COBIT e ISO/IEC 27000

Транскрипт

1 COBIT e ISO/IEC La governance della sicurezza IT con CobiT/ISO27000 M. Notari, A. Piamonte

2 CobiT in sintesi Obiettivi di Business e Governance ME1 ME2 ME3 ME4 Monitor and evaluate IT performance. Monitor and evaluate internal control. Ensure compliance with external requirements. Provide IT governance. DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. C O B I T F R A M E W O R K MONITOR AND EVALUATE Efficiency Effectiveness Compliance DELIVER AND SUPPORT INFORMATION Reliability IT RESOURCES Applications Information Infrastructure People Integrity Availability Confidentiality ACQUIRE AND IMPLEMENT PLAN AND ORGANISE PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identify automated solutions. Acquire and maintain application software. Acquire and maintain technology infrastructure. Enable operation and use. Procure IT resources. Manage changes. Install and accredit solutions and changes. 2

3 ME1 ME2 ME3 ME4 CobiT in sintesi - Linee di evoluzione Più integrazione con gli obiettivi di business C O B I T Nell individuazione delle aree di miglioramento F R A M E W O R K Monitor and evaluate IT performance. Monitor and evaluate internal control. Ensure compliance with external requirements. Provide IT governance. Efficiency Effectiveness Availability Compliance Confidentiality Nella pianificazione dei progetti Nella verifica MONITOR dei risultati DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. AND EVALUATE Reliability Nel controllo dei rischi DELIVER AND SUPPORT Integrity INFORMATION IT RESOURCES Applications Information Infrastructure People ACQUIRE AND IMPLEMENT PLAN AND ORGANISE PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 AI1 AI2 AI3 AI4 AI5 AI6 AI7 Define a strategic IT plan. Define the information architecture. Determine technological direction. Define the IT processes, organisation and relationships. Manage the IT investment. Communicate management aims and direction. Manage IT human resources. Manage quality. Assess and manage IT risks. Manage projects. Identify automated solutions. Acquire and maintain application software. Acquire and maintain technology infrastructure. Enable operation and use. Procure IT resources. Manage changes. Install and accredit solutions and changes. 3

4 CobiT - Extended Balanced Scorecards Improve customer orientation and service Offer competitive products and services Service availability Cost optimization of service delivery Agility in responding to changing business requirements (time to market) Expand market share Return on investment Manage business risk Quali controlli ISO Increase mi revenue possono servire? Optimize asset utilization Customer orientation Operational excellence Lover process cost Improve and maintain business process functionality Compliance with external requirements Transparency Automate and integrate the enterprise value chain Improve and maintain operational and staff productivity Compliance with internal policies Vision and Strategy Financial contribution Future orientation Obtain reliable and useful information for strategic decision making Product business innovation Acquire and maintain skilled and motivated personnel 4

5 Valutazione degli obiettivi di business Fase1 5

6 Valutazione degli obiettivi di business Fase2 Assegnazione importanza ai Processi IT 6

7 Valutazione degli obiettivi di business Fase3 Gap Analisys e piano di miglioramento Agreed Target Process Maturity Levels for the Short Term and the Longer Term ME4 PO3 5 PO4 Short Term Longer Term 4 DS13 3 PO8 DS9 2 1 PO10 DS8 0 AI1 DS7 AI2 DS3 AI3 AI5 AI4 7

8 La sfida del valore The Governance of IT Investments Using Val IT 2.0 to Deliver on the Promise 8

9 La nuova prospettiva Investimenti IT Investimenti in cambiamenti nel business basati sull IT 9

10 quindi : Business Governance of IT Are we doing the right things? Are we getting the benefits? Enterprise Value Management IT Governance of IT Are we doing them the right way? Are we getting them done well? 10

11 Nella gestione dei rischi, l equilibrio è essenziale Rischio e valore sono due facce della stessa medaglia Il rischio è insito in tutte le imprese ma Bisogna garantire che le opportunità di creare valore non vengano impattate dalle azioni mirate a mitigare tutti i rischi (vulnerabilità) 11

12 IT-related Risk Management Risk IT non solo sicurezza ma anche : Ritardi nei progetti Non ottenimento dei miglioramenti previsti Compliance Disallineamento Architettura IT obsoleta o troppo rigida Problemi di erogazione dei servizi IT. I tre domini del RiskIT 107 Pagine 137 Pagine 12

13 ISO in sintesi Lo standard ISO descrive un modello per definire, attuare, gestire, monitorare, rivedere, manutenere e migliorare un Sistema di Gestione della Sicurezza dell Informazione (SGSI) Lo standard è descritto in due manuali: ISO/IEC 27001: Information security management systems - Requirements - Specifiche per la implementazione e gestione dell ISMS ISO/IEC 27002:2005 (già ISO/IEC 17799:2005) - Code of practice for information security management - Una guida implementativa che elenca, per ciascuno dei controlli definiti, un ampia serie di misure e best practice della sicurezza dell informazione Assumono valore normativo dal punto di vista dello standard unicamente i Cap. 4-8 di ISO/IEC 27001:2005 ed il relativo Allegato A che ne elenca Obiettivi di controllo e Controlli L Allegato A di ISO/IEC 27001:2005 è strutturato in: AREE (11, da A.5 a A.15) Obiettivi di controllo (39) Controlli (133) Si sono registrate evoluzioni per quanto riguarda Terminologia e Linee Guida, non i Requisiti (con valore normativo). Standard in preparazione. 13

14 ISO in sintesi Schema grafico ISO/IEC 27001:2005 Cap.1-3 Cap.4-8 ISMS - Specifiche, Responsabilità della Direzione, Audit Interni, Riesame, Miglioramento Annex A 11 Aree 39 Obiettivi di controllo e 133 Controlli ISO/IEC 27002:2005 Annex B Principi OECD Annex C Corrispondenza con ISO 9001 & Valore Normativo Valore Informativo Code of practice" Elenca: Controlli Best practices 14

15 Studio AIEA Metodologia di confronto ISO CobiT E stata definita la Relazione fra controlli ISO (Annex A) e CobiT, in generale esiste una relazione uno a molti fra i controlli, schematizzabile in una matrice La valutazione, è stata svolta a cura dei partecipanti del Gruppo di Ricerca - in due passi: Valutazione di Pertinenza: agli obiettivi CobiT associati ad uno specifico controllo ISO è stato attribuito un peso percentuale (la somma dei valori attribuiti deve valere 100). Tale scelta risponde all esigenza di normalizzare le stime evitando errori di sovra/sotto-stima Valutazione di Merito: per i controlli ISO associati ad uno specifico obiettivo CobiT è stata svolta una valutazione di merito, valutandone [in termini di Alto/Medio/Basso (0.8, 0.5, 0.2)] la corrispondenza all obiettivo CobiT La valutazione complessiva per la specifica coppia di controlli CobiT/ISO deriva dalle valutazioni (di pertinenza e di merito) svolte La valuazione definitiva assomma la valutazione complessiva per la specifica coppia di controlli ed il contributo dei Cap. IV-VIII di ISO

16 Da CobiT a Secure CobiT CobiT Information Processi CobiT E E R I D C A Efficienza Efficacia Riservatezza Integrità Disponibilità Conformità Affidabilità PO1 Definire un Piano Strategico per l IT PO2 Definire l architettura informatica S P PO3 Definire gli indirizzi tecnologici PO4 Definire i processi, l organizzazione e le relazioni dell IT PO5 Gestire gli investimenti IT PO6 Comunicare gli obiettivi e gli orientamenti della direzione S PO7 Gestire le risorse umane dell IT PO8 Gestire la Qualità S PO9 Valutare e Gestire i Rischi Informatici P P P S PO10 Gestire i Progetti AI1 Identificare soluzioni automatizzate AI2 Acquisire e mantenere il software applicativo S AI3 Acquisire e mantenere l infrastruttura tecnologica S S AI4 Permettere il funzionamento e l uso dei sistemi IT S S S AI5 Approvvigionamento delle risorse IT S AI6 Gestire le modifiche P P Secure CobiT AI7 Installare e certificare le soluzioni e le modifiche S S DS1 Definire e gestire i livelli di servizio S S S S DS2 Gestire i servizi di terze parti S S S S DS3 Gestire le prestazioni e la capacità produttiva S DS4 Assicurare la continuità di servizio P DS5 Garantire la sicurezza dei sistemi P P S S DS6 Identificare e attribuire i costi DS7 Formare e addestrare gli utenti DS8 Gestione del Service Desk e degli incidenti DS9 Gestione della configurazione S DS10 Gestione dei problemi S DS11 Gestione dei dati P DS12 Gestione dell ambiente fisico P P DS13 Gestione delle operazioni S S ME1 Monitorare e valutare le prestazioni dell IT S S S S ME2 Monitare e valutare i controlli interni S S S S ME3 Assicurare la conformità a leggi e a regolamenti P ME4 Istituzione dell IT Governance S S S S 16

17 Secure CobiT (scala logaritmica) 17

18 Secure CobiT (esclusi i Processi ininfluenti) 18

19 Studio AIEA Risultati - Dominio PO (Pianif. & Organizz.) 19

20 Studio AIEA Risultati Dominio PO - Osservazioni PO9 Valutare e gestire i rischi informatici ISO (Cap. IV-VIII): [4.2.3 d)] Rivedere ad intervalli regolari l Analisi dei rischi, [5.1 f)] Decidendo i criteri per l accettazione del rischio. [4.2.1 c)] Definire l approccio al Risk Assessment dell organizzazione. [4.2.1 d) e f)] Identificare i rischi e Analizzare e valutare i rischi. PO2 Definire l architettura informatica ISO (Cap. IV-VIII): [4.2.1 d)] Identificare i beni nell ambito dell ISMS, [4.2.1 d)4) e e)1)] Identificare gli impatti che le perdite di integrità possono avere sui beni e Valutare gli impatti di business [v. PO2.4 Gestione dell integrità] 20

21 Studio AIEA Risultati Dominio PO - Osservazioni PO6 Comunicare gli obiettivi e gli orientamenti della direzione ISO (Cap. IV-VIII): [4.2.3 ] Monitorare e riesaminare l ISMS, [4.2.4] Manutenere e migliorare l ISMS. [5.1] Impegno della direzione. PO7 Gestire risorse umane dell IT ISO (Cap. IV-VIII): [5.2.1] Messa a disposizione delle risorse, [5.2.2] Addestramento, consapevolezza e competenza 21

22 Studio AIEA Risultati Dominio AI (Acq. & Implem.) 22

23 Studio AIEA Risultati Dominio AI - Osservazioni AI1.1 Riferire sull analisi dei rischi ISO (Cap. IV-VII): [p.to d)] Rivedere l Analisi dei rischi, [p.to c)] Comunicare le azioni alle parti interessate AI6 Gestire le modifiche: AI6.1 std e procedure per le gest delle modifiche AI6.2 Valutazione dell impatto e autorizzazione AI6.3 Modifiche in stato di emergenza AI6.5 Chiusura delle modifiche e documentazione AI3 Acquisire e mantenere l infrastruttura tenologica e AI4 Permettere il funzionamento e l uso dei sistemi IT => poco rilevanti in termini di sicurezza 23

24 Studio AIEA Risultati Dominio DS (Erogazione e Supporto) 24

25 Studio AIEA Risultati Dominio DS - Osservazioni DS4 Assicurare la continuità del servizio Pur essendo richiesto, in sede di certificazione, il Business Continuity Plan, scarsi riferimenti reperiti nello standard DS7 Formare e addestrare gli utenti Ampi riferimenti in ISO (Cap. IV-VII): [4.2.2 e)] Realizzare programmi di addestramento e sviluppo della consapevolezza, [5.2.2] Addestramento, consapevolezza e competenza DS1 Definire e gestire i livelli di servizio e DS2 Gestire i servizi di terze parti, poco rilevanti in termini di sicurezza 25

26 Studio AIEA Risultati - Dominio ME (Monitoraggio e Valutazione) 26

27 Studio AIEA Risultati Dominio ME - Osservazioni ME1 Monitorare le prestazioni IT ISO (Cap. IV- VIII): [4.2.3] Monitoraggio e riesame dell ISMS [4.2.4] Gestione e miglioramento dell ISMS ME2 Monitorare e valutare i controlli interni ISO (Cap. IV-VIII): [4.2.2 d)] Definire e monitorare l efficacia dei controlli ME4 Istituzione dell IT Governance Riferimenti in ISO (Cap. IV-VIII): [5.1] Impegno della direzione [7] Riesame dell ISMS da parte della direzione 27

28 Confronto complessivo - Studio AIEA / CobiT Sicurezza (scala logaritmica) 28

29 Quali controlli ISO mi possono servire? Riprendendo la domanda nella slide 4, per acquisire IT Agility bisogna far bene: PO10 - Manage projects (no Secure CobiT ) AI1 - Identify automated solutions (no Secure CobiT ) DS3 - Capacity planning = A10.3.1!!! (Capacity management) quindi non solo conferma della validità del mapping ma anche l importanza di Processi non di sicurezza che influenzano l efficacia dei controlli di sicurezza adottati 29

30 Conclusioni CobiT ed ISO hanno una visione della sicurezza sostanzialmente condivisa CobiT tende ad individuare sistematicamente i gap, le cose da fare in contesto di business, anche in relazione alla sicurezza CobiT può contribuire all allineamento dell Analisi dei Rischi agli obiettivi di business dell azienda ISO guida nell organizzazione, nei controlli e nella Valutazione di Conformità della sicurezza ISO consente di certificare il sistema di gestione della sicurezza di un azienda L utilizzo sinergico di CobiT e ISO27000 è possibile ed utile 30

31 Approfondimenti e contatti Cobit 4.1 e ISO27001 Confronto quantitativo e qualitativo Le Guide AIEA n 4 AIEA Associazione Italiana Information Systems Auditors Milano Via Valla, 16 [email protected] Alberto Piamonte ([email protected]) Mario Notari ([email protected]) 31