COBIT5 per pianificare ed implementare

Похожие документы
COBIT 5 for Information Security

Pubblicazioni COBIT 5

FORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t

CYBERSECURITY AND IT RISK MANAGEMENT FOR FINANCIAL INSTITUTIONS INFRASTRUCTURES - CPEXPO Partner

COBIT ed oltre

COBIT 5 for Information Security Struttura e linee guida per l utilizzo

IBM - IT Service Management 1

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Percorso professionalizzante Internal audit in banca

15 Aprile 2016, Trento

Introduzione a COBIT 5 for Assurance

MEGA Process Oriented & Risk Driven Solution

Third Party Assurance Reporting

ITIL cos'è e di cosa tratta

Costruiamo il Framework di Governance

Percorso professionalizzante per la Compliance in banca

Cybersecurity per la PA: approccio multicompliance Sogei

SERVICE MANAGEMENT E ITIL

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

Information Risk Management (IRM)

Ingegneria del Software

Il governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale

ISA Presentazione dei servizi. isaitalia.it

PIANO DI AUDIT RISK BASED APPROCCIO METODOLOGICO

COMPLIANCE PROCESS IN BANKING GROUPS

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

UN NETWORK DI AZIENDE PER SERVIRE TUTTA ITALIA

LA GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI A TUTELA DEL PATRIMONIO AZIENDALE

Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

Architettura del sistema di controllo interno: interazioni tra Internal Audit e Chief Risk Officer

COBIT ed oltre

ICT Security Governance. 16 Marzo Bruno Sicchieri ICT Security Technical Governance

Risk Management Using

Data Governance: linee guide operative e tecniche per il governo della qualità dei dati

Configuration Management secondo l ISO

Operations Management Team

Operations Management Team

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

Business Continuity: criticità e best practice

Транскрипт:

15 aggiornamento Circ. n. 263 Bankit: COBIT5 per pianificare ed implementare F. Bulgarelli, V. Iuvara, A. Piamonte Un approccio metodologico originale basato su COBIT5 per l adeguamento ai requisiti normativi Sessione di Studio - Milano, 20 giugno 2014 SdS Milano, 20 giugno 2014 1

Il 2 luglio 2013 Banca d Italia ha emanato in via definitiva il 15 aggiornamento della Circolare n. 263 del 26 dicembre 2006 Nuove disposizioni di vigilanza prudenziale per le banche in materia di controlli interni, sistema informativo e continuità operativa delle banche e dei gruppi bancari. Il Framework COBIT5 di ISACA ha le caratteristiche che ne suggeriscono l utilizzo sia per pianificare che per implementare le attività legate alle nuove disposizioni SdS Milano, 20 giugno 2014 2

AIEA, l Associazione Italiana Information System Auditors Per i Soci : Partecipazione gratuita alle Sessioni di Studio. Accessibili, in diretta o on-demand, via internet Convegno annuale. Formazione Certificazioni CISA CISM CGEIT CRISC COBIT5 Professionale Gruppi di ricerca Banca d Italia circ. 263 Risk Management Nuovo Regolamento Privacy EU.. Pubblica Amministrazione CAD Rivista Internet Pubblicazione online con blog e approfondimenti Partecipazione agevolata a eventi di interesse generale AIEA patrocina numerosi eventi ottenendo condizioni di favore per la partecipazione dei Soci SdS Milano, 20 giugno 2014 3

Agenda Governare l IT o Frameworks o Costruiamo il Framework di Governance o COBIT 5 Framework o COBIT 5 Implementation La normativa BANKIT di Vigilanza Prudenziale (15 aggiornamento) e la Governance dell IT Applicazione del metodo o Passo 1: rappresentazione dei requisiti normativi in forma strutturata o Passo 2: individuazione degli Enabler COBIT 5 rilevanti o Passo 3: mappatura dell Enabler Processi o Passo 4: pesatura dei Processi / Key practice / Attività mappati o Passo 5: aggregazione dei dati e rappresentazioni di sintesi Considerazioni Finali SdS Milano, 20 giugno 2014 4

Governare l IT Significa ricercare soluzioni che abbiano un giusto equilibrio tra benefici e rischi, con una corretta gestione delle risorse Richiede quindi visione «end-to-end» e rinnovata capacità di comunicare e di cooperare all interno delle Aziende e Pubbliche Amministrazioni Oggi sono disponibili Modelli Framework e Buone Pratiche (Good Practices) che affrontano la tematica in modo innovativo COBIT 5 SdS Milano, 20 giugno 2014 5

Di cosa c è bisogno? L esperienza insegna che ci vuole una visione globale nella quale l Azienda veda nell IT una componente integrante del modo di fare business ( non più una componente separata con regole specifiche e scollegate dai reali obiettivi aziendali) Business ed IT devono condividere obiettivi, collaborare dividendosi i ruoli di Governo e Gestione Quindi : Sono necessari strumenti / schemi / frameworks che consentano, in generale, di capire : Chi / cosa / come / quando è coinvolto Relazioni di causa -> effetto in una visione possibilmente globale e condivisa A classic example is the notion of utopia as described in Plato's (428-348 b.c.) best-known work, The Republic. This means that the "ideal city" as depicted in The Republic is not given as something to be pursued, or to present an orientation-point for development; rather, it shows how things would have to be connected, and how one thing would lead to another, if one would opt for certain principles and carry them through rigorously. SdS Milano, 20 giugno 2014 6

NIST Cybersecurity Framework Frameworks the Framework Core is not a checklist of activities to perform; it presents key cybersecurity outcomes that are aligned with activities known to manage cybersecurity risk. These activities are mapped to a subset of commonly used standards and guidelines. BI 263: DISPOSIZIONI PRELIMINARI E PRINCIPI GENERALI 1. Premessa Il sistema dei controlli interni è un elemento fondamentale del complessivo sistema di governo delle banche; esso assicura che l attività aziendale sia in linea con le strategie e le politiche aziendali... La presente disciplina:... rappresenta la cornice generale del sistema dei controlli aziendali Chech-box mentatlity Tactical & reactive Achieve point-in-time Compliance Certification Compliance Driven Approach Risk-Based Approach Proactive & Holistic Continous Monitoring Proactive mentality 7

Costruiamo il Framework di Governance SdS Milano, 20 giugno 2014 8

COBIT5 «UNIVERSAL» Framework Perché Interventi Quando Attori Benefici Evitare Rischi Gestione ottimale Risorse Dove operare Processi /Pratiche / Attività Principi Policies Frameworks Sistemi Persone Organizzazione Informazioni disponibili Cultura / etica Governo Pianificazione Organizzazione Impostazione Definizione Soluzioni IT CDA Business IT / IS Controllo Struttura Causa - Effetto Come operare Pratiche / Attività Base Consolidate e universalmente accettate Riferimento ai principali Standard Priorità in funzione obiettivi di business Erogazione Servizi Supporto Misura e Controllo Strumenti Balanced Score Cards Capability Assessment Implementation Guide... SdS Milano, 20 giugno 2014 9

Governance Strumenti Principi Enablers Goals Assessment COBIT5 «UNIVERSAL» Framework Info Security Vendor Mgmt Risk Privacy EU Contesto... Aziendale Guide all Implementazione Information Security Assurance EnablerInformation Risk Vendor Mgmt Problem(s) specific Framework Conoscere il Contesto e le Problematiche SdS Milano, 20 giugno 2014 10

COBIT5 Implementation autorizzazione : la procedura che verifica se un cliente o un altro soggetto interno o esterno ha il diritto di compiere una certa azione, ad es. di trasferire fondi o accedere a dati sensibili; SdS Milano, 20 giugno 2014 11

Perché 5 Benefici Evitare Rischi Gestione ottimale Risorse Interventi Dove operare Processi Principi Policies Frameworks Sistemi Persone Organizzazione Informazioni disponibili Cultura / etica 3 Quando Governo 2 Pianificazione Organizzazione Impostazione Definizione Soluzioni IT Attori CDA Business IT / IS 1 Controllo 1. Chi 2. Quando 3. Dove 4. Come 5. Perché Come operare Pratiche / Attività Base Consolidate e universalmente accettate Riferimento ai principali Standard Priorità in funzione obiettivi di business 4 Erogazione Servizi Supporto Misura e Controllo SdS Milano, 20 giugno 2014 12

COBIT5 Implementation Un metodo, diverse possibili applicazioni normative, ad esempio Privacy EU Strasbourg, 12 March 2014 Progress on EU data protection reform now irreversible following European Parliament vote Identificare i Processi Primari Identificare gli altri «Enablers» o o o o Principi /Policy Informazioni di cui disporre Processi «secondari»... Assegnare ruoli e responsabilità Collegare singole attività in un più ampio contesto aziendale Dimostrare, «certificando» ISO 15504 la «capability» dei Processi primari... SdS Milano, 20 giugno 2014 13

Agenda Governare l IT o Frameworks o Costruiamo il Framework di Governance o COBIT 5 Framework o COBIT 5 Implementation La normativa BANKIT di Vigilanza Prudenziale (15 aggiornamento) e la Governance dell IT Applicazione del metodo o Passo 1: rappresentazione dei requisiti normativi in forma strutturata o Passo 2: individuazione degli Enabler COBIT 5 rilevanti o Passo 3: mappatura dell Enabler Processi o Passo 4: pesatura dei Processi / Key practice / Attività mappati o Passo 5: aggregazione dei dati e rappresentazioni di sintesi Considerazioni Finali SdS Milano, 20 giugno 2014 14

Passo 1: Requisiti normativi in forma strutturata CAPITOLO 8 - IL SISTEMA INFORMATIVO Sezione IV - La Gestione della Sicurezza Informatica 5. La gestione dei cambiamenti La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell ambiente di produzione. Il processo si svolge sotto la responsabilità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell intermediario: la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (L inventario aggiornato del sistema e delle risorse ICT è funzionale anche alle attività di analisi del rischio informatico (cfr. Sezione III); la valutazione dell impatto dei cambiamenti sul sistema e dei rischi correlati con le proposte di modifica; l autorizzazione formale di ogni cambiamento in ambiente di produzione (Il livello autorizzativo è adeguato all entità dei rischi emersi nell analisi.); tale procedura comprende l accettazione, nei casi critici individuati nell analisi dei rischi, nel nuovo rischio residuo; la pianificazione, il coordinamento e la documentazione degli interventi di modifica, prevedendo attività di collaudo e test di sicurezza, in un ambiente deputato e distinto da quello di produzione; il ricorso a un idoneo sistema di gestione della configurazione di sistema (hardware, software, procedure di gestione e utilizzo, modalità di interconnessione), per il controllo dell implementazione dei cambiamenti, inclusa la possibilità di ripristino della situazione ex ante. Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex post all utente responsabile. [ ] SdS Roma, 5 Maggio 2014 15

Passo 1: Requisiti normativi in forma strutturata Capitolo Sezione Paragrafo Subparagrafo NUMERO DI RIFERIMENTO CAPITOLO 8 - IL SISTEMA INFORMATIVO Sezione IV - La Gestione della Sicurezza Informatica NORMATIVA 5. La ges one dei cambiamen La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell ambiente di produzione. Il processo si svolge sotto la responsabilità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell intermediario: 8 IV 5 690 8 IV 5 691 8 IV 5 692 8 IV 5 693 8 IV 5 694 8 IV 5 695 la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (L inventario aggiornato del sistema e delle risorse ICT è funzionale anche alle attività di analisi del rischio informa co (cfr. Sezione III); la valutazione dell impa o dei cambiamen sul sistema e dei rischi correla con le proposte di modifica; l autorizzazione formale di ogni cambiamento in ambiente di produzione (Il livello autorizza vo è adeguato all en tà dei rischi emersi nell analisi.); tale procedura comprende l accettazione, nei casi critici individuati nell analisi dei rischi, nel nuovo rischio residuo; la pianificazione, il coordinamento e la documentazione degli interven di modifica, prevedendo a vità di collaudo e test di sicurezza, in un ambiente deputato e dis nto da quello di produzione; il ricorso a un idoneo sistema di ges one della configurazione di sistema (hardware, so ware, procedure di ges one e utilizzo, modalità di interconnessione), per il controllo dell implementazione dei cambiamenti, inclusa la possibilità di ripris no della situazione ex ante. Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex post all utente responsabile. 8 IV 5 696 8 IV 5 697 SdS Milano, 20 giugno 2014 16

Passo 2: Identificazione COBIT 5 Enablers degli Enablers ( Attivatori ) rilevanti SdS Roma, 5 Maggio 2014 17

NUMERO DI RIFERIMENTO NORMATIVA ENABLERS E1 - Principles, Policies and E2 - Processes E3 - Organisational Structures E4 - Culture, Ethics and E5 - Information E6 - Services, Infrastructure E7 People, Skills and 690 691 692 693 694 695 696 697 5. La ges one dei cambiamen La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell ambiente di produzione. Il processo si svolge sotto la responsabilità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell intermediario: la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (L inventario aggiornato del sistema e delle risorse ICT è funzionale anche alle attività di analisi del rischio informa co (cfr. Sezione III); la valutazione dell impa o dei cambiamen sul sistema e dei rischi correla con le proposte di modifica; l autorizzazione formale di ogni cambiamento in ambiente di produzione (Il livello autorizza vo è adeguato all en tà dei rischi emersi nell analisi.); tale procedura comprende l accettazione, nei casi critici individuati nell analisi dei rischi, nel nuovo rischio residuo; la pianificazione, il coordinamento e la documentazione degli interven di modifica, prevedendo a vità di collaudo e test di sicurezza, in un ambiente deputato e dis nto da quello di produzione; il ricorso a un idoneo sistema di ges one della configurazione di sistema (hardware, so ware, procedure di ges one e utilizzo, modalità di interconnessione), per il controllo dell implementazione dei cambiamenti, inclusa la possibilità di ripris no della situazione ex ante. Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex post all utente responsabile. si si si no no no no no si no no si no no no si no no no no no si si si no no no no no si no no no si no no si no no no si no no si no no no no no SdS Milano, 20 giugno 2014 18

Passo 3: Mappatura dell Enabler Processi Processi : Visione olistica Governare Pianificare ed Organizzare COBIT 5 Process Reference Model Gestire Realizzare Erogare SdS Roma, 5 Maggio 2014 19

Passo 3: Mappatura dell Enabler Processi Purpose Processo Schema di un Processo COBIT5 Descrizione IT Related Goal Related Metrics Process Goals Related Metrics Descrizione RACI Practice Input Output Attività SdS Roma, 5 Maggio 2014 Da a Dettaglio attività 20

BAI06 Change Mgmt Obiettivi e metriche di Business Obiettivi e metriche del Processo (Certificazione ISO 15504) SdS Roma, 5 Maggio 2014 21

Le Buone Pratiche SdS Roma, 5 Maggio 2014 22

Connessioni ed attività Per chi non si accontenta! SdS Roma, 5 Maggio 2014 23

MAPPATURA CON COBIT 5 ENABLERS DETTAGLI DEL PROCESSO NUMERO DI RIFERIMENTO NORMATIVA E1 - Principles, Policies and E2 - Processes E3 - Organisational Structures E4 - Culture, Ethics and E5 - Information E6 - Services, Infrastructure E7 People, Skills and Proc ID AAANN Practice 0NN Activity A.N 690 691 5. La ges one dei cambiamen La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell ambiente di produzione. Il processo si svolge sotto la responsabilità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell intermediario: si si si no no no no 692 693 694 695 696 697 la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (L inventario aggiornato del sistema e delle risorse ICT è funzionale anche alle attività di analisi del rischio informa co (cfr. Sezione III); la valutazione dell impa o dei cambiamen sul sistema e dei rischi correla con le proposte di modifica; l autorizzazione formale di ogni cambiamento in ambiente di produzione (Il livello autorizza vo è adeguato all en tà dei rischi emersi nell analisi.); tale procedura comprende l accettazione, nei casi critici individuati nell analisi dei rischi, nel nuovo rischio residuo; la pianificazione, il coordinamento e la documentazione degli interven di modifica, prevedendo a vità di collaudo e test di sicurezza, in un ambiente deputato e dis nto da quello di produzione; il ricorso a un idoneo sistema di ges one della configurazione di sistema (hardware, so ware, procedure di ges one e utilizzo, modalità di interconnessione), per il controllo dell implementazione dei cambiamenti, inclusa la possibilità di ripris no della situazione ex ante. Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex post all utente responsabile. no si no no si no no no si no no no no no si si si no no no no no si no no no si no no si no no no si no no si no no no no no SdS Milano, 20 giugno 2014 24

MAPPATURA CON COBIT 5 DETTAGLI DEL PROCESSO Passo 3: 690 691 Activity A.N Proc ID AAANN Practice 0NN E7 People, Skills and E6 - Services, Infrastructure E5 - Information E4 - Culture, Ethics and E3 - Organisational Structures E2 - Processes Processi NORMATIVA E1 - Principles, Policies and dell Enabler NUMERO DI RIFERIMENTO Mappatura ENABLERS Note 5. La gespone dei cambiamenp La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell ambiente di produzione. Il processo si svolge sotto la si si si no no no no responsabilità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell intermediario: 691.a APO01 02 B.01 Establish roles and responsibilities APO01 02 B.06 Establish roles and responsibilities APO01 691.c APO12 03 B.06 Maintain the enablers of the management system 03 B.04 Maintain a risk profile 691.d 691.e APO12 03 B.06 Maintain a risk profile 691.f BAI06 691.b 692 APO12 la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (L inventario aggiornato del sistema e delle risorse ICT no si no no si no no è funzionale anche alle attività di analisi del rischio informatico (cfr. Sezione III); 692.a 03 B.07 Maintain a risk profile 04 B.01 Close and document the changes APO01 06 B.03 Define information (data) and system ownership APO12 03 B.01 Maintain a risk profile APO13 692.c BAI03 02 B.02 Define and manage an information security risk treatment plan 04 B.05 Procure solution components 692.d BAI09 01 B.01 Identify and record current assets 692.b SdS Roma, 5 Maggio 2014 25

Chi fa cosa.... SdS Milano, 20 giugno 2014 26

SdS Roma, 5 Maggio 2014 27

COBIT5 Implementation Mappatura delle Accountability Nella Circolare viene data rilevanza al concetto di Accountability che viene definita come : accountability : l assegnazione della responsabilità di un attività o processo aziendale, con il conseguente compito di rispondere delle operazioni svolte e dei risultati conseguiti, a una determinata figura aziendale; in ambito tecnico, si intende la garanzia di poter attribuire ciascuna operazione a soggetti (utenti o applicazioni) univocamente identificabili; SdS Milano, 20 giugno 2014 28

Considerazioni Finali 15 aggiornamento Circ. n. 263 Bankit, set di requisiti normativi: Numerosi Ad alto impatto sulle strutture IT in Banca Complesso Temi dominanti: analizzare e gestire il rischio IT, gestire gli aspetti di sicurezza IT in proporzione al rischio, garantire la continuità del business - il tutto sia all'interno, sia laddove si esternalizzino parte dei servizi Vantaggi del framework Autorevole Completo Strutturato (ordine dei concetti) Visione d Insieme Ottimizzazione della pianificazione e della realizzazione degli interventi di adeguamento alla normativa (priorità, economie, interventi collegati, ecc. ecc.) SdS Milano, 20 giugno 2014 29

GdR in partenza (con il medesimo approccio) SdS Milano, 20 giugno 2014 30

Ultime novità COBIT5 e pubblicazioni pianificate Security Considerations for Cloud Computing toolkit COBIT5 Information Enabler Relating the COSO Internal Control Integrated Framework and COBIT Vendor Management Using COBIT 5 (rev. 3/2014) EDM Audit/Assurance Programs 1-5 Generating Value From Big Data Analytics Security as a Service Prossimamente APO Audit/Assurance Programs (giugno) Gli altri entro l anno NIST Cybersecurity Fmwk e COBIT5 (giugno) EU Cybersecurity (da giugno) Risk Scenarios using COBIT5 SOX e COBIT5 (settembre) PCI-DSS e COBIT5 (set-ott) BASEL III e COBIT5 (Rischi Operativi) (dic) SdS Milano, 20 giugno 2014 31

Domande? Grazie per l attenzione SdS Milano, 20 giugno 2014 32

SdS Milano, 20 giugno 2014 33

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back