COBIT e ISO/IEC 27000

Похожие документы
La Governance come strumento di valorizzazione dell'it verso il business

La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL

Severino Meregalli Head MIS Unit SDA Bocconi. SDA Bocconi - Severino Meregalli 1

ITIL e PMBOK Service management and project management a confronto

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

Per una migliore qualità della vita

L Auditing dei Sistemi Informativi dei piani di Business Continuity

I passi per la certificazione del Sistema di Gestione dell Energia in conformità alla norma ISO Giovanni Gastaldo Milano, 4 ottobre 2011

Certificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005. Certification Europe Italia

HSE Manager. L Integrazione delle analisi di rischio tipiche del ruolo con i processi di risk management aziendali

Alessandra Peverini Milano 19 ottobre 2015 LA NUOVA NORMA ISO 9001:2015 E I RISCHI GESTIONALI

ISO 9001:2015 LA STRUTTURA DELLA NORMA

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

Il BIM per la gestione della commessa. Ing. Antonio Ianniello

Tanta fatica solo per un bollino ne vale davvero la pena?

Qualification Program in IT Service Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

La sicurezza secondo ITIL. Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia

Processi di Gestione dei Sistemi ICT

In altri termini cos è

TECNOLOGIE DELL INFORMAZIONE E DELLA COMUNICAZIONE PER LE AZIENDE

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Corso Base ITIL V3 2008

IS Governance. Francesco Clabot Consulenza di processo.

Qualification Program in Information Security Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

"Organizzazione del lavoro, Responsabilità amministrativa degli enti ed efficacia esimente ai sensi dell'art. 30 dlgs 81/08: l'importanza

L'evoluzione nella gestione dei Processi l IIM (Integrated IT Management)

Third Party Assurance Reporting

Proposta per l organizzazione della Sicurezza Informatica dell ISTI

I contenuti e i vantaggi della certificazione ISO in relazione agli obblighi del Dlgs 102/2014

FORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t

COBIT. COBIT è un modello di riferimento che comprende una raccolta di best practice

ACCREDITAMENTO LABORATORI DI ANALISI UNI CEI EN ISO/IEC 17025:2005. Dr.ssa Eletta Cavedoni Cosmolab srl Tortona

Corso di Amministrazione di Sistema Parte I ITIL 1

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Overview su ITIL & ISO ing. Andrea Praitano ing. Claudio Restaino

L importanza di ITIL V3

Ingegneria del Software

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Concetti generali e introduzione alla norma UNI EN ISO 9001/2008

Gestione Operativa e Supporto

SGSI CERT CSP POSTE ITALIANE

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

INDICE CAPITOLO 1: NORMAZIONE, CERTIFICAZIONE E ACCREDITAMENTO... 15

IT Service Management

L IT Risk Management e le strategie di business

ISO 50001: uno strumento di efficienza e sostenibilità

Catalogo Corsi. Aggiornato il 16/09/2013

Il sistema di reporting per gli organi di vertice delle compagnie assicurative: gli effetti di Solvency 2 e Regolamento 20 sulla governance

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER

Osservatorio sulla Green Economy

ISO 9001:2015. L innovazione nei Sistemi di Gestione per la Qualità. Roma 23/10/15 Bollate 06/11/15

Approccio alla gestione del rischio

AMMINISTRAZIONE, FINANZA E CONTROLLO

IT Service Management, le best practice per la gestione dei servizi

INTRODUZIONE E COORDINAMENTO

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC )

Percorso professionalizzante Internal audit in banca

IL SISTEMA DI GESTIONE DELLA QUALITA SECONDO LA NORMA ISO 9001:2000

C2 INTERNAL USE FASTWEB. L Organizzazione per la Sicurezza delle Informazioni. Luca Rizzo. Milano, martedì 16 marzo 2010 PG. 1

Coordinamento tra funzioni di controllo

POLITICA AZIENDALE DESTRI S.R.L.

L ORGANIZZAZIONE PER PROCESSI COME SUPPORTO PER LA GESTIONE DELLA PUBBLICA AMMINISTRAZIONE. Relatore: GABRIELE DE SIMONE

La gestione del Sistema Integrato con Qualibus Qualità ISO 9001:2015 Ambiente ISO 14001:2015 Sicurezza ISO 45001:2016

AXXEA INNOVATION, TECHNOLOGY & BUSINESS

Company Profile IMOLA INFORMATICA

HP e il Progetto SPC. Daniele Sacerdoti Consulting&Integration Public Sector. 12 Maggio Technology for better business outcomes

ICT Governance nel settore assicurativo: verso l allineamento strategico con il business

L esperienza di Snam Rete Gas

Modello Organizzativo D.Lgs 231/01. di Poste Italiane

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

CAPITOLO 10 Governo dei sistemi informativi nelle imprese

N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.

SISTEMI DI GESTIONE AMBIENTALE ORIENTATI AL PRODOTTO (POEMS): UN MODELLO PER LE IMPRESE DEL SETTORE AGRO-ALIMENTARE

CORSO DI ECONOMIA E GESTIONE DELLE IMPRESE E MARKETING A. A

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Introduzione ad ITIL. Information Technolgy Infrastructure Library. Che cos è ITIL. Una situazione critica. La sfida GOVERNO ICT GOVERNO ICT

Sistemi di gestione integrati Come la ISO/IEC può essere di supporto alla ISO/IEC 27001

Evoluzione del modello organizzativo di Poste Italiane. 27 Luglio 2005

L impatto della ISO 9001:2015 sulla privacy

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

Sicuramente

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona

IL FORUM PER LA CONDIVISIONE DELLE COMPETENZE ITSM

IT Service Management: il Framework ITIL. Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy

ITIL TRAINING. Atlas Reply ha preso parte al progetto pilota dei primi esami di ITIL Foundation V3 in italiano. Reply

Транскрипт:

COBIT e ISO/IEC 27000 La governance della sicurezza IT con CobiT/ISO27000 M. Notari, A. Piamonte

CobiT in sintesi Obiettivi di Business e Governance ME1 ME2 ME3 ME4 Monitor and evaluate IT performance. Monitor and evaluate internal control. Ensure compliance with external requirements. Provide IT governance. DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. C O B I T F R A M E W O R K MONITOR AND EVALUATE Efficiency Effectiveness Compliance DELIVER AND SUPPORT INFORMATION Reliability IT RESOURCES Applications Information Infrastructure People Integrity Availability Confidentiality ACQUIRE AND IMPLEMENT PLAN AND ORGANISE PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identify automated solutions. Acquire and maintain application software. Acquire and maintain technology infrastructure. Enable operation and use. Procure IT resources. Manage changes. Install and accredit solutions and changes. 2

ME1 ME2 ME3 ME4 CobiT in sintesi - Linee di evoluzione Più integrazione con gli obiettivi di business C O B I T Nell individuazione delle aree di miglioramento F R A M E W O R K Monitor and evaluate IT performance. Monitor and evaluate internal control. Ensure compliance with external requirements. Provide IT governance. Efficiency Effectiveness Availability Compliance Confidentiality Nella pianificazione dei progetti Nella verifica MONITOR dei risultati DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. AND EVALUATE Reliability Nel controllo dei rischi DELIVER AND SUPPORT Integrity INFORMATION IT RESOURCES Applications Information Infrastructure People ACQUIRE AND IMPLEMENT PLAN AND ORGANISE PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 AI1 AI2 AI3 AI4 AI5 AI6 AI7 Define a strategic IT plan. Define the information architecture. Determine technological direction. Define the IT processes, organisation and relationships. Manage the IT investment. Communicate management aims and direction. Manage IT human resources. Manage quality. Assess and manage IT risks. Manage projects. Identify automated solutions. Acquire and maintain application software. Acquire and maintain technology infrastructure. Enable operation and use. Procure IT resources. Manage changes. Install and accredit solutions and changes. 3

CobiT - Extended Balanced Scorecards Improve customer orientation and service Offer competitive products and services Service availability Cost optimization of service delivery Agility in responding to changing business requirements (time to market) Expand market share Return on investment Manage business risk Quali controlli ISO 27001 Increase mi revenue possono servire? Optimize asset utilization Customer orientation Operational excellence Lover process cost Improve and maintain business process functionality Compliance with external requirements Transparency Automate and integrate the enterprise value chain Improve and maintain operational and staff productivity Compliance with internal policies Vision and Strategy Financial contribution Future orientation Obtain reliable and useful information for strategic decision making Product business innovation Acquire and maintain skilled and motivated personnel 4

Valutazione degli obiettivi di business Fase1 5

Valutazione degli obiettivi di business Fase2 Assegnazione importanza ai Processi IT 6

Valutazione degli obiettivi di business Fase3 Gap Analisys e piano di miglioramento Agreed Target Process Maturity Levels for the Short Term and the Longer Term ME4 PO3 5 PO4 Short Term Longer Term 4 DS13 3 PO8 DS9 2 1 PO10 DS8 0 AI1 DS7 AI2 DS3 AI3 AI5 AI4 7

La sfida del valore The Governance of IT Investments Using Val IT 2.0 to Deliver on the Promise 8

La nuova prospettiva Investimenti IT Investimenti in cambiamenti nel business basati sull IT 9

quindi : Business Governance of IT Are we doing the right things? Are we getting the benefits? Enterprise Value Management IT Governance of IT Are we doing them the right way? Are we getting them done well? 10

Nella gestione dei rischi, l equilibrio è essenziale Rischio e valore sono due facce della stessa medaglia Il rischio è insito in tutte le imprese ma Bisogna garantire che le opportunità di creare valore non vengano impattate dalle azioni mirate a mitigare tutti i rischi (vulnerabilità) 11

IT-related Risk Management Risk IT non solo sicurezza ma anche : Ritardi nei progetti Non ottenimento dei miglioramenti previsti Compliance Disallineamento Architettura IT obsoleta o troppo rigida Problemi di erogazione dei servizi IT. I tre domini del RiskIT 107 Pagine 137 Pagine 12

ISO 27000 in sintesi Lo standard ISO 27000 descrive un modello per definire, attuare, gestire, monitorare, rivedere, manutenere e migliorare un Sistema di Gestione della Sicurezza dell Informazione (SGSI) Lo standard è descritto in due manuali: ISO/IEC 27001:2005 - Information security management systems - Requirements - Specifiche per la implementazione e gestione dell ISMS ISO/IEC 27002:2005 (già ISO/IEC 17799:2005) - Code of practice for information security management - Una guida implementativa che elenca, per ciascuno dei controlli definiti, un ampia serie di misure e best practice della sicurezza dell informazione Assumono valore normativo dal punto di vista dello standard unicamente i Cap. 4-8 di ISO/IEC 27001:2005 ed il relativo Allegato A che ne elenca Obiettivi di controllo e Controlli L Allegato A di ISO/IEC 27001:2005 è strutturato in: AREE (11, da A.5 a A.15) Obiettivi di controllo (39) Controlli (133) Si sono registrate evoluzioni per quanto riguarda Terminologia e Linee Guida, non i Requisiti (con valore normativo). Standard in preparazione. 13

ISO 27000 in sintesi Schema grafico ISO/IEC 27001:2005 Cap.1-3 Cap.4-8 ISMS - Specifiche, Responsabilità della Direzione, Audit Interni, Riesame, Miglioramento Annex A 11 Aree 39 Obiettivi di controllo e 133 Controlli ISO/IEC 27002:2005 Annex B Principi OECD Annex C Corrispondenza con ISO 9001 & 14001 Valore Normativo Valore Informativo Code of practice" Elenca: Controlli Best practices 14

Studio AIEA Metodologia di confronto ISO27000 - CobiT E stata definita la Relazione fra controlli ISO 27001 (Annex A) e CobiT, in generale esiste una relazione uno a molti fra i controlli, schematizzabile in una matrice La valutazione, è stata svolta a cura dei partecipanti del Gruppo di Ricerca - in due passi: Valutazione di Pertinenza: agli obiettivi CobiT associati ad uno specifico controllo ISO è stato attribuito un peso percentuale (la somma dei valori attribuiti deve valere 100). Tale scelta risponde all esigenza di normalizzare le stime evitando errori di sovra/sotto-stima Valutazione di Merito: per i controlli ISO associati ad uno specifico obiettivo CobiT è stata svolta una valutazione di merito, valutandone [in termini di Alto/Medio/Basso (0.8, 0.5, 0.2)] la corrispondenza all obiettivo CobiT La valutazione complessiva per la specifica coppia di controlli CobiT/ISO deriva dalle valutazioni (di pertinenza e di merito) svolte La valuazione definitiva assomma la valutazione complessiva per la specifica coppia di controlli ed il contributo dei Cap. IV-VIII di ISO27001 15

Da CobiT a Secure CobiT CobiT Information Processi CobiT E E R I D C A Efficienza Efficacia Riservatezza Integrità Disponibilità Conformità Affidabilità PO1 Definire un Piano Strategico per l IT PO2 Definire l architettura informatica S P PO3 Definire gli indirizzi tecnologici PO4 Definire i processi, l organizzazione e le relazioni dell IT PO5 Gestire gli investimenti IT PO6 Comunicare gli obiettivi e gli orientamenti della direzione S PO7 Gestire le risorse umane dell IT PO8 Gestire la Qualità S PO9 Valutare e Gestire i Rischi Informatici P P P S PO10 Gestire i Progetti AI1 Identificare soluzioni automatizzate AI2 Acquisire e mantenere il software applicativo S AI3 Acquisire e mantenere l infrastruttura tecnologica S S AI4 Permettere il funzionamento e l uso dei sistemi IT S S S AI5 Approvvigionamento delle risorse IT S AI6 Gestire le modifiche P P Secure CobiT AI7 Installare e certificare le soluzioni e le modifiche S S DS1 Definire e gestire i livelli di servizio S S S S DS2 Gestire i servizi di terze parti S S S S DS3 Gestire le prestazioni e la capacità produttiva S DS4 Assicurare la continuità di servizio P DS5 Garantire la sicurezza dei sistemi P P S S DS6 Identificare e attribuire i costi DS7 Formare e addestrare gli utenti DS8 Gestione del Service Desk e degli incidenti DS9 Gestione della configurazione S DS10 Gestione dei problemi S DS11 Gestione dei dati P DS12 Gestione dell ambiente fisico P P DS13 Gestione delle operazioni S S ME1 Monitorare e valutare le prestazioni dell IT S S S S ME2 Monitare e valutare i controlli interni S S S S ME3 Assicurare la conformità a leggi e a regolamenti P ME4 Istituzione dell IT Governance S S S S 16

Secure CobiT (scala logaritmica) 17

Secure CobiT (esclusi i Processi ininfluenti) 18

Studio AIEA Risultati - Dominio PO (Pianif. & Organizz.) 19

Studio AIEA Risultati Dominio PO - Osservazioni PO9 Valutare e gestire i rischi informatici ISO (Cap. IV-VIII): [4.2.3 d)] Rivedere ad intervalli regolari l Analisi dei rischi, [5.1 f)] Decidendo i criteri per l accettazione del rischio. [4.2.1 c)] Definire l approccio al Risk Assessment dell organizzazione. [4.2.1 d) e f)] Identificare i rischi e Analizzare e valutare i rischi. PO2 Definire l architettura informatica ISO (Cap. IV-VIII): [4.2.1 d)] Identificare i beni nell ambito dell ISMS, [4.2.1 d)4) e e)1)] Identificare gli impatti che le perdite di integrità possono avere sui beni e Valutare gli impatti di business [v. PO2.4 Gestione dell integrità] 20

Studio AIEA Risultati Dominio PO - Osservazioni PO6 Comunicare gli obiettivi e gli orientamenti della direzione ISO (Cap. IV-VIII): [4.2.3 ] Monitorare e riesaminare l ISMS, [4.2.4] Manutenere e migliorare l ISMS. [5.1] Impegno della direzione. PO7 Gestire risorse umane dell IT ISO (Cap. IV-VIII): [5.2.1] Messa a disposizione delle risorse, [5.2.2] Addestramento, consapevolezza e competenza 21

Studio AIEA Risultati Dominio AI (Acq. & Implem.) 22

Studio AIEA Risultati Dominio AI - Osservazioni AI1.1 Riferire sull analisi dei rischi ISO (Cap. IV-VII): 4.2.3 [p.to d)] Rivedere l Analisi dei rischi, 4.2.4 [p.to c)] Comunicare le azioni alle parti interessate AI6 Gestire le modifiche: AI6.1 std e procedure per le gest delle modifiche AI6.2 Valutazione dell impatto e autorizzazione AI6.3 Modifiche in stato di emergenza AI6.5 Chiusura delle modifiche e documentazione AI3 Acquisire e mantenere l infrastruttura tenologica e AI4 Permettere il funzionamento e l uso dei sistemi IT => poco rilevanti in termini di sicurezza 23

Studio AIEA Risultati Dominio DS (Erogazione e Supporto) 24

Studio AIEA Risultati Dominio DS - Osservazioni DS4 Assicurare la continuità del servizio Pur essendo richiesto, in sede di certificazione, il Business Continuity Plan, scarsi riferimenti reperiti nello standard DS7 Formare e addestrare gli utenti Ampi riferimenti in ISO (Cap. IV-VII): [4.2.2 e)] Realizzare programmi di addestramento e sviluppo della consapevolezza, [5.2.2] Addestramento, consapevolezza e competenza DS1 Definire e gestire i livelli di servizio e DS2 Gestire i servizi di terze parti, poco rilevanti in termini di sicurezza 25

Studio AIEA Risultati - Dominio ME (Monitoraggio e Valutazione) 26

Studio AIEA Risultati Dominio ME - Osservazioni ME1 Monitorare le prestazioni IT ISO (Cap. IV- VIII): [4.2.3] Monitoraggio e riesame dell ISMS [4.2.4] Gestione e miglioramento dell ISMS ME2 Monitorare e valutare i controlli interni ISO (Cap. IV-VIII): [4.2.2 d)] Definire e monitorare l efficacia dei controlli ME4 Istituzione dell IT Governance Riferimenti in ISO (Cap. IV-VIII): [5.1] Impegno della direzione [7] Riesame dell ISMS da parte della direzione 27

Confronto complessivo - Studio AIEA / CobiT Sicurezza (scala logaritmica) 28

Quali controlli ISO 27001 mi possono servire? Riprendendo la domanda nella slide 4, per acquisire IT Agility bisogna far bene: PO10 - Manage projects (no Secure CobiT ) AI1 - Identify automated solutions (no Secure CobiT ) DS3 - Capacity planning = A10.3.1!!! (Capacity management) quindi non solo conferma della validità del mapping ma anche l importanza di Processi non di sicurezza che influenzano l efficacia dei controlli di sicurezza adottati 29

Conclusioni CobiT ed ISO 27000 hanno una visione della sicurezza sostanzialmente condivisa CobiT tende ad individuare sistematicamente i gap, le cose da fare in contesto di business, anche in relazione alla sicurezza CobiT può contribuire all allineamento dell Analisi dei Rischi agli obiettivi di business dell azienda ISO 27000 guida nell organizzazione, nei controlli e nella Valutazione di Conformità della sicurezza ISO 27000 consente di certificare il sistema di gestione della sicurezza di un azienda L utilizzo sinergico di CobiT e ISO27000 è possibile ed utile 30

Approfondimenti e contatti Cobit 4.1 e ISO27001 Confronto quantitativo e qualitativo Le Guide AIEA n 4 AIEA Associazione Italiana Information Systems Auditors Milano Via Valla, 16 aiea@aiea.it Alberto Piamonte (alberto.piamonte@alice.it) Mario Notari (mario.notari@infogroup.it) 31

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back