COMPLIANCE, GOVERNANCE E SICUREZZA NELL ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012

Documenti analoghi
Qualification Program in Information Security Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

saipem La collaboration al servizio del business Elisa Albertini, TLC Infrastructure Architect Alessandro Tintori, ICT Project Management Manager

L impatto della costruzione sul territorio e sulla società

SAS70 lo standard per la valutazione dei controlli interni delle aziende di outsourcing. Ottobre 2008

Third Party Assurance Reporting

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

C2 INTERNAL USE FASTWEB. L Organizzazione per la Sicurezza delle Informazioni. Luca Rizzo. Milano, martedì 16 marzo 2010 PG. 1

Data Security Governance: come conciliare esigenze tecniche, obiettivi di business e vincoli di budget

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008

L. 262 and Sarbanes-Oxley Act

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

IT Value. Referenze di Progetto. Settembre 2013

Balance GRC. Referenze di Progetto. Settembre Pag 1 di 18 Vers BALANCE GRC S.r.l.

Informazione Regolamentata n

Modello di funzionamento della Compliance: principi e strumenti

Marco Salvato, KPMG. AIEA Verona

Informazione Regolamentata n

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Informazione Regolamentata n

L attività Sarbanes Oxley Act : punti di contatto con la funzione di compliance nelle assicurazioni

ICT Security Governance. 16 Marzo Bruno Sicchieri ICT Security Technical Governance

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Informazione Regolamentata n

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

L evoluzione del Processo di Enterprise Risk Management nel Gruppo Telecom Italia

IBM - IT Service Management 1

L evoluzione del modello dei controlli interni sull Information Tecnology

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

La pianificazione degli interventi ICT e il governo degli investimenti e costi ICT nel Gruppo MPS

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

Pubblicazioni COBIT 5

IS Governance in action: l esperienza di eni

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS :2002 in logica di Loss Prevention

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

CONNECTING BUSINESS & TECHNOLOGY Providing the highest value C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y

FORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t

Informazione Regolamentata n

Business Continuity Experts

InfoSec: non solo firewall e antivirus. Massimo Grandesso

Associazione Italiana Information Systems Auditors

HSE Manager. L Integrazione delle analisi di rischio tipiche del ruolo con i processi di risk management aziendali

Il valore della cyber security per la sicurezza nazionale e la protezione delle infrastrutture energetiche

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management

The approach to the application security in the cloud space

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

GESTIONE DEL PERSONALE ESPATRIATO

CEPIS e-cb Italy Report. Roberto Bellini (da leggere su )

ITIL e PMBOK Service management and project management a confronto

KPMG Advisory: per vincere la sfida della complessità

Dirigente Settore Sviluppo Strategico del tessuto produttivo e dell Economia Ligure. Responsabile del Progetto Strategico ERP-Liguria

La condensazione della nuvola

Iniziativa : "Sessione di Studio" a Roma. Roma, 9 ottobre Hotel Universo. 7 ottobre p.v.

CG, SCI <> Creazione di valore

Il business risk reporting: lo. gestione continua dei rischi

Nuovo Assetto Organizzativo della Capogruppo Area Organizzazione Siena, 24 gennaio 2017

BSI Group Italia. Viviana Rosa Marketing & PR Manager BSI Group Italia

Aldo Serraglio Infracom Italia S.p.A. Business Unit ICT Outsourcing. Infracom case studies per la gestione tecnologica del rischio operativo

Approccio alla gestione del rischio

Sessione di studio a Milano, 2 Aprile Christian Cantù, Partner icons Innovative Consulting

LA STORIA STORY THE COMPANY ITI IMPRESA GENERALE SPA

idea progetto futuro

GIUSEPPE TOMASONI LAURA BORGESE 18/09/2O14

Service Manager Operations. Emerson Process Management

Testi del Syllabus. L insegnamento è composto dai seguenti moduli: ORGANIZZAZIONE AZIENDALE 7 CFU I FONDAMENTALI DI CONTROLLO DI GESTIONE 7 CFU

SAIPEM: gestione efficiente delle performance. CST TPO Service per monitorare proattivamente i sistemi SAP

L IT Risk Management e le strategie di business

PM: Come faremmo senza

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Europass Curriculum Vitae

Advisory Bank: integrazione tra Rete Fissa e Mobile

Denominazione progetto Tipologia Descrizione

La Sicurezza nel Cloud Computing. Simone Riccetti IBM IT Security Architect

COBIT. COBIT è un modello di riferimento che comprende una raccolta di best practice

The information contained in this document belongs to ignition consulting s.r.l. and to the recipient of the document. The information is strictly

La sicurezza delle informazioni vista da un security manager

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC )

MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE. ABI Banche e Sicurezza 2014

ISACA VENICE MEETING 2014

ZeroUno Executive Dinner

Qualification Program in IT Service Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

La Governance come strumento di valorizzazione dell'it verso il business

Group Business Assurance Revisione modello Incident di sicurezza

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Business Continuity Experts

Denominazione equipollente presso Università straniera. International Economics and Financial Markets. International Economics & Financial Markets

SharePoint Governance

Banca Popolare di Milano

Transcript:

COMPLIANCE, GOVERNANCE E SICUREZZA NELL ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012

Agenda Il contesto Il percorso Saipem 2

Agenda Il contesto Il percorso Saipem 3

Saipem Highlights Leading Global EP(I)C General Contractor Revenues (2011) 12.6 B Backlog (June 30 th, 2012) 20.3 B Employees 44,300 Engineers & Project Managers > 7,000 Operating in more than 70 countries, more than 50 permanent establishments, employees from 127 nationalities Key local employer and investor in strategic markets Engineering & Construction Full service EP(I)C provider Drilling High quality player onshore and in niches offshore Distinctive frontier focus in Oil & Gas industries Most modern, technologically advanced offshore construction fleet Saipem 4

Global Presence with a Multilocal Emphasis Human Resources 44,297 employees of 127 nationalities ( ) Paris Rome Milan Fano Chennai EP(I)C Hubs Engineering Centres Yards & Main Logistic Bases Other Main Areas and Rep. Offices ( ) October 31 st, 2012 Saipem 5

Two Global Business Units Engineering and Construction Sealines Subsea Field Development Fixed Facilities Floaters Subsea Services via Remote Technologies Drilling Oil & Gas Production Gas Processing, LNG, GTL, GTS Import/Export Terminals Pipelines and Oil & Gas Transportation Systems Refineries, Heavy Oils Conversion, Chemical Plants Offshore high quality niche player & Onshore frontier focus Saipem 6

Saipem Assets: Offshore Construction Vessels Saipem offshore fleet exceeds 40 units (Under construction) Ultra-Heavy Lifting & deepwater pipelaying Field Development / SURF Lifting and DLB Castoro Otto Saipem 7000 Saipem FDS 2 Saipem FDS Saipem 3000 Pipelaying Castoro Sei Castoro 7 Semac 1 Castorone Castoro 10 Castoro 2 S355 Saipem 7

Selected Drilling Assets From a total of 24 wholly-owned offshore units and almost 100 onshore rigs Deep Water Units Jack Up Units Onshore Units Saipem 12000 (W.D.: 12.000 ft) Angola Scarabeo 9 (W.D.:12.000 ft) Cuba Perro Negro 8 (W.D.: 350 ft) Italy 5898 1500 HP Desert Enviroment Algeria/Arabia Scarabeo 8 (W.D.: 10.000 ft) Norway North Sea Perro Negro 7 (W.D.: 375 ft) Saudi Arabia 5946 3000 HP Winterized Rig Kashagan Field - Kazakhstan Saipem 10000 (W.D.: 10.000 ft) Mozambique Scarabeo 5 (W.D.: 6.500 ft) Norway North Sea Perro Negro 6 (W.D.: 350 ft) Angola 5824 Helioportable Rig Ecuador/Perù Saipem 8

Infrastruttura Saipem Infrastruttura WAN Infrastruttura Windows Saipem 9

Agenda Il contesto Il percorso Saipem 10

Compliance ICT IT General Controls (ITGC) Framework: COBIT Scope: Saipem SpA + selected Operating Companies General Computer Financial Information Controls (GCC) Framework: COSO Scope: Saipem SpA Financial Information L.262/05 ISO27001 Saipem Model Framework: ISO27001 Scope: Saipem Group All Company Information ISO27001 2008/2011 ICT System of Control Frameworks: COBIT, COSO, ISO27001 Scope: Saipem Group All Company Information ISoC 2012/2013 Sarbanes- Oxley Act 2006/2007 Saipem 11

Compliance ICT General Computer Controls (GCC) Framework: COSO Scope: Saipem SpA Financial Information IT General Controls (ITGC) Framework: COBIT Scope: Saipem SpA + selected Operating Companies Financial Information L.262/05 Sarbanes- Oxley Act 2006/2007 Saipem 12

Monitoraggio SOX/262: processo e modello organizzativo Sarbanes-Oxley Act L.262/2005 COSO COBIT Matrice dei Controlli Rischio Controllo Procedura di test Matrice dei Controlli Nuovo Perimetro Revisione Matrice Verifica del Disegno Monitoraggio di Operatività Gestione Carenze SOX: da Eni 262: da Saipem Modello Organizzativo Corporate IT Compliance IT Risk Owner Referente di Attuazione del Monitoraggio Team di Supporto/Monitoraggio Local IT Operations IT Control Owner Local IT Manager/IT Coordinator Saipem 13

Compliance ICT IT General Controls (ITGC) Framework: COBIT Scope: Saipem SpA + selected Operating Companies General Computer Financial Information Controls (GCC) Framework: COSO Scope: Saipem SpA Financial Information L.262/05 ISO27001 Saipem Model Framework: ISO27001 Scope: Saipem Group All Company Information ISO27001 2008/2011 Sarbanes- Oxley Act 2006/2007 Saipem 14

Lo Standard ISO27001 come framework Progetto ISO27001 Adottare un sistema comune di gestione della sicurezza delle informazioni e dei relativi processi ICT Obiettivi Migliorare il livello di protezione di dati/informazioni contro minacce interne/esterne e garantirne l'integrità, la disponibilità e la riservatezza Creare una cultura aziendale condivisa in merito alla sicurezza ICT e volta all ottimizzazione dei processi Annex A ISO27001 Requisiti di Business Matrice dei Controlli Modello Saipem ISO27001 Saipem 15

ISO27001: processo e modello organizzativo Matrice dei Controlli Modello Saipem ISO27001 ASSESSMENT Invio Matrice Interviste Valutazione controlli Identificazione gap Condivisione risultati Remediation Plan MONITORAGGIO Chiusura gap Test (disegno/operatività) Implementazione Action Condivisione Action Plan Proposta Action Plan Modello Organizzativo Corporate IT Compliance IT Lead Auditor IT Auditors Team di Supporto/Monitoraggio Remediation Plan Coordinamento e Supporto attivo Local IT Operations Local IT Manager/IT Coordinator ~ 200 contatti mensili con Local IT Manager 20 Videoconferenze/mese 80 call conference/mese 100 email/mese Saipem 16

Gli assessment ISO27001 (1/2) Società Saipem Assessment ISO27001 eseguiti 28 Assessments eseguiti 69 interviste effettutate 2952 controlli testati (2393 valutati) 38 Server Rooms visitate (~16,000 postazioni di lavoro) ~1300 applicativi censiti 154 procedure & 461 documenti raccolti e analizzati 1135 gap identificati: 616 gap chiusi (test disegno/operatività) 228 gap aperti 145 gap in attesa Linee Guida Corporate 98 test di operatività in corso 48 test di operativa pianificati Saipem 17

Gli assessment ISO27001 (2/2) Risultati Assessment 2012 A.7 - Asset Management A.10 - Communications and Operations Management A.11 - Access Controls A.12 - Information Systems Acquisition, Development and Maintenance A.13 - Information Security Incident Management A.5 - Security Policy A.6 - Organization of Information Security A.8 - Human Resources Security A.9 - Physical and Environmental Security A.14 - Disaster Recovery and Service Continuity Management A.15 - Compliance Saipem 18

Compliance ICT IT General Controls (ITGC) Framework: COBIT Scope: Saipem SpA + selected Operating Companies General Computer Financial Information Controls (GCC) Framework: COSO Scope: Saipem SpA Financial Information L.262/05 ISO27001 Saipem Model Framework: ISO27001 Scope: Saipem Group All Company Information ISO27001 2008/2011 ICT System of Control Frameworks: COBIT, COSO, ISO27001 Scope: Saipem Group All Company Information ISoC 2012/2013 Sarbanes- Oxley Act 2006/2007 Saipem 19

Il nuovo modello di Governance: L Organizzazione Organizzazione IT Dept. 2006 2012 Saipem 20

Il nuovo modello di Governance: ISoC Implementazione di un Information Security Management System (certificazione ISO27001) Matrice dei Controlli SOX Matrice dei Controlli 262 Matrice dei Controlli ISO27001 MATRICE DEI CONTROLLI ISoC IRES ICT Regulations and Standards Assessment IT Lead Auditor IT Auditors Gestione IT Risk Owner Referente di Attuazione del Monitoraggio Team di Supporto e Monitoraggio Saipem 21

ISoC: Le Procedure Revisione Corpo Procedurale ICT Modello Corporate STD Corporate Standard Procedure Policy Controlli Segregation of Duties Vincoli WI Local Work Instruction WI Local Work Instruction WI Local Work Instruction WI Local Work Instruction Processi Ruoli e responsabilità Processo di gestione OBIETTIVO: Assicurare la Compliance a norme e Standard nazionali e internazionali applicabli all ICT e ai requisiti di business DRIVER Verifica Compliance a STD Supporto all implementazione Assessment ISO27001 Contesto legislativo e Standard ATTIVITÀ 1. Pianificazione annuale 2. Assegnazione di un owner per ogni procedura 3. Monitoraggio di attuazione del piano (con KPI) Requisiti ICT e di business Saipem 22

ISoC: la Gestione del Rischio (1/2) Modello di Gestione Rischio-Paese Electronic Data Classification & Risk Analysis Program Data Classification Objective: Opportunity to manage data and protection measures according to its value ENI Approach: Understand Value of data (Low, Medium or High) Risk Analysis Objective: Opportunity to know & mitigate or accept remaining risk Understand Risk remaining (Low, Medium or High) Survey responded to by ICT (Security) Manager Locally identified security threats analyzed Saipem 23

ISoC: la Gestione del Rischio (2/2) Modello di Gestione Rischio-Paese Definizione Misure Minime Di Sicurezza nell IT nei paesi a rischio Disaster Recovery Plan >... Piano di Sicurezza IT: servizi e asset critici + misure preventive per salvaguardarli Piano di Crisi IT: azioni in caso di crisi socio-politica R <... Disaster Recovery Plan Saipem 24

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back