COBIT 5 for Information Security

Транскрипт

1 COBIT 5 for Information Security Andrea Castello LA 27001, LA 20000, LA 22301, ISO trainer 1

2 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2

3 Agenda Sicurezza delle informazioni e valore dell informazione Governance della sicurezza delle informazioni Contenuti COBIT5 For Information Security: Enablers e ciclo di vita Sicurezza delle informazioni e lo standard ISO Allineamento COBIT5 e ISO

4 COBIT 5 for Information security 4

5 Perché parlare di Sicurezza delle informazioni? La pubblicazione COBIT5 For Information Security nasce dalla forte esigenza di definire un approccio consolidato e sistematico alla gestione della sicurezza delle informazioni 5

6 Il valore dell informazione Riservatezza Information is a key resource for all enterprises and, from the time information is created to the moment it is destroyed, technology plays a significant role. [Cobit5 For Information Security] Informazione Disponibilità Integrità 6

7 Governance della sicurezza delle informazioni Cobit5 For information security mira a fornire un framework in grado di consentire alle aziende la corretta Governance atta al raggiungimento degli obbiettivi di business. Il framework aiuta l azienda a garantire il valore delle informazioni gestite ottimizzandone i rischi e l impiego di risorse. 7

8 Quali benefici porta la Governance della sicurezza delle informazioni? Miglioramento continuo Minor complessità Commisurazione rischi GOVERNANCE Aumento costi benefici Soddisfazione clienti Maggior consapevolezza Maggior integrazione delle informazioni 8

9 Struttura: Struttura delle guida SECTION 1 COBIT 5 Principles SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice Principles, Policies and Frameworks Information Processes Services, Infrastr. and Applications Organisational Structures People, Skills and Competencies Culture, Ethics and Behaviour SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment 4 pagine 27 pagine 7 pagine [A] Princ., Policies and Frameworks [E] Information [B] Processes [F] Services, Infrastr. and Applications APPENDICES Detailed Guidance [C] Organisational Structures [G] People, Skills and Competencies [D] Culture, Ethics and Behaviour [H] Detailed Mapping 154 pagine 9

10 Section II: Enablers 10

11 Policy Framework 11

12 Processes 12

13 Organization structures COBIT5 For Information Security definisce le persone chiave nel processo decisionale legato alla sicurezza delle informazioni 13

14 Culture, Ethics and behaviour 14

15 Information 15

16 Service Infrastructure and Applications 16

17 People, Skill and Competencies 17

18 Section III: Come si implementa la gestione della sicurezza delle informazioni nel contesto aziendale? Gestione dei cambiamenti Comprensione del contesto Creazione di un ambiente adeguato (risorse, ruoli, responsabilità, strutture, processi) Individuazione Trigger (non conformità, incidenti di sicurezza,.) 18

19 COBIT and Other IT Governance Frameworks Allineamento con altre best practices COSO ISO COBIT WHAT ITIL HOW Source ISACA 2007 SCOPE OF COVERAGE 19

20 COBIT5 e ISO COBIT e ISO Molto è stato detto, forse tutto 20

21 Sicurezza delle informazioni e lo standard ISO Information technology - Security techniques - Information security management systems - Requirements 21

22 Sicurezza delle informazioni e lo standard ISO Set della documentazione SGSI Campo di applicazione Politica di sicurezza Metodologia (Processo di valutazione) dei rischi di sicurezza delle informazioni Processo e piano di trattamento del rischio SOA Obiettivi sicurezza delle informazioni Eventi Incidenti alla sicurezza; Debolezze presunte; Malfunzionamenti. Osservazioni degli audit; Risultati di test; Risultati di controlli a campione (spot-check) Riesame ed aggiornamento del SGSI Verbale(i) all interno di un forum Registrazione e analisi Evidenze 22

23 ISO/IEC 27001:13 4 Il contesto dell organizzazione Capire l organizzazione ed il suo contesto Comprendere le necessità e le aspettative delle parti interessate Determinare il campo di applicazione del sistema di gestione per la sicurezza delle informazioni Sistema di gestione per la sicurezza delle informazioni 5 Guida e direzione (Leadership) Guida, direzione e impegno Politica Ruoli, responsabilità e poteri dell organizzazione 6 Pianificazione Azioni per fronteggiare rischi e opportunità Obiettivi per la sicurezza delle informazioni e piani per conseguirli 7 Supporto Risorse Competenze Consapevolezza Comunicazione Informazioni documentate 8 Operatività Pianificazione e controllo operativo Valutazione del rischio relativo alla sicurezza delle informazioni Trattamento del rischio relativo alla sicurezza delle informazioni 9 Valutazione delle prestazioni Monitoraggio, misurazione, analisi e valutazione Audit interni Riesame della Direzione 10 Miglioramento Non conformità e azioni correttive Miglioramento continuo La nuova norma pone, in generale, maggiore enfasi sulla definizione degli obiettivi, sul monitoraggio delle prestazioni, sulla definizione delle metriche e sulla comunicazione interna ed esterna. 23

24 Controlli ISO 27001:13 Organizzativi Politiche di Sicurezza (2) Organizzazione della Sicurezza delle Informazioni (7) Sicurezza delle risorse umane (6) Fisici Sicurezza Fisica ed Ambientale (15) Tecnici Gestione dei Beni (10) Controllo degli accessi (13) Crittografia (2) Sicurezza Operativa (14) Sicurezza delle comunicazioni (7) Acquisizione, sviluppo e manutenzione dei sistemi (13) Relazioni con i fornitori (15) Gestione degli incidenti relativi alla sicurezza delle informazioni (7) Aspetti relativi alla sicurezza delle Informazioni nella gestione della Continuità Operativa (4) Legali 14 Aree 35 Obiettivi di controllo 114 controlli Conformità (8) 24

25 Cosa è cambiato?

26 COBIT5 e ISO Aree Annex A ISO 27001:05 26

27 COBIT5 e ISO Aree Annex A ISO 27001:05 Rif EDM APO BAI DSS MEA Appendice H A.05 0% 0% 0% 0% 50% 50% A.06 73% 27% 9% 0% 27% 73% A.07 0% 0% 40% 0% 0% 40% A.08 0% 22% 11% 11% 0% 22% A.09 0% 0% 8% 0% 0% 8% A.10 0% 13% 19% 100% 9% 100% A.11 0% 0% 12% 0% 0% 12% A.12 0% 0% 13% 0% 0% 13% A.13 0% 40% 20% 100% 0% 100% A.14 20% 40% 0% 100% 0% 100% A.15 0% 10% 10% 0% 60% 70% va A.15 A % 75% A.14 A.13 A.12 A.06 A.15 A.11 A % 75% 50% 25% 0% A.10 A.06 A.09 A.07 A.08 EDM APO BAI DSS MEA A.14 50% A.07 25% A.13 0% A.08 Copertura complessiva A.12 A.09 A.11 A.10 27

28 COBIT5 e ISO COBIT e ISO 27001: un risultato Copertura COBIT 5 Appendice A ISO A.15 A % 75% A.06 Cobit5 For Information Security A.14 50% A.07 Cobit5 25% A.13 0% A.08 Appendice H Cobit 5 A.12 A.09 A.11 A.10 28

29 COBIT e ISO 27001: considerazioni Quesito: se adotto una governance basata su COBIT 5 ho un efficace supporto alla certificazione ISO27001? Se con COBIT 5 ho una visione e una concretezza della sicurezza, come gestione di processi, Se uso COBIT 5 per monitorare i miei gap di sicurezza, e quindi le azioni di miglioramento. Se uso COBIT 5 per attivare e mantenere allineata con i miei obiettivi di business, l analisi dei rischi Se COBIT 5 mi guida nell organizzazione, nei controlli e nella valutazione di conformità, anche in senso generale dei miei processi IT Allora COBIT 5 è sinergico alla ISO