La information security integrata nel management system aziendale. Eugenio Marogna 6 dicembre 2002
Management System & Sicurezza visione integrata Strumento di management per la condivisione degli obiettivi a tutti i livelli dalla vision alla sua applicazione puntuale all interno dell azienda, attribuendo le responsabilità e controllando l andamento dei risultati, in modo analitico
Strategia della azienda Obiettivi strategici alle Direzioni Obiettivi alle aree e uffici Piani di qualità & budget di area e direzione Piani di qualità di servizioprogetto Revisioni periodiche dei piani Risultati Soddisfazione del cliente Stockholders Stakeholders
- Disegno requisiti Ideazione del servizio Studio di progetto/ fattibilità Validazione studio/ progetto Approvazione e assegnazione priorità Pianificazione progetto funzionali - Disegno architettura - Codifica del software - test interno - Organizzazione erogazione servizio e acceptance test Test esterno Vendita Avviamento Clienti Erogazione del servizio Help Desk (1 livello) Assistenza Clienti (2 livello) Piano di marketing Piano di qualità di progetto & budget Riesame Piano di qualità di progetto Procedure per il test e il collaudo Controllo di erogabilità Piano della qualità Procedura per il reporting di erogazione Procedura per la redazione dei contratti Procedura di vendita Contabilità analitica Ciclo passivo Ciclo attivo Budget Piano dell unità organizzativa Consuntivi / reporting / revisioni di budget Piano della formazione e dello sviluppo delle risorse Gestione delle risorse Procedura di avviamento
Vendita Avviamento Clienti Erogazione del servizio Help Desk (1 livello) Studio di progetto/ fattibilità Approvazione e assegnazione priorità - Disegno requisiti funzionali - Disegno architettura - Codifica del software - test interno - Organizzazione erogazione servizio e acceptance test Assistenza Clienti (2 livello) Validazione studio/ progetto Ideazione del servizio Pianificazione progetto Test esterno
We are what we network (George Cybenko) We cannot solve the problems that we have created with the same thinking that created them (Albert Einstein)
Un parallelo BS 7799 ISO 9000 Vision 2000 Principi Generali di Sicurezza 675/96 Manuale della Qualità Politiche di Sicurezza per il Sistema Informativo 675/96 Linea Guida per l erogazione dei servizi Linee guida: analisi dei rischi -----------> censimento macrodati piani per la sicurezza ------> gestione degli incidenti business continuity.. 675/96 675/96 Linee guida: riesame del contratto gestione delle anomalie gestione dei rilasci sistema di reporting....
Processo di implementazione Definizione degli Obiettivi Pianificazione Analisi della normativa Definizione dei requisiti Analisi dei rischi Rilevazione Interviste Mappatura di processo Rilevazioni procedurali Analisi della documentazione Analisi degli Scostamenti Analisi degli scostamenti Analisi del rischio residuo Pianificazione dell adeguamento Adeguamento Recepimento della normativa Reingegnerizzazione dei processi Configurazione delle risorse Formazione
Analisi della normativa 4.3.1 - Protezione delle risorse 4.3.1.1 - Inventario degli asset Deve essere redatto e mantenuto aggiornato un inventario di tutte le risorse rilevanti nell'ambito della società. Esiste ed è aggiornato l'inventario di tutte le informazioni e le risorse importanti per SIA? 4.3 Controllo e classificazione delle risorse 4.3.2.1 Linea guida per catalogazione La classificazione di sicurezza ed i controlli associati devono essere adeguati all'importanza che l'informazione riveste nell'ambito aziendale. La classificazione di sicurezza ed i controlli associati sono consistenti con le necessità di business, in particolare verso la riservatezza, la disponibilità e l integrità dei dati? 4.3.2 - Classificazione delle informazioni 4.3.2.2 - Catalogazione e gestione Devono essere definite un insieme di procedure per catalogare e gestire le informazioni in conformità con il metodo di classificazione adottato. Le procedure per catalogare e la gestire le informazioni sono conformi con il metodo di classificazione adottato?
Analisi dei rischi del Servizio/Progetto
Elaboratori e macrodati Analisi delle criticità 1
Macrodati Valutazione della criticità
Azioni preventive e correttive Requisiti di sicurezza
Aggiornamento dei piani aziendali
Rilevazione e analisi degli scostamenti (Statement of Applicability) Domanda Classe Esiste? Evidenza documentale Interventi pianificati Motivi della non applicazione Criticità residua DIR1 DIR2 DIR3 Sono attentamente verificatore le domande di assunzione per posizioni che comportano accesso alle risorse IT? (es. controllo delle referenze, check del CV, identificazione, controllo finanziario)? X X
Adeguamento Riesame del Piano di Qualità di Progetto Riesame del Piano di Qualità di Erogazione Riesame del Business Plan
Policy Strategia della azienda Obiettivi strategici alle Direzioni Obiettivi alle aree e uffici Piani di qualità & budget di area e direzione Piani di qualità di servizioprogetto Statement of Applicability (Business Alignment) Revisioni periodiche dei piani Risultati Soddisfazione del cliente Stockholders Stakeholders
- Disegno requisiti Ideazione del servizio Studio di progetto/ fattibilità Validazione studio/ progetto Approvazione e assegnazione priorità Pianificazione progetto funzionali - Disegno architettura - Codifica del software - test interno - Organizzazione erogazione servizio e acceptance test Test esterno Vendita Avviamento Clienti Erogazione del servizio Help Desk (1 livello) Assistenza Clienti (2 livello) Business Plan Piano di qualità & budget Risk Assessment Riesame Piano di qualità di progetto Procedure per Inventory of assets il test e il collaudo Risk Management Controllo di erogabilità Piano della qualità di erogazione Procedura per il reporting Inventory of assets Procedura per la redazione dei contratti Risk Management Procedura di vendita Contabilità analitica Ciclo passivo Ciclo attivo Budget Piano dell unità organizzativa Consuntivi / reporting / revisioni di budget Piano della formazione e dello sviluppo delle risorse Gestione delle risorse Procedura di avviamento
Corporate Governance Enhancing the return on capital through increased accountability (Corporate Governance: www.corpgov.net ) un modello organizzativo chiaro e ben definito, con adeguate ripartizioni di responsabilità e poteri e con un corretto equilibrio tra gestione e controllo (Borsa Italiana: Codice di Autodisciplina. Stefano Preda)
PIANO DI APPLICAZIONE DEL SISTEMA QUALITA E DI SICUREZZA (giugno 2000)
Obiettivi della Qualità Consolidare il Sistema Qualità, completando la sua evoluzione a Sistema di Gestione (da Quality System a Management System) Evoluzione della metodologia e dei relativi strumenti di supporto verso il nuovo standard internazionale Vision 2000 Estensione della metodologia a tutti i processi della filiera produttiva, dall idea alla progettazione alla erogazione
Obiettivi della Sicurezza Consolidare la conformità dei servizi SIA alle leggi nazionali e ai regolamenti di settore Legge 675/96 Sviluppo e applicazione del Piano della Sicurezza Formazione del personale Evoluzione della metodologia e del Piano della sicurezza verso i nuovi standard internazionali British Standard 7799
Obiettivi principali del progetto Convergenza degli aspetti relativi alla legge 675/96 (Privacy) e alla sicurezza nel Sistema Qualità Estensione del piano della sicurezza a tutto il ciclo di vita dei servizi (sviluppo e erogazione), secondo lo standard BS7799 Estensione del piano della sicurezza a tutta l azienda, attraverso la pianificazione di qualità Estensione del Sistema Qualità alle procedure di budget, di marketing, di controllo di gestione Realizzazione del piano di sicurezza e relativi adeguamenti dei servizi alle misure minime previste dalla legge 675/96 Formazione del personale SIA sulla sicurezza (rischi e modalità di protezione)
Piano delle attività (1) Conferma del certificato ISO 9001 Tick-IT (maggio 2001) Sviluppo dei metodi e degli strumenti documentali per il budget (maggio 2001) Sviluppo dei metodi e degli strumenti documentali per il business plan (giugno 2001) Integrazione del sistema qualità e sicurezza nel sistema di KPI e relativo progetto di metriche aziendali (luglio 2001) Integrazione della metodologia di analisi dei rischi (business, IT, privacy) nei piani della qualità di progetto e di erogazione (giugno 2001)
Piano delle attività (2) Selezione di (4-6) progetti / servizi chiave per ogni Divisione di business e Direzione di tecnologia e applicazione dei metodi della qualità e sicurezza così integrati (giugno 2001) Programma di formazione specifica su qualità e sicurezza Programma di verifiche interne di controllo avanzamento e supporto sui progetti e servizi individuati: circa una sessione di verifiche al mese Verifica preliminare di DNV sul sistema di Sicurezza, secondo la norma BS7799 (luglio2001) Prima verifica di certificazione Vision 2000 e BS7799 (inizio ottobre 2001) Verifica definitiva di certificazione Vision 2000 e BS7799(fine novembre 2001)
Risultati 2002
Certificazione BS7799 per TUTTE le attività dell azienda dicembre 2001 Certificazione ISO9001:2000 per TUTTE le attività aziendali luglio 2002
Sforzo Revisione delle procedure del Management System (~30) Revisione dei principali templates (~10) Stesura di nuovi documenti ad-hoc (~ 5) Formazione (anni/persona) Risk assessment e S.O.A. per tutti i servizi e i progetti (anni/persona) Verifiche ispettive di avanzamento (inclusi follow up) (anni/persona)