Tanta fatica solo per un bollino ne vale davvero la pena?

Transcript

1 Tanta fatica solo per un bollino ne vale davvero la pena? Relatori: Paolo SFERLAZZA Alberto PERRONE

2 Relatori Paolo Sferlazza Security Advisor CISA,LA27001,LA22301,OPST, COBIT 5, ITIL,LA9001,ISFS, ITSM,ISMA Alberto Perrone Senior Security Advisor CISA, CISM, CRISC, PCI-QSA, LA27001, ITIL, OPST 2

3 @ Mediaservice.net Security Advisory company con sedi a Torino e Roma Presente sul mercato dal 2000 Servizi consulenziali strategici ed indipendenti Sicurezza Proattiva, Compliance, Forense, Formazione Sviluppo di metodologie e standard di sicurezza Partnership con istituti di ricerca internazionali Seminari e conferenze in tutto il mondo 3 3

4 Sistemi di Gestione.. vantaggio per il business.o moda? 4

5 Attività periodiche base Riesame della Direzione Indicatori di efficacia del Sistema di Gestione Gestione e revisione della documentazione Audit Interni 5

6 Attività periodiche specifiche Valutazione dei fornitori (ISO 9001).e se dovessi anche implementare altri sistemi Capacity Plan (ISO 20000) Risk Assessment (ISO 27001) Business Impact Analysis (ISO 22301) 6

7 7

8 Analogie sui requisiti a partire dalla ISO/IEC 27001:2013 molti controlli sono in comune tra le varie normative sono controlli dell Annex A della

9 Analogie sui requisiti ma allora perché avere tante normative se poi molti requisiti o controlli sono in comune? Scopo del controllo o livello di dettaglio differente a seconda della normativa..anche se a volte possono sovrapporsi 9

10 Screening Come gestisco il personale che deve entrare a far parte del Sistema di Gestione? 10

11 Screening ISO A «Devono essere svolti dei controlli per la verifica del background effettuati su tutti i candidati all'impiego in accordo con le leggi, con i regolamenti pertinenti e con l'etica e devono essere proporzionati alle esigenze di business, alla classificazione delle informazioni da accedere e ai rischi percepiti.» ISO b/d «..determinare la competenza necessaria per il personale che svolge attività che influenzano la conformità ai requisiti del prodotto. assicurare che il personale sia consapevole della rilevanza e dell importanza delle sue attività e di come esse contribuiscano a conseguire gli obiettivi per la qualità» Non necessario screening per IT Service Management e Continuità Operativa? Ma non è ovvio fare screening del personale? 11

12 Controlli di accesso fisico Come unisco i requisiti relativi alla sicurezza fisica per i Sistemi di Gestione? 12

13 Controlli di accesso fisico ISO A «Si devono definire e usare dei perimetri di sicurezza per proteggere le aree che contengono informazioni critiche e le strutture di elaborazione delle informazioni.» Non vi è esplicito riferimento nelle altre normative Ma senza sicurezza fisica si può garantire: Qualità Continuità Operativa Gestione dei Servizi IT 13

14 Gestione dei cambiamenti Come un sistema di gestione mi aiuta a gestire i cambiamenti? e i cambiamenti all interno del Sistema di Gestione come li gestisco? Tante interpretazioni possibili in fondo, che cos è un cambiamento? 14

15 Gestione dei cambiamenti ISO A I cambiamenti all organizzazione, ai processi di business, alle strutture di elaborazione delle informazioni e ai sistemi che potrebbero influenzare la sicurezza delle informazioni devono essere controllati. ISO To ensure all changes are assessed, approved, implemented and reviewed in a controlled manner. ISO The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary. 15

16 Gestione dei fornitori Come verifico l operato dei miei fornitori? Sono «schiavo» dei loro servizi o viceversa? 16

17 Gestione dei fornitori ISO A Le organizzazioni devono regolarmente monitorare, riesaminare e sottoporre a audit l erogazione dei servizi da parte dei fornitori. ISO L organizzazione deve stabilire ed effettuare l ispezione o le altre attività necessarie per assicurare che il prodotto approvvigionato soddisfi i requisiti di approvvigionamento specificati ISO To manage suppliers to ensure the provision of seamless, quality services. ISO The organization shall conduct evaluations of the business continuity capabilities of suppliers. 17

18 Incident management e business continuity Come le normative mi «aiutano» a gestire gli incidenti? Ma che cosa posso definire incidente? 18

19 Incident management e business continuity ISO A.16.1 Assicurare un approccio coerente ed efficace per la gestione degli incidenti relativi alla sicurezza delle informazioni, incluse le comunicazioni relative agli eventi di sicurezza ed ai punti di debolezza. ISO ISO To restore agreed service to the business as soon as possible or to respond to service requests. The organization shall establish, document, and implement procedures and a management structure to respond to a disruptive incident using personnel with the necessary responsibility, authority and competence to manage an incident. 19

20 Incident management e business continuity A.17.1 Continuità della sicurezza delle informazioni A A A A Pianificazione della continuità della sicurezza delle informazioni Attuazione della continuità della sicurezza delle informazioni Verifica, riesame e valutazione della continuità della sicurezza delle informazioni Disponibilità delle strutture per l elaborazione delle informazioni Se assolvo ai controlli del capitolo 17 dell Annex a della ISO sono già conforme alla ISO 22301? Continuità della sicurezza delle informazioni ISO/IEC 27035:2011 Information technology -- Security techniques -- Information security incident management 20

21 Budget Per un attuare un Sistema di Gestione servono soldi! Un Sistema di Gestione può aiutarmi a gestire meglio il budget? Budgeting and Accounting for IT Services (ISO 20000) L ottimizzazione dei costi dovuti all implementazione di un sistema di gestione dipende dall approccio 21

22 Come capire i confini dei vari sistemi di gestione e le interazioni che intercorrono tra di essi? 22

23 SG: integrarli o tenerli disgiunti? Sistema di Gestione Integrato dipende tutto dal perimetro e l uno avrà sempre un influenza sull altro ISO/IEC "Information technology - Service management - Guidance on scope definition and applicability of ISO/IEC " 23

24 Scelta la normativa su cui voglio certificarmi, come decido il perimetro? 24

25 Definizione del perimetro Il concetto di Sistema di Gestione relativo ad un processo è un eterno ENIGMA Cosa certifico? Non posso certificare tutto? Perché posso avere più certificazioni su uno stesso schema in una stessa azienda?? ma che senso ha? 25

26 Annex SL, ISO/IEC Directives Supplement di Maggio 2012 Ogni normativa ha la sua struttura, diventa difficile uniformare documenti, registrazioni, politiche, ecc 26

27 Annex SL, ISO/IEC Directives Supplement 4 Context of the organization (PLAN) 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the XXX management system 5 Leadership (PLAN) 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities 6 Planning (PLAN) 6.1 Actions to address risks and opportunities 6.2 XXX objectives and planning to achieve them 7 Support (PLAN) 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information General Creating and updating Control of documented information 27

28 Annex SL, ISO/IEC Directives Supplement 8 Operation (DO) 8.1 Operational planning and control 9 Performance evaluation (CHECK) 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review 10 Improvement (ACT) 10.1 Non conformity and corrective action 10.2 Continual improvement 28

29 Ruoli e responsabilità Chi deve essere responsabile? Ha senso avere un unico responsabile dei Sistemi di Gestione La figura del management può essere passiva rispetto ad un sistema di Gestione? tutto il personale coinvolto nel sistema di Gestione ha una parte di responsabilità 29

30 Il valore del bollino Ma serve davvero avere il bollino o lo standard può essere usato come best practice. risparmiando soldi? Qual è valore aggiunto della certificazione? Su cosa allora ha senso certificarsi? Posso delegare tutto il processo ai consulenti che pago? 30

31 Quindi cosa è necessario fare per instaurare un Sistema di Gestione? 31

32 Step implementazione sistemi di gestione 0. Capire perché ci si vuole certificare 1. Definire la normativa di riferimento 2. Valutare la presenza di Sistemi di Gestione già attivi all interno dell organizzazione 3. Avere il commitment del Management Definire il processo su cui instaurare in Sistema di Gestione 5. Valutare la documentazione già presente 32

33 Step implementazione sistemi di gestione 6. Aggiornare ed integrare il framework documentale 7. Attuare / migliorare i processi richiesti dalla normativa 8. Formare il personale 9. Raccogliere registrazioni 10. Valutare l efficacia del Sistema di Gestione 33

34 Dalle parole alla pratica quando un Sistema di Gestione aiuta l attuazione dei processi aziendali. CONTESTO Grande organizzazione nazionale decide di attuare un Sistema di Gestione per uno dei processi più critici. Ha un insieme di best practice consolidate ma nulla che proceduralizzi le attività che vengono quotidianamente eseguite. Hanno un forte coinvolgimento di fornitori per la gestione del processo 34

35 Dalle parole alla pratica ad oggi Settembre 2013 Novembre 2013 Gap Analysis ISO Luglio Sistemi di Gestione disgiunti 35

36 Dalle parole alla pratica in programma Integrazione dei Sistemi di Gestione Luglio 2015 Dicembre 2015 «L attuazione di un Sistema di Gestione mi ha aiutato a darmi delle regole e dei flussi da seguire per svolgere l attività che faccio ogni giorno» 36

37 Domande???