COBIT 5 for Information Security Struttura e linee guida per l utilizzo

Транскрипт

1 COBIT 5 for Information Security Struttura e linee guida per l utilizzo Marco Salvato Rudi Dalla Rovere Venezia Mestre, 26 Ottobre

2 La famiglia COBIT 5 Source: COBIT 5 for Information Security, figure ISACA All rights reserved. Caratteristiche della guida: Aggiornata con i più diffusi standard e best practise (ISO/IEC e 38500, BMIS, ISF) Distinzione tra management e governance Visione end-to-end attraverso l integrazione dei ruoli e delle responsabilità business Visione olistica comprensiva di «enablers», struttura organizzativa, cultura, politiche e relative interdipendenze 2

3 Drivers Le principali motivazioni per lo sviluppo del volume COBIT 5 for Information Security comprendono: 1. La necessità di descrivere la sicurezza delle informazioni nel contesto aziendale 2. La crescente necessità per le aziende di: Mantenere i rischi ad un livello accettabile Mantenere la disponibilità dei sistemi e dei servizi Essere conformi con leggi e regolamenti 3. La necessità di essere sinergici ed in linea con gli altri standard e framework internazionali 4. La necessità di collegare assieme tutte le maggiori ricerche, framework e guide dell ISACA 3

4 Benefici L utilizzo di COBIT 5 for Information Security può portare numerosi benefici tra cui: Ridurre la complessità ed aumentare la redditività dovuta ad una migliore integrazione degli standard di sicurezza delle informazioni Migliorare la soddisfazione degli utenti Migliorare l integrazione della sicurezza delle informazioni in azienda Prendere decisioni consapevoli dei rischi Migliorare la prevenzione, l individuazione delle minacce ed il recupero delle informazioni Ridurre gli impatti degli incidenti di sicurezza Migliorare il supporto all innovazione ed alla competitività Migliorare la gestione dei costi relativi alla gestione della sicurezza delle informazioni Migliorare la comprensione della sicurezza delle informazioni 4

5 COBIT 5 for Information Security Cosa contiene? Una guida per i business driver ed i relativi benefici della sicurezza delle informazioni Come i principi di COBIT 5 possono essere visti ed applicati nell ottica della sicurezza delle informazioni Come i fattori abilitanti possono essere utilizzati a supporto della gestione della sicurezza delle informazioni Come si allinea con altri standard di sicurezza delle informazioni 5

6 Definizione di Information Security Assicura che nell azienda le informazioni siano protette dalla divulgazione ad utenti non autorizzati (riservatezza), dalle modifiche improprie (integrità) e dalla mancanza di accesso quando necessario (disponibilità). Riservatezza Integrità in COBIT 5 vista anche come Completezza e Accuratezza Disponibilità 6

7 Struttura della guida SECTION 1 COBIT 5 Principles SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice Principles, Policies and Frameworks Information Processes Services, Infrastr. and Applications Organisational Structures People, Skills and Competencies Culture, Ethics and Behaviour SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment 6 pagine 28 pagine 8 pagine [A] Princ., Policies and Frameworks [E] Information [B] Processes [F] Services, Infrastr. and Applications APPENDICES Detailed Guidance [C] Organisational Structures [G] People, Skills and Competencies [D] Culture, Ethics and Behaviour [H] Detailed Mapping 154 pagine 7

8 Struttura della guida SECTION 1 COBIT 5 Principles SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice Principles, Policies and Frameworks Information Processes Services, Infrastr. and Applications Organisational Structures People, Skills and Competencies Culture, Ethics and Behaviour SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment 6 pagine 28 pagine 8 pagine [A] Princ., Policies and Frameworks [E] Information [B] Processes [F] Services, Infrastr. and Applications APPENDICES Detailed Guidance [C] Organisational Structures [G] People, Skills and Competencies [D] Culture, Ethics and Behaviour [H] Detailed Mapping 154 pagine 8

9 Struttura della guida SECTION 1 COBIT 5 Principles SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice Principles, Policies and Frameworks Information Processes Services, Infrastr. and Applications Organisational Structures People, Skills and Competencies Culture, Ethics and Behaviour SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment 6 pagine 28 pagine 8 pagine [A] Princ., Policies and Frameworks [E] Information [B] Processes [F] Services, Infrastr. and Applications APPENDICES Detailed Guidance [C] Organisational Structures [G] People, Skills and Competencies [D] Culture, Ethics and Behaviour [H] Detailed Mapping 154 pagine 9

10 Struttura della guida SECTION 1 COBIT 5 Principles SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice Principles, Policies and Frameworks Information Processes Services, Infrastr. and Applications Organisational Structures People, Skills and Competencies Culture, Ethics and Behaviour SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment 6 pagine 28 pagine 8 pagine [A] Princ., Policies and Frameworks [E] Information [B] Processes [F] Services, Infrastr. and Applications APPENDICES Detailed Guidance [C] Organisational Structures [G] People, Skills and Competencies [D] Culture, Ethics and Behaviour [H] Detailed Mapping 154 pagine 10

11 Struttura della guida SECTION 1 COBIT 5 Principles SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice Principles, Policies and Frameworks Information Processes Services, Infrastr. and Applications Organisational Structures People, Skills and Competencies Culture, Ethics and Behaviour SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment 6 pagine 28 pagine 8 pagine [A] Princ., Policies and Frameworks [E] Information [B] Processes [F] Services, Infrastr. and Applications APPENDICES Detailed Guidance [C] Organisational Structures [G] People, Skills and Competencies [D] Culture, Ethics and Behaviour [H] Detailed Mapping 154 pagine 11

12 Struttura della guida SECTION 1 COBIT 5 Principles SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice Principles, Policies and Frameworks SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment Intervento Salvato (GBS) [A] Princ., Policies and Frameworks [E] Information Information Processes [B] Processes [F] Services, Infrastr. and Applications Services, Infrastr. and Applications APPENDICES Detailed Guidance Organisational Structures [C] Organisational Structures [G] People, Skills and Competencies People, Skills and Competencies Culture, Ethics and Behaviour [D] Culture, Ethics and Behaviour [H] Detailed Mapping 6 pagine 28 pagine 8 pagine 154 pagine 12

13 Struttura della guida SECTION 1 COBIT 5 Principles SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice Principles, Policies and Frameworks Information Processes Services, Infrastr. and Applications Organisational Structures People, Skills and Competencies Culture, Ethics and Behaviour SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment 6 pagine 28 pagine 8 pagine Intervento Dalla Rovere (GBS) [A] Princ., Policies and Frameworks [E] Information [B] Processes [F] Services, Infrastr. and Applications APPENDICES Detailed Guidance [C] Organisational Structures [G] People, Skills and Competencies [D] Culture, Ethics and Behaviour [H] Detailed Mapping 154 pagine 13

14 Struttura della guida SECTION 1 COBIT 5 Principles SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice Principles, Policies and Frameworks Information Interventi SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment Alessandro Carone (KPMG) Chris Saunders (IBM) [A] Princ., Policies and Frameworks [E] Information Processes [B] Processes [F] Services, Infrastr. and Applications Services, Infrastr. and Applications APPENDICES Detailed Guidance Organisational Structures [C] Organisational Structures [G] People, Skills and Competencies People, Skills and Competencies Culture, Ethics and Behaviour [D] Culture, Ethics and Behaviour [H] Detailed Mapping 6 pagine 28 pagine 8 pagine 154 pagine 14

15 Struttura della guida SECTION 1 COBIT 5 Principles SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice Principles, Policies and Frameworks SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment [A] Princ., Policies and Frameworks [E] Information Information Processes [B] Processes [F] Services, Infrastr. and Applications Services, Infrastr. and Applications APPENDICES Detailed Guidance Organisational Structures [C] Organisational Structures [G] People, Skills and Competencies People, Skills and Competencies Culture, Ethics and Behaviour Intervento [D] Culture, Ethics and Behaviour [H] Detailed Mapping 6 pagine 28 pagine 8 pagine Andrea Castello (CSQA) 154 pagine 15

16 Struttura della guida SECTION 1 COBIT 5 Principles Risk Optimisation SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice Principles, Policies and Frameworks Information Processes Services, Infrastr. and Applications Organisational Structures D. Lizzio Culture, (Gruppo Ethics Generali) and Behaviour People, Skills and Competencies Intervento SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment 6 pagine 28 pagine 8 pagine [A] Princ., Policies and Frameworks [E] Information [B] Processes [F] Services, Infrastr. and Applications APPENDICES Detailed Guidance [C] Organisational Structures [G] People, Skills and Competencies [D] Culture, Ethics and Behaviour [H] Detailed Mapping 154 pagine 16

17 Struttura della guida Intervento SECTION 1 COBIT 5 Principles J. Brera (KPMG) SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice 6 pagine 28 pagine Principles, Policies and Frameworks Information Processes Services, Infrastr. and Applications Organisational Structures People, Skills and Competencies Culture, Ethics and Behaviour SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment 8 pagine [A] Princ., Policies and Frameworks [E] Information [B] Processes [F] Services, Infrastr. and Applications APPENDICES Detailed Guidance [C] Organisational Structures [G] People, Skills and Competencies [D] Culture, Ethics and Behaviour [H] Detailed Mapping 154 pagine 17

18 Struttura della guida SECTION 1 COBIT 5 Principles Resource Optimisation SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice Principles, Policies and Frameworks Information Processes Services, Infrastr. and Applications Organisational Structures Romano Culture, Brida Ethics (NTT and Data) Behaviour People, Skills and Competencies Intervento SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment 6 pagine 28 pagine 8 pagine [A] Princ., Policies and Frameworks [E] Information [B] Processes [F] Services, Infrastr. and Applications APPENDICES Detailed Guidance [C] Organisational Structures [G] People, Skills and Competencies [D] Culture, Ethics and Behaviour [H] Detailed Mapping 154 pagine 18

19 Principi di COBIT 5 1. Rispondere alle esigenze degli Stakeholder 5. Separare la Governance dal Management Principi COBIT 5 2. Visione aziendale end-to-end 4. Favorire un approccio olistico 3. Applicare un framework unico e integrato 19

20 Principi di COBIT 5 1. Rispondere alle esigenze degli Stakeholder Source: COBIT 5, figure ISACA All rights reserved. 20

21 Fattori Abilitanti di COBIT 5 (Enablers) Processi Strutture Organizzative Cultura, Etica e Comportamento Principi, Politiche e Frameworks Informazioni Servizi, Infrastrutture e Applicazioni Persone, Esperienze e Competenze Risorse 21

22 Fattori Abilitanti di COBIT 5 (Enablers) COBIT 5 for Information Security fornisce una guida specifica relativa ad ogni fattore abilitante: 1. Politiche, principi e framework di sicurezza delle informazioni 2. Processi, comprensivi di dettagli ed attività specifiche di sicurezza delle informazioni 3. Strutture organizzative specifiche di sicurezza delle informazioni 4. Fattori determinanti di successo per il governo e la gestione della sicurezza delle informazioni in termini di cultura, etica e comportamento 5. Tipologie di informazioni specifiche per la sicurezza 6. Capacità di servizio necessarie per fornire funzioni di sicurezza delle informazioni all azienda 7. Profili professionali, ruoli e competenze specifiche per la sicurezza delle informazioni 22

23 Enabler: Principles, Policies and Frameworks Principi, politiche e framework si riferiscono ai meccanismi di comunicazione messi in atto per trasmettere la direzione e le istruzioni degli organi di governo e di gestione, tra cui : Principi di Sicurezza delle informazioni Politiche di Sicurezza delle informazioni Adattamento delle politiche alla realtà aziendale Ciclo di vita delle politiche Sono anche inclusi supporti per Information security policy Access control policy Personnel information security policy Incident management policy Asset management policy COBIT 5 for Information Security descrive per ogni politica i seguenti attributi: Scope (ambito) Validity (validità) Goals (obiettivi) 23

24 Enabler: Principles, Policies and Frameworks Policy Framework Input Information Security Principles Information Security Policy Specific Information Security Policies Information Security Procedures Information Security Requirements and Documentation Mandatory Information Security Standards, Frameworks and Models Generic Information Security Standards, Frameworks and Models Source: COBIT 5 for Information Security, figure ISACA All rights reserved 24

25 Enabler: Principles, Policies and Frameworks Nel 2010 ISACA, ISF e ISC 2 hanno lavorato assieme per definire 12 principi* che aiuteranno I professionisti della sicurezza delle informazioni a creare valore per le loro organizzazioni. I principi supportano 3 attività: Support the business; Defend the business; Promote responsible information security behaviour. * I principi sono inclusi in COBIT 5 for Information Security e possono essere scaricati da: 25

26 Enabler: Processes Il modello di riferimento dei processi di COBIT 5 suddivide le prassi e le attività IT in due aree principali governance e management: Il dominio della Governance contiene 5 processi e si chiama Evaluate, Direct and Monitor (EDM) I 4 domini riguardanti il Management sono inerenti aree di responsabilità secondo la logica Plan, Build, Run and Monitor (PBRM) COBIT 5 for Information Security esamina ciascuno dei processi dal punto di vista della sicurezza delle informazioni 26

27 Enabler: Processes Modello di Riferimento dei Processi COBIT 5 Intervento Carone e Dalla Rovere 27

28 Enabler: Strutture Organizzative (Organisational Structures) COBIT 5 esamina il modello organizzativo delle strutture dal punto di vista della sicurezza delle informazioni. Definisce i ruoli, le strutture di sicurezza, le responsabilità, fornendo esempi specifici. Vengono descritti: -- Composizione del ruolo/struttura -- Mandato, principi di funzionamento, area di controllo e livello di autorità -- RACI Chart di alto livello -- Input / Output 28

29 Enabler: Cultura, Etica e Comportamento (Culture, Ethics and Behaviour) Esamina la cultura, l'etica e modello di comportamento dal punto di vista della sicurezza delle informazioni, fornendo esempi specifici di: 1. Il ciclo di vita della cultura della sicurezza misurando i comportamenti nel tempo tra gli esempi si possono includere: Robustezza delle password Carenza nell approccio alla sicurezza Aderenza alle procedure di Change Management 2. L influenza e l esempio che devono dare i profili in posizioni di Leadership e Champions ad esempio: Risk managers Professionisti della sicurezza C-level executives 3. Comportamenti Desiderati sono stati identificati una serie di comportamenti che aiutano ad influenzare positivamente la cultura della sicurezza: La sicurezza delle informazioni è all interno delle operazioni quotidiane Gli Stakeholders sono consapevoli di come rispondere alle minacce La direzione riconosce il valore di business della sicurezza 29

30 Enabler: Information L'informazione non è solo il soggetto principale della sicurezza delle informazioni, ma è anche un fattore chiave. Information security strategy Information security budget Information security plan Policies Information security requirements Awareness material Information security review reports, which include: Information security audit findings Information security maturity report Information security-related risk management Information security service catalogue Information risk profile Information security dashboard (or equivalent), which includes: Information security incidents Information security problems 30

31 Enabler: Services, Infrastructure and Applications Vengono descritte le capacità dei servizi che sono necessari per garantire la sicurezza le informazioni e le relative funzioni. Come esempi di servizi appartenenti ad un security service catalogue si possono citare: Fornire una architettura di sicurezza Contribuire alla sensibilizzazione in materia di sicurezza (security awareness) Eseguire security assessments Fornire un adeguata risposta agli incidenti Fornire un'adeguata protezione contro malware, attacchi esterni e tentativi di intrusione Fornire servizi di monitoraggio e di allarme per gli eventi relativi alla sicurezza 31

32 Enabler: People, Skills and Competencies Per operare efficacemente una funzione di sicurezza gli individui devono avere conoscenze ed esperienze appropriate. Esempi tipici di ruoli chiave sono: Information security governance Information risk management Information security operations COBIT 5 for Information Security definisce i seguenti attributi per ciascuna delle conoscenze e delle competenze : Definizione delle competenze/conoscenze Obiettivi Fattori abilitanti correlati 32

33 Sezione 3 Capitolo 1 e 2: Implementing Information Security Initiatives COBIT 5 for Information Security ricorda che ogni azienda necessita di implementare i propri fattori abilitanti considerando le proprie prerogative e caratteristiche. I requisiti di sicurezza delle informazioni devono essere definiti anche sulla base : Business plan e orientamenti strategici Management style Intervento Information risk profile Brera Risk appetite 33

34 Sezione 3 Capitolo 3: Using COBIT 5 for IS to Connect Other Frameworks, Models, Good Practices and Standards COBIT 5 for Information Security si propone come un framework «ombrello» per connettersi ad altri framework, leading practice e standard, nell ambito della sicurezza delle informazioni. 34

35 Rudi Dalla Rovere 35

36 Processi COBIT 37 processi 99 pagine 45% del documento 15 minuti... 36

37 Processi COBIT 37

38 Struttura schede Processo Definizione dei processi Scopo del processo N «Practices» Obiettivi specifici per la sicurezza & Metriche Attività + Input + Output per Security Correlazione tra processi Attività specifiche per la sicurezza 38

39 APO03 Manage Enterprise Architecture Stabilire un architettura comune consistente di processi di Business, Informazioni, Dati, Applicazioni e livelli di architettura tecnologica per realizzare effettivamente ed efficacemente le strategie aziendali ed IT mediante la creazione di modelli chiave e prassi che descrivono le architetture di base e target. Definire i requisiti per la tassonomia, standards, linee guida, procedure, template e strumenti e provvedere il collegamento tra questi componenti. Migliorare l allineamento ed incrementare l agilità, migliorare la qualità d informazione e generare potenziali risparmi di costo attraverso iniziative quali il riutilizzo delle componenti. Rappresentare i diversi blocchi costituenti dell azienda e le loro interrelazioni nonché i principi che guidano il loro design e l evoluzione attraverso il temo, abilitando la fornitura di obiettivi strategici e operativi standard, agili ed efficienti. 39

40 Estratto parziale 40

41 BAI02 Manage Requirements Definition Identificare soluzioni ed analizzare i requisiti prima dell acquisizione o creazione per assicurare che essi siano in linea coi requisiti strategici aziendali, coprendo i processi di business, le applicazioni, informazioni / dati, infrastrutture e servizi. Coordinare con gli stakeholders impattati la revisione delle opzioni includendo i relativi costi e benefici, analisi dei rischi e l approvazione dei requisiti per la soluzione proposta. Creare soluzioni fattibili ottimali che incontrano i requisiti aziendali minimizzando al contempo il rischio. 41

42 42

43 BAI02 Manage Requirements Definition 43

44 DSS02 Manage Service Requests and Incidents Fornire una risposta tempestiva ed effettiva alle richieste degli utenti e risoluzione di tutti i tipi di incidenti. Ripristinare il servizio normale; registrare ed adempiere alle richieste degli utenti; registrare, investigare, diagnosticare, scalare e risolvere gli incidenti. Ottenere un incremento di produttività e minimizzare il degrado attraverso la veloce risoluzione delle richieste degli utenti e degli incidenti. 44

45 DSS02 Manage Service Requests and Incidents Sicurezza come servizio interno (app. F) 45

46 NIST SP Computer Security Incident Handling Guide 46

47 MEA02 Monitor, Evaluate and Assess the System of Internal Control Monitorare continuamente l ambiente dei controlli, includendo self-assessment ed audit indipendenti di terze parti. Abilitare il management ad identificare deficiency ed inefficienze di controllo per avviare azioni di miglioramento. Pianificare, organizzare e mantenere standard per l assessment dei controlli interni e la qualità delle attività. Ottenere trasparenza per gli stakeholder chiave sull adeguatezza del sistema dei controlli interno e quindi provvedere fiducia nell operatività, confidenza nel raggiungimento degli obiettivi d azienda e un adeguata comprensione del rischio residuo. 47

48 Tit Estratto parziale 48

49 Infrastruttura F) Potential security-related services, as they might appear in a service catalogue: 1. Security architecture. 2. Awareness. 3. Secure development (development in line with security standards). 4. Security assessments. 5. Adequately secured and configured systems, in line with security requirements and security architecture. 6. User access and access rights in line with business requirements. 7. Protection against malware, external attacks and intrusion attempts. 8. Incident response. 9. Security testing (development life cycle). 10. Monitoring and alert services for security-related events. Descrizione del servizio Attributi: come / benefici Metriche 49

50 Infrastruttura F): Security Awareness 50

51 COBIT 5 for Information Security Struttura e linee guida per l utilizzo E una guida che integra i due volumi precedenti: - COBIT 5 Framework - COBIT 5 Enabling Processes 51