La certificazione CISM

Transcript

1 La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato

2 Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti

3 Ruolo del Security Manager La gestione della Sicurezza Informatica prevede il coinvolgimento in attività inerenti: Politica di sicurezza Ruoli e responsabilità Progettazione Realizzazione Monitoraggio Formazione

4 Destinatari La certificazione CISM è rivolta ai professionisti che progettano, implementano e gestiscono sistemi di Sicurezza Informatica. Quindi: Responsabili della Sicurezza Informatica Consulenti di Sicurezza Informatica Responsabili di Sistemi Informativi Responsabili di Audit dei Sistemi Informatici

5 Professionisti certificati CISM ~ 5000 nel mondo ~ 80 in Italia Professionalità: Consulenza (33%), Finanza (22%), Government (12%) In aziende con più di 500 dipendenti (68%) Più di 10 anni di esperienza nella Sicurezza (77%) Coordinano gruppi con più di 6 persone (59%)

6 Domini 1 Information Security Governance

7 Information Security Governance Ottenere una ragionevole certezza che le strategie di sicurezza siano in linea con: obiettivi aziendali norme di legge regolamenti istituzionali

8 Information Security Governance Sviluppare la strategia della sicurezza a supporto di quella aziendale Ottenere l incarico dalla Direzione e il suo supporto Garantire la definizione dei ruoli e delle responsabilità Definire i canali di riporto e di comunicazione Identificare le problematiche di carattere legale pertinenti la sicurezza e gli accessi ai dati e il loro impatto sull organizzazione Definire e mantenere le policy che supportino gli obiettivi e il business aziendale Garantire lo sviluppo di procedure e linee guida per supportare le policy

9 Domini 1 Information Security Governance 2 Risk Management

10 Risk Management Identificare e gestire rischi di sicurezza pregiudizievoli per gli obiettivi aziendali. Sviluppare un processo sistematico, analitico e continuo di risk management Assicurare che l identificazione del rischio, l analisi e le attività che lo riducono siano integrate nello stesso ciclo di vita del processo Applicare l identificazione del rischio e i metodi di analisi Definire le strategie e le opzioni prioritarie per portare il rischio a livelli accettabili Relazionare il management sulle modifiche significative del livello di rischio

11 Domini 1 Information Security Governance 2 Risk Management 3 Information Security Program Management

12 Information Security Program Mgmt Impostazione e gestione di un programma di Sicurezza Informatica. Creare e mantenere piani per implementare lo schema di governo della sicurezza Sviluppare le linee di base, le procedure, le linee guida per garantire che i processi aziendali tengano conto dei requisiti di sicurezza Assicurare la coerenza di procedure e linee guida con le policy Stabilire delle metriche per gestire lo schema del governo della sicurezza Diffondere in azienda un adeguato orientamento alla Sicurezza Informatica

13 Domini 1 Information Security Governance 2 Risk Management 3 Information Security Program Management 4 Information Security Management

14 Information Security Management Supervisione e controllo delle attività pertinenti al programma. Utilizzare metriche per misurare, monitorare e riportare l efficienza ed efficacia dei controlli e il loro allineamento con le policy Garantire che la valutazione della vulnerabilità sia effettuata per valutare efficientemente l esistenza dei controlli Garantire che quanto non in linea e ogni scostamento siano risolti in tempi brevi Garantire che la sicurezza non sia compromessa durante il processo di cambiamento

15 Domini 1 Information Security Governance 2 Risk Management Information Security Program Management Information Security Management Response Management

16 Response Management Costruire e preservare la capacità di : rispondere/reagire ad eventi dannosi o distruttivi uscire dall emergenza ripristinando le normali capacità operative

17 Response Management Sviluppare dei processi in grado di rilevare, identificare e analizzare gli eventi relativi alla sicurezza Sviluppare risposte e piani di ripristino organizzando, addestrando il personale coinvolto Garantire verifiche periodiche dei piani quando approntati Garantire procedure per la documentazione degli eventi come base, se necessario, per successive indagini Gestire le revisione del dopo evento per identificare le cause e le azioni correttive

18 Requisiti Possedere qualifiche e titoli di esperienza Superare l esame Aderire al codice etico Regolare aggiornamento professionale

19 Esperienza richiesta Sono richiesti 5 anni di esperienza nel campo della Sicurezza Informatica Operativa: 2 anni Sostitutivi: CISA, CISSP Gestione: 3 anni in almeno 3 domini

20 L esame 11 giugno 2005 Sedi d esame: Milano e Roma 200 domande in 4 ore Domande a risposta multipla Punteggio minimo: 75%

21 La preparazione all esame Materiale pubblicato da ISACA Guida all esame Domande/risposte di esami precedenti Corsi a Roma e Milano organizzati da AIEA (gennaio - maggio) Esperienza lavorativa

22 Formazione continua min. 20 ore all anno min. 120 ore nel triennio Formazione mediante: partecipazione a corsi/seminari pubblicazione di articoli altre attività previste da ISACA

23 Riferimenti