Presentazione dell iniziativa ROSI

Documenti analoghi
Presentazione dell iniziativa ROSI

1- Corso di IT Strategy

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

ESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

L IT Governance e la gestione del rischio

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Il Regolamento REACh e la Check Compliance: proposta di Linee Guida

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

SCELTA DELL APPROCCIO. A corredo delle linee guida per l autovalutazione e il miglioramento

Politica di Acquisto di FASTWEB

QUESTIONARIO 3: MATURITA ORGANIZZATIVA

MARKETING DELLA FUNZIONE INTERNAL AUDIT

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

PROFILO AZIENDALE NET STUDIO 2015

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Il catalogo MARKET. Mk6 Il sell out e il trade marketing: tecniche, logiche e strumenti

Piani integrati per lo sviluppo locale. Progetti di marketing territoriale. Progettazione e start-up di Sistemi Turistici Locali

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

LA FORMULA. TERZA PARTE: DOVE TROVARLI Indirizzi e recapiti per viaggiare sicuri. I QUADERNI SI ARTICOLANO IN TRE PARTI:

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

MANUALE DELLA QUALITÀ Pag. 1 di 6

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO ed ISO P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Appendice 2 Piano di business preliminare

Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

La gestione dei rapporti con i fornitori è un tema cruciale per le grandi Aziende nello scenario attuale del mercato e delle sue logiche di sviluppo.

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

5.1.1 Politica per la sicurezza delle informazioni

Il Risk Management Integrato in eni

La valutazione dell efficienza aziendale ECONOMIA E GESTIONE DELLE IMPRESE

Project Cycle Management La programmazione della fase di progettazione esecutiva. La condivisione dell idea progettuale.

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

IL SISTEMA DI CONTROLLO INTERNO

Verso l autonomia I nostri servizi per le organizzazioni non profit

LEAD GENERATION PROGRAM

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

AMMINISTRARE I PROCESSI

Processi di Gestione dei Sistemi ICT

Cos è la UNI EN ISO 9001?

SDA Bocconi School of Management per Unindustria Reggio Emilia. Percorso formativo per Responsabili Sistemi Informativi"

La sede operativa è a Modena ed il bacino d utenza ricomprende, oltre all Emilia-Romagna, le regioni limitrofe (Veneto, Lombardia, Marche).

Modello dei controlli di secondo e terzo livello

Sicurezza, Rischio e Business Continuity Quali sinergie?

CHI SIAMO. Viale Assunta Cernusco s/n Milano

QUADRO AC DI COMPETENZE Versione riveduta Giugno 2012

Il sistema di gestione per preparare le Imprese alle Ispezioni per il REACH. Alessandro Pozzi Certiquality

Associazione Italiana Information Systems Auditors

La CSR in Italia. Alcune tendenze in atto

CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

UNI ISO Guida alla gestione dei progetti (project management)

SEGRETERIA TECNICA DI GRUPPO E RELAZIONI ESTERNE

Export Development Export Development

MODELLO AZIENDALE E VALORI

Una modalità operativa per la Quality Assurance

PROFILO AZIENDALE 2011

La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager

Evidenziare le modalità con le quali l azienda agrituristica produce valore per i clienti attraverso la gestione dei propri processi.

ITIL cos'è e di cosa tratta

La certificazione CISM

Progetto AURELIA: la via verso il miglioramento dei processi IT

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

CSR, Globalizzazione e Modelli di Capitalismo Sostenibile

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

FINANCIAL & ACCOUNTING BPO, GESTIONE DOCUMENTALE E CONSULTING SERVICES

IL SISTEMA DI GESTIONE AMBIENTALE PER UN COMUNE

Presentazione di Arthur D. Little Integrazione di sistemi di gestione

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

L offerta per il mondo Automotive. gennaio 2008

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS ISO/IEC 17799

Iniziativa : "Sessione di Studio" a Roma

LA VALUTAZIONE DELL ATTIVITA del CONSIGLIO DI AMMINISTRAZIONE

Università di Macerata Facoltà di Economia

MERCATO BUSINESS E PUBBLICA AMMINISTRAZIONE

Proteggere il proprio business. ISO 22301: continuità operativa.

IDENTITÀ GIOVANE. Nata nel 2006 con l intento di diventare leader nel settore IT, Easytech cresce con una solida competenza in tre divisioni:

La Guida ANFIA sul BCM Una presentazione in 7 punti. M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

Valorizzare il potenziale delle risorse

Credex LA PIATTAFORMA PER LA GESTIONE DELLA CATENA ESTESA DEL VALORE DEL RECUPERO CREDITI. ABI Consumer Credit Roma, 27 marzo 2003

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

Politica per la Sicurezza

IL MANAGER COACH: MODA O REQUISITO DI EFFICACIA. Nelle organizzazioni la gestione e lo sviluppo dei collaboratori hanno una importanza fondamentale.

CHI SIAMO. BeOn è una società di consulenza italiana ad alta specializzazione in ambito di valutazione, sviluppo e formazione delle risorse umane.

L ARMONIZZAZIONE DEI PROCESSI CON IL CLIENTE AL CENTRO

Gestire con successo partner commerciali e clienti in ambito internazionale Ennio Favarato Artax Consulting Group

Segui, commenta, partecipa #workshopdirezionale

Organizzazione e pianificazione delle attività di marketing

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

Transcript:

Presentazione dell iniziativa ROSI Return on Security Investment Sessione di Studio AIEA, Lugano 19 gennaio 2011 Alessandro Vallega Oracle Italia http://rosi.clusit.it 1

Agenda Il gruppo di lavoro Il metodo Framework Evoluzioni future Versione 2 @ Security Summit (marzo 2011) Workshop http://rosi.clusit.it 2

Documento ROSI Documento di 60 pagine (v1) Avente lo scopo di facilitare e orientare il decision maker di investimenti di sicurezza Licenza Attribuzione- Condividi nello stesso modo http://rosi.clusit.it 3

http://rosi.clusit.it http://rosi.clusit.it 4

Sponsor dell iniziativa Ogni azienda / associazione ha investito il proprio tempo La forza collaborativa del messaggio http://rosi.clusit.it 5

Oracle Community for Security Information Security Formazione Informazione Condivisione Comunicazione Temi recenti PCI-DSS Fascicolo Sanitario Elettronico Role Management Amministratori di sistema http://rosi.clusit.it 6

Motivazioni del gruppo di lavoro Mettersi al servizio Aiutare a fare un passo avanti Serve sicurezza Serve la capacità di scegliere gli investimenti giusti per la propria azienda Serve la capacità di sostenere le proprie scelte Rispondere ai problemi osservati nel mercato http://rosi.clusit.it 7

Problemi osservati Evoluzione tecnologica Nuove opportunità di business Nuove minacce / nuovi rischi Distanza tra quello che serve e quello che viene fatto in azienda Difficoltà ad investire Scegliere dove focalizzarsi Spiegare che la sicurezza non è un costo Ottenere le risorse Aumento delle frodi e dei furti http://rosi.clusit.it 8

Comunicazione Security Summit (Milano marzo) CIO Dinner (Roma aprile) Sessione in AUSED (Milano maggio) Assemblea Clusit (Milano maggio) Security Summit (Roma giugno) Assemblea AIEA (Milano luglio) GRC Forum (Milano, Settembre) Oracle Lunch (Milano, Roma, ottobre) Sessione studio AIEA (Verona, novembre) Sessione studio AIEA (Roma, dicembre) Sessione studio AIEA (Lugano, gennaio) Security Summit (Milano, marzo) http://rosi.clusit.it 9

Tools Collaborazione web ma anche riunioni fisiche (13 da settembre 2009) tanti compiti a casa e un prezioso human configuration management tool 20/5/2010 http://rosi.clusit.it 10

Metodo http://rosi.clusit.it 11

Definizione di sicurezza adottata Il termine sicurezza dell informazione significa proteggere l informazione e i sistemi informativi da accesso, uso, diffusione, interruzione, modifica e distruzione non autorizzati, al fine di fornire: Riservatezza Integrità Disponibilità (title 44 of the US Code) e perseguendo l obiettivo ulteriore di Conformità a leggi e regolamenti! http://rosi.clusit.it 12

Motivazioni all investimento Gli investimenti in sicurezza vengono effettuati per (business driver): Contenere il Rischio operativo Garantire la Compliance Proteggere l Immagine aziendale Aumentare l Efficienza dei processi di sicurezza http://rosi.clusit.it 13

ROI ROSI L approccio matematico del ROI fa fatica a rappresentare tali motivazioni http://rosi.clusit.it 14

Approccio ROSI Propone di considerare anche il Rischio la Compliance l Immagine aziendale Pone al centro la ricerca dell interesse dei differenti stakeholder che sono sensibili in modo diverso A Riservatezza, Integrità, Disponibilità E ai Business Driver Abbandonare il FUD come criterio di scelta http://rosi.clusit.it 15

Aumentare l'efficienza dei Processi vista come aumento della qualità e della velocità Aumentare l'efficienza dei Processi vista come diminuzione dei costi Garantire la Compliance Proteggere Immagine Aziendale Contenere Rischio Operativo Molteplici interlocutori per il CSO CEO / Amministratore delegato Internal Auditing Direzione Finanza e Amministrazione Direzione Vendite Direzione Manufacturing Direzione Marketing Direzione Risorse Umane Direzione Acquisti Direzione IT Direzione Organizzazione Direzione R&D CSR (Corporate Social Responsibility) Business Continuity Manager Compliance Manager Risk Manager Business Driver Esemplificazione benefici Riduzione della probabilità di accadimento di eventi CEO / Amministr atore delegato Internal Auditing Direzione Finanza e Amministr azione Direzione vendite Direzione Manufactu ring dannosi che impattano sulla riservatezza x x x x x x x Riduzione della probabilità di accadimento di eventi dannosi che impattano sulla integrità x x x x x x x x x Riduzione della probabilità di accadimento di eventi Direzione Marketing Direzione Risorse Umane Direzione Acquisti Direzione IT Direzione Organizza zione Direzione R&D CSR (Corporate Social Responsibi lity) dannosi che impattano sulla disponibilità x x x Riduzione dei premi assicurativi Business Continuity Manager Complianc e Manager x x x Riduzione degli accantonamenti per far fronte ad eventuali eventi dannosi x x Erogazione di servizi core business tramite canali innovativi quali mobile, internet x x Apertura del business verso fornitori e partner commerciali tramite canali innovativi quali mobile, internet Poter aumentare l'apertura dei servizi interni su canali innovativi come mobile, internet x x Riduzione della probabilità di accadimento di eventi x x x dannosi che impattano sull'immagine aziendale x x x x Incremento della fiducia della clientela Incremento del valore del "brand" aziendale Riduzione del rischio di non conformità x x x x x x Riduzione del costo di gestione per della conformità a leggi e normative x x x x x Riduzione del costo di verifica della conformità a leggi e normative x x x x x x Incremento della qualità e della velocità dei processi per la gestione e verifica della conformità a leggi e normative Riduzione dei costi di gestione dei processi aziendali x x x x x x x x x x x x x preposti al raggiungimento e mantenimento di un livello concordato di sicurezza x x x x x x Riduzione dei costi di gestione dei processi di controllo interno / esterno x x x x x x Riduzione dei costi di gestione dei processi di business aziendali x x x x x Incremento della qualità e della velocità dei processi aziendali preposti al raggiungimento e mantenimento di un livello concordato di sicurezza x x x x Incremento della qualità e della velocità dei processi aziendali di controllo interno / esterno x x x x Incremento della qualità e della velocità dei processi di business aziendali x x x x x x x x Ognuno sensibile a diversi business drivers x Risk Manager x http://rosi.clusit.it

ROSI Approccio strutturato per Scegliere dove investire Scegliere come investire Spiegare le ragioni delle proprie scelte Flessibile Top-Down Verify (bottom-up) Potente Frutto delle competenze del gruppo di lavoro Forte riuso delle best practice internazionali http://rosi.clusit.it 17

Struttura del documento Management Summary Appendici (sito web) Metodo Pattern Case Study (v.2) Redazione ROSI http://rosi.clusit.it 18

ROSI e le best practices http://rosi.clusit.it 19

Approccio PDCA ISO/IEC 27001:2005 Framework processi sicurezza ABI- LAB CMM (IT Gov. Institute) ISO/IEC 27005:2008 Business Impact Analysis / Risk Management RIDC ISO/IEC 27002 ITIL ISF (Information Security Forum) KCI / KRI GISS 2010 (Security Survey) Common Sense ValIT CobiT 4.1 Pattern Stakeholder Identification Case study http://rosi.clusit.it 20

Struttura dei pattern Nome e Area di intervento (ISO 27000) Chiavi di classificazione Criteri di sicurezza (RIDC) Risorse impattate (Infrastruttura, Risorse, Applicazioni, Informazioni) Driver di Business (Rischi, Compliance, Immagine, Efficienza) Contesto di riferimento Descrizione Driver / Motivazioni Punti di attenzione Elementi di valutazione Benefici / Vantaggi http://rosi.clusit.it 21

Es. Identity & Access Management http://rosi.clusit.it 22

Pattern Disponibili Amministratori di sistema Identity and Access Management Single Sign On Intrusion Detection System Application Security Sicurezza Fisica In preparazione Information Rights Management Data Loss Prevention SCADA e DCS Security Assessment PCI-DSS Role Management Database Access Monitoring http://rosi.clusit.it 23

Framework http://rosi.clusit.it 24

Framework Il metodo mette in luce le cose da fare e gli approcci da considerare Il framework rende disponibili degli strumenti per svolgere le cose Il gruppo di lavoro si rende disponibile per aiutare le aziende nell utilizzo del ROSI usando il framework http://rosi.clusit.it 25

Criterio ispiratore Semplificare, senza banalizzare, il processo decisionale relativo agli investimenti in sicurezza Procedere per passi, mettere a fuoco un argomento alla volta Questo è a maggior ragione valido la prima volta e nel caso relativo alla redazione del case study Limitare gli strumenti all approccio scelto http://rosi.clusit.it 26

Approccio Top Down: Ambiti Ambiti dell approccio Top Down Security Governance Come l azienda gestisce la sicurezza da un punto di vista organizzativo Processi IT Come l IT incorpora e tratta la sicurezza nei suoi processi Security Risk Management Come l azienda valuta il rischio di sicurezza (riservatezza, integrità, disponibilità, compliance) http://rosi.clusit.it 27

Approccio Verify: Esigenze Basato sui pattern esistenti Possibilità di creazione di nuovi pattern a cura del gruppo di lavoro http://rosi.clusit.it 28

Comuni Specifici Gli approcci e gli strumenti Approccio Top Down Approccio Verify Ambito Security Governance Ambito Processi IT Ambito Security Risk Management Esigenza d interesse SG1 (Framework Processi Sicurezza) IT1 (Processi IT security related) SRM1 (RiskIT, ISO27005) Pattern SG2 (CMM in ambito Sec Gov, con ISO27002) IT2 (CMM in ambito Processi IT, con ISO27002) SRM2 (CMM in ambito SRM, modello basato su RiskIT e CMM) Template Case study e schema d intervista Linee guida CMM Template ROSI Linee guida calcolo KRI / KCI Linee guida identificazione stakeholder http://rosi.clusit.it 29

I passi del framework 1. Definizione Approccio 2. Pianificazione 3. Analisi Esigenze 4. Valutazione ROSI 5. Case Study Illustrare metodo ROSI Illustrare framework Identificare approccio Identificare interlocutori Illustrare modello / standard Fornire e spiegare strumenti Pianificare i tempi Utilizzare strumenti per: Identificare scenari di intervento Identificare stakeholder Condividere scenari Illustrare strumenti e doc. ROSI Utilizzare strumenti Redigere ROSI e annessi Condividere risultati Intervistare cliente Analizzare risultati Redigere case study Ambito definito Accordo ottenuto Elenco attività Piano Scenari d intervento consolidati Documento ROSI e materiale a supporto Case study nel web ROSI http://rosi.clusit.it 30

Supporto gratuito previsto dal GdL 1. Definizione Approccio 2. Pianificazione 3. Analisi Esigenze 4. Valutazione ROSI 5. Case Study GdL (4 ore) Illustrare metodo ROSI Illustrare framework Cliente Identificare approccio Identificare interlocutori GdL (4 ore) Illustrare modello / standard Fornire e spiegare strumenti per fase 3 Cliente Pianificare i tempi Funzione dell approccio GdL (4 ore) Illustrare strumenti e doc. ROSI Cliente Utilizzare strumenti Redigere ROSI e annessi GdL (4 ore) Condividere risultati GdL (4 ore) Intervistare cliente Analizzare risultati Redigere case study Ambito definito Accordo ottenuto Elenco attività Piano Scenari d intervento o pattern consolidato Documento ROSI e materiale a supporto Case study nel web ROSI Approccio Top Down Approccio Verify Cliente Utilizzare strumenti per: Identificare scenari di intervento Identificare stakeholder GdL (8 ore) Condividere scenari Cliente Utilizzare strumenti per: Redigere Pattern Identificare stakeholder GdL (8 ore) Condividere Pattern http://rosi.clusit.it 31

Strumenti http://rosi.clusit.it 32

Strumenti http://rosi.clusit.it 33

Strumenti http://rosi.clusit.it 34

Strumenti http://rosi.clusit.it 35

Conclusioni http://rosi.clusit.it 36

Evoluzioni in corso Stesura versione 2 in corso Ristrutturazione documento e appendici Migliore integrazione tra gli approcci top-down a verify Integrazione sulle metriche, indicatori, KCI, KRI... Nuovi pattern Presentazione a marzo durante Security Summit Workshop ROSI (estate 2011) http://rosi.clusit.it 37

Come contribuire Nel minisito si trovano le istruzioni Sono graditi contributi rispetto: Stesura di Pattern Sperimentazione uso del ROSI presso la propria azienda (per sezione Case Studies) Idee, correzioni, suggerimenti http://rosi.clusit.it 38

Evoluzioni recenti ISACA ha pubblicato una guideline sul ROSI: G41 RETURN ON SECURITY INVESTMENT (ROSI) Si conferma l importanza del tema. Da leggere! http://rosi.clusit.it 39

http://rosi.clusit.it 40

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back