 3 - Il controllo tecnologico in azienda e la protezione dei dati

Il modulo affronta l’analisi del quadro giuridico-applicativo in materia di esercizio del potere di controllo tecnologico in azienda e trattamento dei dati personali dei lavoratori e analizza le problematiche collegate ai differenti dispositivi tecnologici utilizzati nell’impresa per finalità lavorative.

Questioni principali

  • Il potere datoriale di controllo a distanza e i suoi limiti. Il divieto di controllo occulto;
  • Il controllo tecnologico tramite gli strumenti di lavoro e gli strumenti di registrazione delle presenze. Sistemi di geolocalizzazione, dispositivi indossabili e rilevazioni biometriche;
  • Il monitoraggio aziendale sull’uso delle risorse digitali: internet e posta elettronica al lavoro;
  • Il controllo datoriale sull’uso dei social network da parte del lavoratore;
  • Tecnologie e contesto pandemico: il monitoraggio dei dipendenti ai fini di contrasto del contagio.

Esercitazioni pratiche

  • Selezione di casi di studio e approccio dello studente alla risoluzione di un caso concreto;
  • Redazione di un’informativa individuale sulle modalità d’uso degli strumenti tecnologici e sull’effettuazione dei controlli in azienda.

Modulo 4 - Fondamenti della gestione tecnologica della documentazione aziendale.

Il modulo fornisce un’introduzione alla formazione, gestione e conservazione dei documenti informatici in organizzazioni pubbliche e private, alla luce di quanto stabilito dal GDPR e dalle recenti linee guida AGID. In particolare, si approfondiranno le strategie e le tecniche multidisciplinari legate al mantenimento dell'integrità e del valore giuridico e probatorio dei dati e dei documenti informatici.

Questioni principali

  • Sicurezza e requisiti funzionali per la formazione e tenuta del sistema di gestione dei documenti in ambiente informatico. Dal cloud computing alla blockchain.
  • La progettazione del modello organizzativo: analisi del rischio, fonti regolamentari, il sistema dei controlli, definizione e attuazione dei protocolli.
  • Il data breach legato alla documentazione aziendale digitalizzata: profili giuridici e tecnici per una corretta gestione.

.

Esercitazioni pratiche

  • Selezione e analisi di casi pratici

Modulo 5 - Sicurezza dei dati e tutela penale.

Il modulo effettua una ricognizione degli strumenti predisposti dall’ordinamento penale per una tutela degli interessi fondamentali potenzialmente offesi dall’uso distorto o dell’abuso dei mezzi informatici: dai reati in materia di controllo a distanza del lavoratore, ai reati posti a tutela degli interessi economici dell’impresa (peculato) ai reati informatici posti a tutela delle informazioni riservate.

Questioni principali

  • Il potere datoriale di controllo a distanza e i suoi limiti. Profili penali
  • l’uso a fini personali delle risorse digitali: internet al lavoro;
  • L’ accesso abusivo ai sistemi informatici.

Esercitazioni pratiche

  • Selezione di casi di studio e approccio dello studente alla risoluzione di un caso concreto.
  • Esame delle principali questioni applicative

Modulo 6 - Whistleblowing e tutela del dipendente.

ll modulo illustra i punti essenziali della disciplina vigente in materia di whistleblowing, la tutela garantita dall’ordinamento al dipendente che segnala illeciti o irregolarità di cui è venuto a conoscenza per motivi di lavoro (tutela contro eventuali atti ritorsivi, nullità del licenziamento discriminatorio ecc.) e il sistema disciplinare.

Questioni principali

  • Nozione di whistleblowing e principali tutele garantite al dipendente che denuncia l’irregolarità (L. 179/2017)
  • Problemi applicativi: es. diritto di difesa dell’incolpato, garanzia dell’anonimato del denunciante ecc.

Esercitazioni pratiche

  • Selezione di casi relativi all’applicazione della disciplina del whistleblowing e la risoluzione guidata, da parte degli studenti, di un caso concreto.

Modulo 7 - Data Ethics

Il modulo fornisce gli strumenti essenziali per gestire i profili e le criticità più rilevanti dell'etica dei big data e rafforzare la capacità di analisi e di valutazione di questioni etiche nell’ambito professionale.

Questioni principali

  • Big data e Business ethics
  • Big data e intelligenza artificiale: principi etici e tutela dei diritti dell'interessato
  • Responsabilità e obblighi morali
  • Conflitti morali fra interessi pubblici e interessi privati
  • Gestione dei processi decisionali tra stakeholders, società e quadro normativo vigente
  • Analisi di policy, linee guida e casi rilevanti

Esercitazioni pratiche

  • Analisi di casi di studio e discussione sulle strategie risolutive da applicare.
  • Esame delle criticità circa le soluzioni adottate utilizzando i principali costrutti morali.

Modulo 8 - Tutela delle informazioni aziendali e tecnologie digitali

Il modulo fornisce un quadro delle nozioni di informazione aziendale riservata, di segreto commerciale e di know how e dei requisiti di tutela alla luce del recente d.lgs 63/2018 (attuazione della Dir. UE 2016/943) che impone all’imprenditore che voglia invocare la tutela giuridica del segreto di adottare di “adeguate misure di sicurezza.

Questioni principali

  • La nozione giuridica di informazione segreta e di know-how
  • il concetto di “protezione adeguata”
  • le principali forme di protezione tecnologica e organizzativa nella prassi aziendale

Esercitazioni pratiche

  • Selezione di casi di studio tratti dalla giurisprudenza italiana in materia e un approccio dello studente alla risoluzione di un caso concreto.

Al termine del corso gli studenti saranno in grado sia di conoscere gli istituti fondamentali della sicurezza informatica e della protezione dei dati e sia di comprendere la soluzione di casi concreti, acquisendo le conoscenze e le competenze fondamentali per:

  • approcciarsi in modo corretto alla sicurezza informatica in azienda e prepararsi a rispondere, come operatori del diritto, ai databreach
  • gestire in modo corretto la tutela dei dati personali trattati da e per l’azienda
  • gestire in modo corretto il controllo a distanza sull’organizzazione del lavoro e le problematiche collegate ai differenti dispositivi tecnologici utilizzati nell’impresa per finalità lavorative
  • gestire in modo corretto la documentazione aziendale nell’ambiente digitale
  • affrontare le problematiche con risvolti penali collegate ai differenti dispositivi tecnologici utilizzati nell’impresa per finalità lavorative
  • comprende l’impatto della disciplina del whistleblowing, anche in termini di sanzioni, e mettere in atto le necessarie tutele del dipendete
  • individuare e gestire problematiche etiche connesse all’uso dei dati nell’esercizio della professione
  • affrontare le problematiche tecnologiche collegate alla tutela del segreto aziendale.

 

Testi/Bibliografia

Materiali didattici (slide, filmati, esercitazioni interattive) caricati sulla piattaforma Virtuale.

Metodi didattici

L'insegnamento aderisce alla sperimentazione  a.a. 2022/23 per l'innovazione didattica.

Gli obiettivi didattici vengono perseguiti attraverso l’analisi di scenari applicativi, quesiti pratici, materiale giurisprudenziale offerti dalla attuale realtà giuridico aziendale e lasciando spazio opportuno alla risoluzione di dubbi e all'analisi di questioni direttamente sollevate dagli studenti, al fine di incentivare la loro partecipazione attiva e la loro riflessione critica. Tutto questo garantisce agli studenti di orientarsi con cognizione di fronte ai temi giuridici e informatici, sviluppando altresì competenze operative nella individuazione delle specifiche norme applicabili alla risoluzione delle fattispecie concrete esemplificate, e di relazionarsi con competenza ai sistemi informatici di imprese ed enti pubblici.

Ciascun modulo didattico comprende oltre all’inquadramento delle questioni principali esercitazioni pratiche, che riguardano in particolare: l’analisi di casi di studio e la discussione delle strategie risolutive, la redazione di informative sulle modalità d’uso degli strumenti tecnologici e sull’effettuazione dei controlli in azienda, la redazione di informativa privacy aziendale e di notifiche di databreach, le misure di sicurezza informatica individuali (crittografia, cancellazione sicura, attenzione al phishing, ecc).(Si veda la sezione Programmi/Contenuti).

Modalità di verifica e valutazione dell'apprendimento

L'esame finale si svolge in forma scritta e consiste in un test a risposta multipla composto da quattro domande per ciascun modulo.

criteri di valutazione

Il test consiste di 32 domande a risposta multipla (quattro per ogni modulo) ed il punteggio assegnato è di +1 se la risposta è esatta e 0 se sbagliata o assente. Il tempo a disposizione è di 40 minuti. Durante la prova non è ammesso l'uso di materiale di supporto quale libri di testo, appunti, supporti informatici. La prova si intende superata con un punteggio minimo di 18/30.

 

L’iscrizione alla prova dovrà essere effettuata mediante l’applicativo Almaesami (https://almaesami.unibo.it/almaesami/welcome.htm)

È necessaria l'iscrizione preventiva su Almaesami e, in caso di rinuncia, la cancellazione nei tempi previsti per consentire una corretta organizzazione dell'appello.

Esame frequentanti

Studentesse e studenti frequentanti saranno coinvolti in esercitazioni di gruppo e individuali, analisi e discussioni di casi, per cui la partecipazione alle lezioni è fortemente raccomandata.

Coloro che abbiano partecipato alle esercitazioni e conseguito l'idoneità in almeno cinque degli otto moduli, svolgendo proficuamente le attività proposte dal docente hanno possibilità di sostenere una prova finale semplificata con un numero di domande ridotto.

Strumenti a supporto della didattica

Slide a supporto delle lezioni, articoli, software di utilità generale, link a risorse pubbliche sul web e schemi saranno disponibili on line.

Orario di ricevimento

Consulta il sito web di Raffaella Brighi

Consulta il sito web di Annalisa Atti

Consulta il sito web di Patrizia Tullini

Consulta il sito web di Francesco Di Tano

Consulta il sito web di Silvia Tordini Cagli

Consulta il sito web di Chiara Bologna

Consulta il sito web di Silvia Zullo

Consulta il sito web di Anna Maria Toni