COBIT5 per pianificare ed implementare

Транскрипт

1 15 aggiornamento Circ. n. 263 Bankit: COBIT5 per pianificare ed implementare F. Bulgarelli, V. Iuvara, A. Piamonte Un approccio metodologico originale basato su COBIT5 per l adeguamento ai requisiti normativi Sessione di Studio - Milano, 20 giugno 2014 SdS Milano, 20 giugno

2 Il 2 luglio 2013 Banca d Italia ha emanato in via definitiva il 15 aggiornamento della Circolare n. 263 del 26 dicembre 2006 Nuove disposizioni di vigilanza prudenziale per le banche in materia di controlli interni, sistema informativo e continuità operativa delle banche e dei gruppi bancari. Il Framework COBIT5 di ISACA ha le caratteristiche che ne suggeriscono l utilizzo sia per pianificare che per implementare le attività legate alle nuove disposizioni SdS Milano, 20 giugno

3 AIEA, l Associazione Italiana Information System Auditors Per i Soci : Partecipazione gratuita alle Sessioni di Studio. Accessibili, in diretta o on-demand, via internet Convegno annuale. Formazione Certificazioni CISA CISM CGEIT CRISC COBIT5 Professionale Gruppi di ricerca Banca d Italia circ. 263 Risk Management Nuovo Regolamento Privacy EU.. Pubblica Amministrazione CAD Rivista Internet Pubblicazione online con blog e approfondimenti Partecipazione agevolata a eventi di interesse generale AIEA patrocina numerosi eventi ottenendo condizioni di favore per la partecipazione dei Soci SdS Milano, 20 giugno

4 Agenda Governare l IT o Frameworks o Costruiamo il Framework di Governance o COBIT 5 Framework o COBIT 5 Implementation La normativa BANKIT di Vigilanza Prudenziale (15 aggiornamento) e la Governance dell IT Applicazione del metodo o Passo 1: rappresentazione dei requisiti normativi in forma strutturata o Passo 2: individuazione degli Enabler COBIT 5 rilevanti o Passo 3: mappatura dell Enabler Processi o Passo 4: pesatura dei Processi / Key practice / Attività mappati o Passo 5: aggregazione dei dati e rappresentazioni di sintesi Considerazioni Finali SdS Milano, 20 giugno

5 Governare l IT Significa ricercare soluzioni che abbiano un giusto equilibrio tra benefici e rischi, con una corretta gestione delle risorse Richiede quindi visione «end-to-end» e rinnovata capacità di comunicare e di cooperare all interno delle Aziende e Pubbliche Amministrazioni Oggi sono disponibili Modelli Framework e Buone Pratiche (Good Practices) che affrontano la tematica in modo innovativo COBIT 5 SdS Milano, 20 giugno

6 Di cosa c è bisogno? L esperienza insegna che ci vuole una visione globale nella quale l Azienda veda nell IT una componente integrante del modo di fare business ( non più una componente separata con regole specifiche e scollegate dai reali obiettivi aziendali) Business ed IT devono condividere obiettivi, collaborare dividendosi i ruoli di Governo e Gestione Quindi : Sono necessari strumenti / schemi / frameworks che consentano, in generale, di capire : Chi / cosa / come / quando è coinvolto Relazioni di causa -> effetto in una visione possibilmente globale e condivisa A classic example is the notion of utopia as described in Plato's ( b.c.) best-known work, The Republic. This means that the "ideal city" as depicted in The Republic is not given as something to be pursued, or to present an orientation-point for development; rather, it shows how things would have to be connected, and how one thing would lead to another, if one would opt for certain principles and carry them through rigorously. SdS Milano, 20 giugno

7 NIST Cybersecurity Framework Frameworks the Framework Core is not a checklist of activities to perform; it presents key cybersecurity outcomes that are aligned with activities known to manage cybersecurity risk. These activities are mapped to a subset of commonly used standards and guidelines. BI 263: DISPOSIZIONI PRELIMINARI E PRINCIPI GENERALI 1. Premessa Il sistema dei controlli interni è un elemento fondamentale del complessivo sistema di governo delle banche; esso assicura che l attività aziendale sia in linea con le strategie e le politiche aziendali... La presente disciplina:... rappresenta la cornice generale del sistema dei controlli aziendali Chech-box mentatlity Tactical & reactive Achieve point-in-time Compliance Certification Compliance Driven Approach Risk-Based Approach Proactive & Holistic Continous Monitoring Proactive mentality 7

8 Costruiamo il Framework di Governance SdS Milano, 20 giugno

9 COBIT5 «UNIVERSAL» Framework Perché Interventi Quando Attori Benefici Evitare Rischi Gestione ottimale Risorse Dove operare Processi /Pratiche / Attività Principi Policies Frameworks Sistemi Persone Organizzazione Informazioni disponibili Cultura / etica Governo Pianificazione Organizzazione Impostazione Definizione Soluzioni IT CDA Business IT / IS Controllo Struttura Causa - Effetto Come operare Pratiche / Attività Base Consolidate e universalmente accettate Riferimento ai principali Standard Priorità in funzione obiettivi di business Erogazione Servizi Supporto Misura e Controllo Strumenti Balanced Score Cards Capability Assessment Implementation Guide... SdS Milano, 20 giugno

10 Governance Strumenti Principi Enablers Goals Assessment COBIT5 «UNIVERSAL» Framework Info Security Vendor Mgmt Risk Privacy EU Contesto... Aziendale Guide all Implementazione Information Security Assurance EnablerInformation Risk Vendor Mgmt Problem(s) specific Framework Conoscere il Contesto e le Problematiche SdS Milano, 20 giugno

11 COBIT5 Implementation autorizzazione : la procedura che verifica se un cliente o un altro soggetto interno o esterno ha il diritto di compiere una certa azione, ad es. di trasferire fondi o accedere a dati sensibili; SdS Milano, 20 giugno

12 Perché 5 Benefici Evitare Rischi Gestione ottimale Risorse Interventi Dove operare Processi Principi Policies Frameworks Sistemi Persone Organizzazione Informazioni disponibili Cultura / etica 3 Quando Governo 2 Pianificazione Organizzazione Impostazione Definizione Soluzioni IT Attori CDA Business IT / IS 1 Controllo 1. Chi 2. Quando 3. Dove 4. Come 5. Perché Come operare Pratiche / Attività Base Consolidate e universalmente accettate Riferimento ai principali Standard Priorità in funzione obiettivi di business 4 Erogazione Servizi Supporto Misura e Controllo SdS Milano, 20 giugno

13 COBIT5 Implementation Un metodo, diverse possibili applicazioni normative, ad esempio Privacy EU Strasbourg, 12 March 2014 Progress on EU data protection reform now irreversible following European Parliament vote Identificare i Processi Primari Identificare gli altri «Enablers» o o o o Principi /Policy Informazioni di cui disporre Processi «secondari»... Assegnare ruoli e responsabilità Collegare singole attività in un più ampio contesto aziendale Dimostrare, «certificando» ISO la «capability» dei Processi primari... SdS Milano, 20 giugno

14 Agenda Governare l IT o Frameworks o Costruiamo il Framework di Governance o COBIT 5 Framework o COBIT 5 Implementation La normativa BANKIT di Vigilanza Prudenziale (15 aggiornamento) e la Governance dell IT Applicazione del metodo o Passo 1: rappresentazione dei requisiti normativi in forma strutturata o Passo 2: individuazione degli Enabler COBIT 5 rilevanti o Passo 3: mappatura dell Enabler Processi o Passo 4: pesatura dei Processi / Key practice / Attività mappati o Passo 5: aggregazione dei dati e rappresentazioni di sintesi Considerazioni Finali SdS Milano, 20 giugno

15 Passo 1: Requisiti normativi in forma strutturata CAPITOLO 8 - IL SISTEMA INFORMATIVO Sezione IV - La Gestione della Sicurezza Informatica 5. La gestione dei cambiamenti La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell ambiente di produzione. Il processo si svolge sotto la responsabilità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell intermediario: la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (L inventario aggiornato del sistema e delle risorse ICT è funzionale anche alle attività di analisi del rischio informatico (cfr. Sezione III); la valutazione dell impatto dei cambiamenti sul sistema e dei rischi correlati con le proposte di modifica; l autorizzazione formale di ogni cambiamento in ambiente di produzione (Il livello autorizzativo è adeguato all entità dei rischi emersi nell analisi.); tale procedura comprende l accettazione, nei casi critici individuati nell analisi dei rischi, nel nuovo rischio residuo; la pianificazione, il coordinamento e la documentazione degli interventi di modifica, prevedendo attività di collaudo e test di sicurezza, in un ambiente deputato e distinto da quello di produzione; il ricorso a un idoneo sistema di gestione della configurazione di sistema (hardware, software, procedure di gestione e utilizzo, modalità di interconnessione), per il controllo dell implementazione dei cambiamenti, inclusa la possibilità di ripristino della situazione ex ante. Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex post all utente responsabile. [ ] SdS Roma, 5 Maggio

16 Passo 1: Requisiti normativi in forma strutturata Capitolo Sezione Paragrafo Subparagrafo NUMERO DI RIFERIMENTO CAPITOLO 8 - IL SISTEMA INFORMATIVO Sezione IV - La Gestione della Sicurezza Informatica NORMATIVA 5. La ges one dei cambiamen La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell ambiente di produzione. Il processo si svolge sotto la responsabilità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell intermediario: 8 IV IV IV IV IV IV la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (L inventario aggiornato del sistema e delle risorse ICT è funzionale anche alle attività di analisi del rischio informa co (cfr. Sezione III); la valutazione dell impa o dei cambiamen sul sistema e dei rischi correla con le proposte di modifica; l autorizzazione formale di ogni cambiamento in ambiente di produzione (Il livello autorizza vo è adeguato all en tà dei rischi emersi nell analisi.); tale procedura comprende l accettazione, nei casi critici individuati nell analisi dei rischi, nel nuovo rischio residuo; la pianificazione, il coordinamento e la documentazione degli interven di modifica, prevedendo a vità di collaudo e test di sicurezza, in un ambiente deputato e dis nto da quello di produzione; il ricorso a un idoneo sistema di ges one della configurazione di sistema (hardware, so ware, procedure di ges one e utilizzo, modalità di interconnessione), per il controllo dell implementazione dei cambiamenti, inclusa la possibilità di ripris no della situazione ex ante. Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex post all utente responsabile. 8 IV IV SdS Milano, 20 giugno

17 Passo 2: Identificazione COBIT 5 Enablers degli Enablers ( Attivatori ) rilevanti SdS Roma, 5 Maggio

18 NUMERO DI RIFERIMENTO NORMATIVA ENABLERS E1 - Principles, Policies and E2 - Processes E3 - Organisational Structures E4 - Culture, Ethics and E5 - Information E6 - Services, Infrastructure E7 People, Skills and La ges one dei cambiamen La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell ambiente di produzione. Il processo si svolge sotto la responsabilità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell intermediario: la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (L inventario aggiornato del sistema e delle risorse ICT è funzionale anche alle attività di analisi del rischio informa co (cfr. Sezione III); la valutazione dell impa o dei cambiamen sul sistema e dei rischi correla con le proposte di modifica; l autorizzazione formale di ogni cambiamento in ambiente di produzione (Il livello autorizza vo è adeguato all en tà dei rischi emersi nell analisi.); tale procedura comprende l accettazione, nei casi critici individuati nell analisi dei rischi, nel nuovo rischio residuo; la pianificazione, il coordinamento e la documentazione degli interven di modifica, prevedendo a vità di collaudo e test di sicurezza, in un ambiente deputato e dis nto da quello di produzione; il ricorso a un idoneo sistema di ges one della configurazione di sistema (hardware, so ware, procedure di ges one e utilizzo, modalità di interconnessione), per il controllo dell implementazione dei cambiamenti, inclusa la possibilità di ripris no della situazione ex ante. Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex post all utente responsabile. si si si no no no no no si no no si no no no si no no no no no si si si no no no no no si no no no si no no si no no no si no no si no no no no no SdS Milano, 20 giugno

19 Passo 3: Mappatura dell Enabler Processi Processi : Visione olistica Governare Pianificare ed Organizzare COBIT 5 Process Reference Model Gestire Realizzare Erogare SdS Roma, 5 Maggio

20 Passo 3: Mappatura dell Enabler Processi Purpose Processo Schema di un Processo COBIT5 Descrizione IT Related Goal Related Metrics Process Goals Related Metrics Descrizione RACI Practice Input Output Attività SdS Roma, 5 Maggio 2014 Da a Dettaglio attività 20

21 BAI06 Change Mgmt Obiettivi e metriche di Business Obiettivi e metriche del Processo (Certificazione ISO 15504) SdS Roma, 5 Maggio

22 Le Buone Pratiche SdS Roma, 5 Maggio

23 Connessioni ed attività Per chi non si accontenta! SdS Roma, 5 Maggio

24 MAPPATURA CON COBIT 5 ENABLERS DETTAGLI DEL PROCESSO NUMERO DI RIFERIMENTO NORMATIVA E1 - Principles, Policies and E2 - Processes E3 - Organisational Structures E4 - Culture, Ethics and E5 - Information E6 - Services, Infrastructure E7 People, Skills and Proc ID AAANN Practice 0NN Activity A.N La ges one dei cambiamen La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell ambiente di produzione. Il processo si svolge sotto la responsabilità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell intermediario: si si si no no no no la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (L inventario aggiornato del sistema e delle risorse ICT è funzionale anche alle attività di analisi del rischio informa co (cfr. Sezione III); la valutazione dell impa o dei cambiamen sul sistema e dei rischi correla con le proposte di modifica; l autorizzazione formale di ogni cambiamento in ambiente di produzione (Il livello autorizza vo è adeguato all en tà dei rischi emersi nell analisi.); tale procedura comprende l accettazione, nei casi critici individuati nell analisi dei rischi, nel nuovo rischio residuo; la pianificazione, il coordinamento e la documentazione degli interven di modifica, prevedendo a vità di collaudo e test di sicurezza, in un ambiente deputato e dis nto da quello di produzione; il ricorso a un idoneo sistema di ges one della configurazione di sistema (hardware, so ware, procedure di ges one e utilizzo, modalità di interconnessione), per il controllo dell implementazione dei cambiamenti, inclusa la possibilità di ripris no della situazione ex ante. Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex post all utente responsabile. no si no no si no no no si no no no no no si si si no no no no no si no no no si no no si no no no si no no si no no no no no SdS Milano, 20 giugno

25 MAPPATURA CON COBIT 5 DETTAGLI DEL PROCESSO Passo 3: Activity A.N Proc ID AAANN Practice 0NN E7 People, Skills and E6 - Services, Infrastructure E5 - Information E4 - Culture, Ethics and E3 - Organisational Structures E2 - Processes Processi NORMATIVA E1 - Principles, Policies and dell Enabler NUMERO DI RIFERIMENTO Mappatura ENABLERS Note 5. La gespone dei cambiamenp La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell ambiente di produzione. Il processo si svolge sotto la si si si no no no no responsabilità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell intermediario: 691.a APO01 02 B.01 Establish roles and responsibilities APO01 02 B.06 Establish roles and responsibilities APO c APO12 03 B.06 Maintain the enablers of the management system 03 B.04 Maintain a risk profile 691.d 691.e APO12 03 B.06 Maintain a risk profile 691.f BAI b 692 APO12 la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (L inventario aggiornato del sistema e delle risorse ICT no si no no si no no è funzionale anche alle attività di analisi del rischio informatico (cfr. Sezione III); 692.a 03 B.07 Maintain a risk profile 04 B.01 Close and document the changes APO01 06 B.03 Define information (data) and system ownership APO12 03 B.01 Maintain a risk profile APO c BAI03 02 B.02 Define and manage an information security risk treatment plan 04 B.05 Procure solution components 692.d BAI09 01 B.01 Identify and record current assets 692.b SdS Roma, 5 Maggio

26 Chi fa cosa.... SdS Milano, 20 giugno

27 SdS Roma, 5 Maggio

28 COBIT5 Implementation Mappatura delle Accountability Nella Circolare viene data rilevanza al concetto di Accountability che viene definita come : accountability : l assegnazione della responsabilità di un attività o processo aziendale, con il conseguente compito di rispondere delle operazioni svolte e dei risultati conseguiti, a una determinata figura aziendale; in ambito tecnico, si intende la garanzia di poter attribuire ciascuna operazione a soggetti (utenti o applicazioni) univocamente identificabili; SdS Milano, 20 giugno

29 Considerazioni Finali 15 aggiornamento Circ. n. 263 Bankit, set di requisiti normativi: Numerosi Ad alto impatto sulle strutture IT in Banca Complesso Temi dominanti: analizzare e gestire il rischio IT, gestire gli aspetti di sicurezza IT in proporzione al rischio, garantire la continuità del business - il tutto sia all'interno, sia laddove si esternalizzino parte dei servizi Vantaggi del framework Autorevole Completo Strutturato (ordine dei concetti) Visione d Insieme Ottimizzazione della pianificazione e della realizzazione degli interventi di adeguamento alla normativa (priorità, economie, interventi collegati, ecc. ecc.) SdS Milano, 20 giugno

30 GdR in partenza (con il medesimo approccio) SdS Milano, 20 giugno

31 Ultime novità COBIT5 e pubblicazioni pianificate Security Considerations for Cloud Computing toolkit COBIT5 Information Enabler Relating the COSO Internal Control Integrated Framework and COBIT Vendor Management Using COBIT 5 (rev. 3/2014) EDM Audit/Assurance Programs 1-5 Generating Value From Big Data Analytics Security as a Service Prossimamente APO Audit/Assurance Programs (giugno) Gli altri entro l anno NIST Cybersecurity Fmwk e COBIT5 (giugno) EU Cybersecurity (da giugno) Risk Scenarios using COBIT5 SOX e COBIT5 (settembre) PCI-DSS e COBIT5 (set-ott) BASEL III e COBIT5 (Rischi Operativi) (dic) SdS Milano, 20 giugno

32 Domande? Grazie per l attenzione SdS Milano, 20 giugno

33 SdS Milano, 20 giugno