AIEA La gestione della strategia di sicurezza novembre 2009

Documenti analoghi
Vulnerability to ICT Risk Management. Andrea Ghislandi Amministratore Delegato

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

Swascan for GDPR SWASCAN. Il servizio di GDPR Chiavi in mano REGISTRATI E ACCEDI AL FREE TRIAL. In collaboration with CISCO

Governance, Risk and Compliance.

Cybersecurity per la PA: approccio multicompliance Sogei

Advanced Analytics nel Credit Scoring. L evoluzione dei modelli per la misurazione del rischio di controparte.

Da una protezione perimetrale ad una user centric Security Summit Verona

FINANCIAL ADVISORY. Services Landscape

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

ITIL cos'è e di cosa tratta

Sessione di studio AIEA 15 dicembre 2004, Milano. IT Governance Modello di gestione. Michele Barbi, CISA - Etnoteam

SWASCAN THE FIRST CLOUD CYBER SECURITY PLATFORM

Information Risk Management (IRM)

Performance Management

COBIT 5 for Information Security

ISO 45001:2018. Come gestire con efficacia le tematiche di Salute e Sicurezza sul Lavoro.

SMART ASSET 3 SERVIZI DI ENTERPRISE ASSET MANAGEMENT

GOVERNANCE, CONTROL, Slide 1 di 34

IDD - Parere Tecnico EIOPA sui possibili atti delegati

Analisi sulla gestione del capitale umano nel Retail

CobiT e Corporate Governance

WEB COMPLIANCE AND RISK ANALYSIS

La information security integrata nel management system aziendale. Eugenio Marogna 6 dicembre 2002

Le iniziative Consip a supporto

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

IBM - IT Service Management 1

Fintech District. The First Testing Cyber Security Platform. In collaboration with CISCO. Cloud or On Premise Platform

Le iniziative Consip a supporto

ISO 50001: uno strumento di efficienza e sostenibilità

Information & Cyber Security Strategy: cosa fare. Alessio L.R. Pennasilico

PORTAFOGLIO dei Servizi. maggio / 2019

Roberto Masiero, Amministratore Delegato The Innovation Group 1 Conferenza sul Cloud Computing nella Pubblica Amministrazione Introduzione

Advanced Security Operations

MEGA Process Oriented & Risk Driven Solution

NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY APPROCCIO METODOLOGICO PER LE ATTIVITÀ DI ADEGUAMENTO. AL GDPR 20 Febbraio 2019

Privacy e requisiti per la Cybersecurity nella PA

Supporto alla preparazione di visita ispettiva

Consulenza e Software, insieme per la certificazione ISO : presentazione di un caso reale

Allegato A) Servizio 1 Convenzione CONFINDUSTRIA CH-PE

RegTech PwC Value Proposition Trasformare le «regole» in vantaggio competitivo

Sicuramente

ITIL 2011 ITIL Overview

Convegno Annuale AISIS. Cartella Clinica Elettronica Ospedaliera: indicazioni per un progetto sostenibile

CYBERSECURITY AND IT RISK MANAGEMENT FOR FINANCIAL INSTITUTIONS INFRASTRUCTURES - CPEXPO Partner

Servizi. SISTEMI INFORMATIVI Business Intelligence Dashboard e KPI Pareto software di analisi finanziaria Software e ERP selection

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

ELEMENTI DI RISK MANAGEMENT & ICT GOVERNANCE HIGHLIGHTS L analisi e la gestione dei rischi nel contesto della Information Security

Business Continuity: criticità e best practice

Nuovi investimenti per un nuovo scenario. Supporto ex-ante ed ex-post nel processo di investimento

KPIs, informazione non-finanziaria e creazione di valore aziendale: confusione o convergenza?

REDAZIONE DEL PIANO DI MIGLIORAMENTO

La Qualità in UniTN. ATTUATO un percorso di rinnovamento su sistemi informativi, organizzazione, processi

Operations Management Team

Operations Management Team

PROPULSORE TECNOLOGICO

Approccio operativo per la redazione del Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 8 giugno 2001, n. 231

Da una protezione perimetrale ad una user centric Security Summit Treviso

Programma didattico. Business Continuity Management

Giorgio Elefante Automotive Leader PwC Italy

GDPR General Data Protection Regulation

La Security Governance come processo all'interno dell'it Governance.

SPC L2 - Proposta Integrazione Servizi Professionali

Business Continuity Experts

MIFID II. Cosa rimane da fare dopo il 3 gennaio 2018? Quick Review Analysis & Business Opportunities. Giugno 2018

UN FRAMEWORK NAZIONALE PER LA CYBER SECURITY

Nuovi profili di rischio nell interazione uomo-robot e per le imprese nell industria 4.0. Marco Lazzari Stefano Ciampiconi

HSE Manager. L Integrazione delle analisi di rischio tipiche del ruolo con i processi di risk management aziendali

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

RISK MANAGEMENT ISO GESTIRE I RISCHI DI IMPRESA

BANCHE E SICUREZZA 2014

SFIDA 4.0 DIGITAL INNOVATION HUB

Framework per la Cybersecurity (*)

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

Obiettivi e modalità di implementazione del Risk Management nei processi tecnico-amministrativi

MASTER Orbit4BC TOOL PER IL BUSINESS CONTINUITY MANAGEMENT

Linea Guida ISCOM CERTIFICAZIONE DELLA SICUREZZA ICT. Silvano Bari ALITALIA, AIEA

STATO DELLA SICUREZZA NEGLI ENTI SANITARI PUBBLICI

IL MODELLO CAF GENERALITA E STRUTTURA

Virtualizzazione Infrastrutture ICT. A chi è rivolto. Vantaggi per il Cliente. Perchè Luganet. Partner Commerciale

InfoSec: non solo firewall e antivirus. Massimo Grandesso

Moviri e DevOps: Case Studies. Un approccio concreto al DevOps per accelerare dialogo e risultati tra IT Operations e Quality Assurance

CLOUD STRATEGY CLOUD STRATEGY

Università di Bergamo Dip. di Ingegneria gestionale, dell'informazione e della produzione GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi B1_1 V1.

Sessione di studio a Milano, 2 Aprile Christian Cantù, Partner icons Innovative Consulting

PROFILI PROFESSIONALI

Politica Sistema di Gestione per la Sicurezza delle Informazioni

L esperienza di Snam Rete Gas

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

General Data Protection Regulation (GDPR) Andrea Agosti Mariangela Fierro

IDD - Parere Tecnico EIOPA sui possibili atti delegati

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Il sistema informativo del Sistema Informativo Giampaolo Rizzi - COGITEK

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

Politica per la Gestione del Servizio

LA CHECK LIST STRUMENTO PRINCIPE DEL TQM E DELL ECCELLENZA AUTOVALUTARE L AUTOVALUTAZIONE

La governance dei fornitori

ENTERPRISE RISK MANAGEMENT: LA VIA DEL FUTURO CONSAPEVOLE

Osservatorio normativo EY

Transcript:

Advisory Consulting AIEA La gestione della strategia di sicurezza PwC

Contenuti 1. Perché disegnare una strategia di sicurezza 2. Approccio PwC all Information Security Strategy 3. Principali strumenti utilizzati 4. Allegati

Sezione 1 Perché disegnare una strategia di sicurezza

Perché disegnare una strategia di sicurezza Ad un aumento degli investimenti sulla sicurezza delle informazioni non sempre corrisponde un reale miglioramento I CIO sono spesso frustrati per la quantità di risorse, anche finanziarie, destinate a progetti di sicurezza e tecnologia, rispetto ai benefici che ne possono ottenere. Il denominatore comune solitamente è lo stesso: la mancanza di una strategia di sicurezza ben progettata a livello aziendale. Molte organizzazioni mostrano un approccio reattivo ai temi della sicurezza implementando, in maniera non coordinata e sistematica, specifiche soluzioni in risposta a singole minacce o violazioni. Questo approccio, oltre a risultare costoso, si risolve paradossalmente in un patchwork di soluzioni che rendono l organizzazione meno sicura. Fonte: How to Design a Security Strategy (and Why You Must) http://www.cio.com/article/482446 Slide 4

Perché disegnare una strategia di sicurezza È necessaria una strategia di sicurezza che sia onnicomprensiva ed allineata agli obiettivi di business nel medio periodo Il primo passo da compiere è effettuare una valutazione dello stato attuale della sicurezza a 360, utilizzando predeterminati livelli di maturità. Tale esercizio, oltre a fare assumere consapevolezza da parte dell azienda circa lo stato attuale, rivela i principali gap e indica quali sono i più critici, consentendo inoltre di indirizzare i problemi di sicurezza proattivamente. Una volta noto lo stato attuale e definito lo stato desiderato, in funzione degli obiettivi strategici aziendali sarà immediata la definizione della strategia che coinvolga tutti gli aspetti della sicurezza. Senza una soluzione olistica il CIO non sarà in grado di elevare il tema della sicurezza al rango della strategia aziendale, alla quale appartiene per natura. Fonte: How to Design a Security Strategy (and Why You Must) http://www.cio.com/article/482446 Slide 5

Sezione 2 Approccio PwC all Information Security Strategy

Approccio PwC all Information Security Strategy L approccio di PwC è orientato ad allineare l IT al Business attraverso la comprensione della catena del valore aziendale Requisiti Obiettivi di Business Attività Primarie Attività di Supporto IDENTIFY (Envision) CREATE (Engineer) Organizzazione Processi aziendali CAPTURE (Operate) SUSTAIN (Respond) M a r g i n e Valore Creazione & Protezione Tecnologie Slide 7

Approccio PwC all Information Security Strategy Ogni organizzazione dovrebbe definire ed implementare un proprio disciplinare di sicurezza con il quale autoregolamentarsi L implementazione di standard quali l ISO/IEC 27000 può essere molto dispendiosa in termini di tempi e costi. Al fine di definire un modello e una strategia per ridurre l esposizione a rischi di Sicurezza, è importante effettuare un approccio snello e flessibile che garantisca benefici concreti e misurabili. PwC propone di effettuare una valutazione dell attuale livello di maturità di in ambito Sicurezza, creando un proprio disciplinare di sicurezza che faccia riferimento ai più importanti standard in materia di controlli IT e Security (p.e. ISO27000, CObIT, Privacy, ITIL, Basilea II, HIPAA, etc.). Slide 8

Approccio PwC all Information Security Strategy Il framework PwC SecurityATLAS TM è lo strumento per assistere il CISO nella definizione della strategia di sicurezza Tale framework propone un approccio strutturato e scalabile per il miglioramento della sicurezza dell informazione. La definizione dei Quick-win, del Piano dei Progetti e del Piano Strategico, consente di aumentare il livello di maturità su tutti i domini della sicurezza, prioritizzando gli interventi in base alla criticità (come ad esempio la conformità a Leggi o gravi debolezze rilevate). In questo modo si riesce ad instaurare un circolo virtuoso (Continual Service Improvement) per il miglioramento della Sicurezza dell Informazione, mediante un progressivo e graduale aumento del livello di maturità che, passo dopo passo, consente di raggiungere gli obiettivi di sicurezza desiderati. L articolo di PwC Advisory How to Design a Security Strategy (and Why You Must) basato sul SecurityATLAS, spiega inoltre come tale strumento permetta di ottenere un adeguato coinvolgimento da parte del top management (http://www.cio.com/article/482446). Slide 9

Approccio PwC all Information Security Strategy Approccio PwC all Information Security Strategy I Start Up II Assessment III Strategy & Roadmap IV Implementazione B Definizione degli obiettivi di sicurezza dell informazione A Definizione del perimetro < di intervento C Information Security Maturity Assessment E Definizione Strategia & Roadmap F Implementazione Strategia & Roadmap D GAP Analysis Punti di approvazione formale Approccio Proposto Slide 10

Approccio PwC all Information Security Strategy L approccio PwC si pone diversi obiettivi, tra cui la valutazione dell attuale livello di maturità in ambito sicurezza I principali obiettivi dell approccio PwC sono i seguenti: definizione del perimetro di intervento (sistemi e processi IT); identificazione, definizione e condivisione degli obiettivi di sicurezza; valutazione dell attuale livello della sicurezza dell informazione; identificazione dei Gap fra la situazione attuale e quella desiderata; identificazione delle azioni da compiere per colmare i gap identificati; definizione di una strategia di approccio comprendente Quick-win*, Piano dei Progetti e relativi costi, Responsabilità e Roadmap di Implementazione. * Quick-win: attività che comportano un effort ridotto e che devono essere eseguite con alta priorità Slide 11

Sezione 3 Principali strumenti utilizzati

Principali strumenti utilizzati I principali strumenti utilizzati permettono di comunicare chiaramente il valore della Security a tutti i livelli aziendali (1/3) Livello di Maturità attuale: rappresenta l attuale stato della sicurezza dell informazione, per ogni dominio, in termini di livello di maturità, copertura dei controlli e gravità delle criticità. Livello di Maturità desiderato: rappresenta il livello di maturità desiderato per ogni dominio di Sicurezza e i GAP tra lo stato attuale e quello desiderato. 10.BCM 9.ISIM 11.CO 1.SP 5 4,5 4 3,5 3 2,5 2 1,5 1 0,5 0 2.OIS 3.AM 4.HRS 8.ISADM 5.PES 7.AC 6.COM Slide 13

Principali strumenti utilizzati I principali strumenti utilizzati permettono di comunicare chiaramente il valore della Security a tutti i livelli aziendali (2/3) Gap Analysis rappresenta l identificazione dei Gap fra la situazione attuale e quella desiderata, individuando le azioni da compiere per colmare i gap identificati. RACI rappresenta la matrice di assegnamento delle responsabilità: Responsible, Accountable, Consulted, Informed. Punti d attenzione, QuickWin e Progetti per ogni dominio Inserire nome dominio (XX) Descrizione: Inserire descrizione. Obiettivi: Inserire obiettivi. Livello di Maturità AS IS: x su 5 (Maturità) Punti di Debolezza Inserire punto di debolezza. Inserire punto di debolezza. Inserire punto di debolezza. Inserire punto di debolezza. QuickWin Inserire QuickWin EXT QW Inserire QuickWin INT Progetti Nome progetto PR 1: Descrizione progetto. Nome progetto PR 2: Descrizione progetto. Nome progetto PR 3: Descrizione progetto. Nome progetto PR 4: Descrizione progetto. Ref Disciplinare: XX.x XX.x Severity: Severity Effort EXT (gg) INT (gg) Capex (K ) Totale 0 0 0 QW 0 0 0 PR 1 0 0 0 PR 2 0 0 0 PR 3 0 0 0 PR 4 0 0 0 Livello di Maturità TO BE: Maturità Slide 14

Principali strumenti utilizzati I principali strumenti utilizzati permettono di comunicare chiaramente il valore della Security a tutti i livelli aziendali (3/3) Piano dei Progetti rappresenta l insieme dei progetti da implementare a breve e medio termine, la stima dell effort per ognuno di essi e la relativa distribuzione temporale. Piano Strategico rappresenta i progetti da implementare a breve, medio e lungo termine per il raggiungimento degli obiettivi strategici di sicurezza. Slide 15

Sezione 4 Allegati

Allegati Livello di Maturità attuale back Slide 17

Allegati Livello di Maturità desiderato 10.BCM 9.ISIM 11.CO 1.SP 5 4,5 4 3,5 3 2,5 2 1,5 1 0,5 0 2.OIS 3.AM 4.HRS 8.ISADM 5.PES 7.AC 6.COM back Slide 18

Punti d attenzione, QuickWin e Progetti per ogni dominio Sistemi ed Infrastrutture di Rete (IR) Ref Disciplinare: IR.x IR.x Descrizione: Disegno, realizzazione e manutenzione di infrastrutture di rete sicure (apparati di comunicazione, server, client e sistemi operativi). Obiettivi: La gestione di infrastrutture di rete sicure garantisce l affidabilità nel tempo delle risorse impiegate e la qualità dei dati scambiati. Livello di Maturità AS IS: 2 su 5 (Informal) Severity: Alta Punti di Debolezza Mancanza o mancato aggiornamento di alcune procedure operative per la gestione e il monitoraggio dei sistemi. Non è presente un processo strutturato per il mantenimento e il monitoraggio degli Asset IT. Non è presente un processo strutturato per l aggiornamento dei sistemi. Non vengono svolte periodiche attività di Vulnerability Assessment. Non è stato definito uno specifico processo per gestire e tracciare gli Incidenti di Sicurezza. QuickWin QW. Policy Review Controllo Accessi da remoto Progetti IR A. IT Security Asset Inventory: Predisposizione e aggiornamento periodico dell inventario degli Asset IT, con particolare focus sugli aspetti di sicurezza. IR B. Patch Management: Definizione del processo di aggiornamento dei sistemi critici, che può essere automatizzato o manuale dipendentemente dai sistemi coinvolti. IR C. Vulnerability Assessment: Definizione di un processo di verifica delle vulnerabilità sui sistemi critici. Esecuzione di una prima verifica, analisi dei risultati e Action Plan per le eccezioni riscontrate. IR D. Security Incident Management: Definizione della strategia di Gestione degli Incidenti di Sicurezza e stesura della documentazione a supporto. Effort EXT (gg) INT (gg) Capex (K ) Totale 88 40 105 QW 15 8 0 IR A 10 5 0 IR B 30 15 0 IR C 15 5 5* IR D 18 7 100** * acquisto licenze vulnerability scanner ** acquisto licenze tool di trouble ticketing Livello di Maturità TO BE: Standardized/Monitored back Slide 19

Allegati Matrice RACI back Slide 20

Allegati Piano dei Progetti back Slide 21

back Slide 22

La gestione della strategia di sicurezza 2009. All rights reserved. refers to the network of member firms of International Limited, each of which is a separate and independent legal entity. *connectedthinking is a trademark of LLP (US). PwC

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back