Group Business Assurance Revisione modello Incident di sicurezza

Transcript

1 GRUPPO TELECOM ITALIA Group Business Assurance Revisione modello Incident di sicurezza People Value Organizational Effectiveness

2 Premessa Il presente documento illustra le ipotesi di confluenza per la definizione del nuovo modello di gestione dei processi di sicurezza tecnica, di Business Continuity e degli Incident di sicurezza. Tale operazione si articolerà su tre direttrici principali: deployment della funzione Group Business Assurance, incentrato sulle tematiche della sicurezza tecnica (definizione policy e procedure e conseguente verifica dell applicazione) e della business continuity; attribuzione alla funzione delle responsabilità inerenti la gestione degli Incident di sicurezza, tramite la costituzione di un presidio dedicato; focalizzazione della funzione Technical di TI Information Technology sulle attività di supporto alle fabbriche IT nelle fasi di analisi operativa dei rischi, realizzazione e delivery. 2

3 HP confluenze da TECH. SEC. : dettaglio attività MODELLO AS IS TS - DEMAND & RISK MANAGEMENT - TECHNICAL PROCEDURES 1. Trasformazione delle Policy aziendali in procedure operative per garantire il rispetto di Normative, standard, Certificazioni nello sviluppo/esercizio di sistemi/piattaforme ICT (limitatamente al perimetro SOC) 2. Stesura e revisione delle procedure tecniche di sicurezza (limitatamente al perimetro SOC) 3. Esecuzione dell impact analysis sul parco applicativo installato a fronte dell emissione di nuove Normative ( es.privacy, Garante, ISO 27001e Certificazioni PCI, CSA). 4. Coordinamento delle attività operative TIIT (timing, remediation plan, ecc) per l Autovalutazione delle Misure Minime di Sicurezza (MiMiP) 5. Coordinamento dell esecuzione dei controlli SOX e delle attività di mapping/analisi ai fini 231 in ambito TIIT/TS Technical Ca 1-2 FTE TS - DEMAND & RISK MANAGEMENT - DEMAND SECURITY & COMPLIANCE 1. Valutazione della criticità intrinseca (VCI) di sistemi e piattaforme ICT 2. Definizione dei requisiti tecnici di sicurezza da attribuire ai nuovi servizi/sistemi/piattaforme ICT (contributo tecnico di sicurezza allo shaping tecnico) 3. Pianificazione annuale degli Assessment Tecnici 4. Programmazione attività di Risk Management in ambito TI.IT (Rev Periodica Profili Sicurezza, Crash Program Trasversali ai domini TIIT, Ass Tecnici Sic) 5. Programmazione delle evoluzioni delle soluzioni di sicurezza centralizzate 6. Gestione dei parametri di sicurezza associati ai sistemi presenti nel Catalogo Sistemi IT di sicurezza TS SOC - VERIFICHE TECNICHE DI SICUREZZA 1. Controlli in fase di delivery (es. sviluppo sicuro del codice, verifica dello stato di attivazione dei processi di security con facoltà di negare l autorizzazione al passaggio in esercizio a fronte di situazioni particolarmente critiche) 2. Controllo relativo alla gestione delle regole Firewall, per abilitare «rotte» e visibilità di sistemi o reti e ne effettua dal punto di vista della sicurezza Ca 3-4 FTE 3. Assessment di sicurezza (Penetretion Test, Vulnerability Assessment per certificazioni) TS SOC - SECURITY MONITORING & INCIDENT HANDLING 1. Monitoraggio H24 della sicurezza della rete pubblica di telecomunicazione, dei data center e della rete di gruppo. 2. Gestione degli incidenti di sicurezza in stretto raccordo con le funzioni di esercizio di IT e Network, il NOC e la Control Room Mercato. 3. Erogazione su commessa della funzione Business del servizio di protezione anti DDOS rivenduto dalla BU ai principali imprese e banche italiane. 4. Supporto SAG: Predisposizione progetti tecnici per l esecuzione di ordini dell AG quando questi richiedano l installazione in rete di particolari apparati coordinando tutte le competenti strutture tecniche di Telecom Italia. 5. Supporto SAG: In esecuzione di ordini dell AG, effettua tracciamenti statistici su lungo periodo. 6 FTE 16 FTE Attività in confluenza verso Group Business Assurance Attività in confluenza verso 3

4 Deployment Group Business Assurance DRIVERS: BUSINESS SUPPORT OFFICE Ricomposizione delle responsabilità riguardanti le attività di assurance dei processi a supporto del business Rafforzamento dell accountability relative al policy making - a livello di Gruppo - della sicurezza tecnica e della business continuity Sinergie e cross-fertilization delle competenze tramite l aggregazione di professionalità skillate su tematiche similari Policy & Procedures POLICY DI BUSINESS ASSURANCE P. Vantellini Group Business Assurance G. Ascarrunz Projects monitoring, Technical Evaluation & Implementation VERIFICHE APPLICAZIONE POLICY/PROCEDURE Business Continuity PROCEDURE OPERATIVE 4

5 Interventi in ambito DRIVERS Superamento Risk Prevention & IT Governance Confluenza quota Know How Operations Center (SOC) Attività riguardanti le procedure di sicurezza in confluenza verso Processi e Progetti Trasversali BUSINESS SUPPORT OFFICE P. Vantellini D. Toselli Processi e Progetti Trasversali G. Cantournet Integrazione Procedure di Sicurezza Fisica Monitoring & Reporting G. Saja Progetti Trasversali di M. Lorenzi Normative e Collegamenti Dedicati ICT Incident Monitoring Sicurezza Fisica Servizi per l Autorità Giudiziaria G. Penna M. Tiseo S. Caracò Coordinamento Normativo D. Alleva Servizi e Sistemi TLC Dedicati A. Guaragna Assicura la gestione, in raccordo con le Funzioni preposte,, gli incidenti di sicurezza ICT INCIDENT SECURITY ICT Protezione Civile M. L. Stazi Control Room F. Spotti Area Territoriale Nord Assicura a livello di Gruppo, l interfaccia aziendale verso il Dipartimento della Protezione Civile e gli altri Enti Istituzionali impegnati nella gestione degli eventi critici o dei grandi eventi, garantendo anche in ottica di prevenzione la realizzazione delle attività e degli adempimenti connessi Assicura la definizione degli standard di sicurezza e la gestione dei sistemi di tutela aziendale, nonché la gestione degli incident e degli eventi critici. La funzione garantisce inoltre il supporto ai trasfertisti di Gruppo all'estero e la gestione dei permessi di accesso alle sedi aziendali Gestione Credito e Normativa AG D. M. Satariano SAG Account A. Terraneo Servizi Tecnici e Internet M. Romiti Garantisce la gestione end to end delle attività di credit management ed assicura il presidio di tutte le tematiche normative connesse all Autorità Giudiziaria Assicura su rete fissa e mobile l erogazione delle prestazioni relative a richieste standard e fuori standard dell Autorità Giudiziaria, nonché il supporto alla funzione Gestione Credito e Normativa AG per le attività operative territoriali di credit management Assicura le attività di configurazione tecnica ed attivazione delle intercettazioni su rete fissa e mobile, nonché la gestione delle attività correlate all utilizzo dei servizi internet P. Anelli Area Territoriale Centro O. Melilli Relazioni con l Autorità Giudiziaria per Sparkle G. Rosati Assicura, per Telecom Italia Sparkle, l erogazione delle prestazioni richieste dall Autorità Giudiziaria per i servizi internazionali e le relative attività di credit management Area Territoriale Sud G. Di Piazza Servizi Tecnici all Autorità Giudiziaria per Sparkle F. P. Mari Assicura, per Telecom Italia Sparkle, le attività di configurazione tecnica ed attivazione delle intercettazioni, nonché di produzione dei dati di tracciamento richiesti dall Autorità Giudiziaria 5