Marco Salvato CISA, CISM, CGEIT, CRISC, COBIT 5 Foundation, COBIT 5 Trainer 1
SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2
Obiettivi Illustrare i benefici, i drivers ed i destinatari del COBIT 5 for Risk Comprendere le due prospettive per le quali COBIT 5 for Risk può essere utilizzato Capire come utilizzare gli scenari di rischio e gli abilitatori di COBIT 5 per il governo e la gestione del rischio Comprendere come COBIT 5 for Risk fa riferimento e si allinea con gli altri standards 3
4
La famiglia COBIT 5 5
COBIT 5 for Risk Quali sono le novità? Sviluppato in risposta alla domanda di una guida specifica sul rischio basata su COBIT 5 ISACA ha visto anche una necessità generale per migliore la gestione ed il governo del rischio IT Basato sul successo del Risk IT, il primo framework di IT risk management di ISACA: Gli scenari di rischio sono stati aggiornati ed estesi COBIT for Risk non ha nessun modello di processo separato - tutto è integrato nei processi di COBIT 5 COBIT 5 for Risk descrive come utilizzare gli abilitatori di COBIT 5 per costruire e sostenere una risk function interna 6
Quali sono i benefici, i drivers ed i destinatari del COBIT 5 for Risk 7
Drivers I principali drivers per la gestione del rischio includono la necessità di: Supportare gli Stakeholders, con pareri motivati e coerenti riguardo lo stato attuale del rischio in tutta l'azienda Fornire una guida su come gestire il livello di rischio all interno dei limiti tollerati (risk appetite) Fornire una guida su come implementare una corretta cultura del rischio aziendale Fornire, ove possibile, le valutazioni quantitative del rischio che consentono agli stakeholders di prendere in considerazione il costo delle misure di mitigazione e le risorse necessarie per fronteggiare il rischio di perdita 8
Drivers Per indirizzare questi drivers, COBIT 5 for Risk fornisce: Indicazioni su come utilizzare il COBIT 5 Framework per stabilire il governo e la gestione dei rischi per l'impresa Indicazioni ed un approccio strutturato su come utilizzare i principi del COBIT 5 per il governo e la gestione dei rischi IT Una definzione chiara su come COBIT 5 for Risk sia allineato con gli altri standards 9
Benefici Tra i principali benefici si possono citare: Una guida end-to-end su come gestire il rischio Un approccio comune e sostenibile per la valutazione e la risposta Una visione più accurata del rischio attuale e in essere attraverso tutta l azienda e l impatto complessivo del rischio La comprensione di come un efficace gestione del rischio IT ottimizza il valore abilitando l efficacia e l efficienza dei processi L opportunità per integrare la gestione del rischio IT all interno delle strutture di compliance aziendali La promozione della responsabilità del rischio e la sua accettazione attraverso l azienda 10
Destinatari I destinatari di COBIT 5 for Risk sono estesi - il target di riferimento comprende: Risk professionals L assistenza alla gestione del rischio IT e l integrazione del rischio IT nell ERM Boards and executive management Comprendere le proprie responsabilità ed i ruoli in materia di gestione del rischio IT L implicazione dei rischi IT negli obiettivi strategici aziendali Come utilizzare al meglio l IT per conseguire gli obiettivi del piano strategico IT and business management Comprendere meglio come identificare e gestire il rischio IT e come comunicare il rischio IT verso i decision makers 11
Struttura del volume Section 1 Elaborates on risk and risk management and describes briefly how the COBIT 5 principles can be applied to risk management-specific needs. Section 2 Elaborates on using COBIT 5 enablers for risk management in practice. Governance of enterprise IT (GEIT) is systemic and supported by a set of enablers. Section 2A Describes the COBIT 5 enablers that are required to build and sustain a risk function. Section 2B Describes how the core risk management process of identifying, analysing and responding to risk can be assisted by the COBIT 5 enablers. This section also provides some generic risk scenarios. Section 3 Introduces the alignment of COBIT 5 for Risk with relevant IT or ERM standards and practices Appendix A Glossary Appendix B Detailed information on enablers for risk governance and management regarding the 7 enablers. Appendix C Detailed description of core risk management processes Appendix D Risk scenarios guidance, containing a comprehensive set of examples on how to mitigate risk scenarios using COBIT 5 enablers Appendix E Comparison between COBIT 5 for Riskand the legacy Risk IT Framework Appendix F Template for risk scenario description 12
Key questions Cos è un rischio IT? Un rischio IT è definito come rischio d'impresa (business risk), in particolare, il rischio di business associato all'uso, alla proprietà, al funzionamento, al coinvolgimento, all'influenza e all'adozione di IT all'interno di un'impresa Come sono usati gli abilitatori del COBIT 5 per la gestione del rischio? Sono utilizzati per fornire due prospettive su come utilizzare COBIT 5: The risk function perspective cosa è necessario in una azienda per stabilire una funzione rischio (risk function) The risk management perspective come sono erogati i processi chiave per la gestione del rischio identificando, analizzando e rispondendo al rischio Come posso avviare e mantenere una efficiente risk function? COBIT 5 per rischio fornisce indicazioni su ciò che è necessario per impostare e mantenere una funzione rischio efficace ed efficiente. Lo fa elencando e descrivendo brevemente gli abilitatori necessari di COBIT 5, ad esempio, i processi, le strutture organizzative, la cultura, l'etica e il comportamento 13
Domande chiave Sono forniti degli esempi pratici di scenario rischi (risk scenarios)? Sì. Un elenco completo di esempio scenari di rischio IT sono forniti, così come alcuni consigli pratici su come utilizzarli al meglio Come il COBIT 5 mi aiuta nel rispondere ai rischi? COBIT 5 for Risk permette il collegamento tra scenari di rischio ed una risposta adeguata. Vengono forniti anche esempi su come gli scenari di rischio possono essere mitigati attraverso i fattori abilitanti di COBIT 5 COBIT 5 è allineato con gli standard di risk management? Sì. Un confronto dettagliato, sotto forma di una mappa o descrizione qualitativa, è incluso per una serie di norme relative COBIT 5 for Risk può aiutarmi a definire un metodo di analisi del rischio di dettaglio? No. Ulteriori indicazioni sui metodi di analisi dei rischi dettagliati, tassonomie, strumenti, ecc, sono disponibili da più fonti, tra cui ISACA 14
Quali sono le due prospettive secondo le quali COBIT 5 for Risk può essere utilizzato 15
Creazione di valore Le imprese esistono per creare valore verso gli stakeholder Ogni impresa, commerciale o meno, ha la creazione di valore come obiettivo di governance La creazione di valore significa realizzare benefits ad un costo ottimale delle risorse, ottimizzando il rischio L ottimizzazione dei rischi è pertanto una parte essenziale di ogni sistema di governo L ottimizzazione dei rischi non può essere vista in modo isolato, le azioni intraprese durante la gestione dei rischio influenzeranno la realizzazione di benefits e l ottimizzazione delle risorse 16
Creazione di valore Gli obiettivi di governance devono essere tradotti in obiettivi gestibili Questa è la goals cascade del COBIT 5 Questo traduce le esigenze degli stakeholder in obiettivi specifici, attuabili e personalizzati 17
Governance e Management COBIT 5 fa una chiara distinzione tra governance e management Governance Garantire che le esigenze degli stakeholder siano guidate attraverso obiettivi aziendali concordati; Stabilire la direzione attraverso processi di prioritizzazione e decisionali; Monitorare le prestazioni, la conformità ed i progressi Management Gestire la pianificazione, la costruzione, l esercizio ed il monitoraggio delle attività, seguendo la direzione impostata dall organo di governo al fine del raggiungimento degli obiettivi aziendali 18
Risk Perspectives 19
Risk Function Perspective COBIT 5 for Risk fornisce una guida che descrive come ogni abilitatore (enabler) contribuisce al governo ed alla gestione complessiva della risk function. Per esempio: I processi sono necessari per definire e sostenere la risk function, governare e gestire il rischio Quali flussi di informazioni sono richiesti per governare e gestire il rischio es. risk universe, risk profile, Le strutture organizzative che sono richieste per governare e gestire efficacemente il rischio es. Enterprise risk committee, risk function, etc. Quali persone e con quali skills dovrebbero essere identificate per definire ed esercitare un efficace risk funtion 20
Risk Function Perspective COBIT 5 for Risk identifica tutti i processi che sono richiesti per supportare la risk function: Key supporting processes rosso Other supporting processes rosa I processi chiave (core), illustrati in azzurro sono forniscono supporto alla Risk Management Perspective: EDM03 Ensure risk optimisation APO12 Manage risk 21
Supporting processes for the Risk Function 22
Risk Management Perspective COBIT 5 for Risk fornisce una guida specifica relativa a tutti gli abilitatori (enablers) per un efficace gestione del rischio: I processi chiavi di Risk Management implementano in modo efficace ed efficiente la gestione del rischio per fornire supporto alla creazione di valore Gli scenari di rischio, le informazioni chiave necessarie per identificare, analizzare e rispondere al rischio; gli scenari di rischio sono rappresentazioni del rischio concrete, tangibili e verificabili Come gli abilitatori di COBIT 5 possono essere usati per rispondere ad uno scenario di rischio inaccettabile 23
Risk Perspectives 24
Come dovrei usare gli scenari di rischio e gli abilitatori di COBIT 5 per il governo e la gestione del rischio 25
Risk Scenarios Definizione Uno scenario di rischio è la descrizione di un possibile evento che, quando si verifica, avrà un impatto incerto sul conseguimento degli obiettivi aziendali. L'impatto può essere positivo o negativo 26
Risk Scenarios Lo scenario di rischio è un elemento chiave di COBIT 5 nel processo di risk management APO12; vengono definiti due approcci: Top-down approach Utilizza gli obiettivi generali aziendali e prendere in considerazione gli scenari di rischio IT più rilevanti e probabili Bottom-up approach Utilizza una lista generica di scenari per definire un insieme di scenari personalizzati e rilevanti da applicare 27
Risk Scenarios Top-down e Bottom-up Entrambi gli approcci sono complementari e dovrebbero essere usati simultaneamente Gli scenari di rischio devono essere rilevanti ed associati ai reali rischi di business Negli scenari di rischio serve considerare specifici elementi di rischio per ciascun requisito di business critico COBIT 5 for Risk fornisce un insieme di scenari di rischio generici e globali questi dovrebbero essere usati come riferimento per ridurre la possibilità di trascurare scenari di rischio comuni o prevalenti 28
Risk Scenarios Quando uno scenario di rischio si materializza, si verifica una perdita (loss event). La perdita è stata prodotta da un threat event (Threat type + Event) La frequenza di un threat event è influenzata dalla vulnerabilità (vulnerability) La vulnerability è solitamente uno stato; può essere incrementata o decrementata dagli eventi di vulnerabilità, es., robustezza del controllo o consistenza della minaccia 29
Risk Scenarios COBIT 5 for Risk illustra: 111 rischi negli scenari di esempio 20 categorie di scenari 30
Risk Scenarios Categories Risk Scenarios Categories 1 Portfolio establishment and maintenance 2 Programme/project life cycle management 3 IT investment decision making 4 IT expertise and skills 5 Staff operations 6 Information 7 Architecture 8 Infrastructure 9 Software 10 Ineffective business ownership of IT 11 Selection/performance of third-party suppliers 12 Regulatory compliance 13 Geopolitical 14 Infrastructure theft 15 Malware 16 Logical attacks 17 Industrial action 18 Environmental 19 Acts of nature 20 Innovation 31
Risk Response Per portare il rischio, in linea con la propensione al rischio aziendale Una risposta deve essere definita in modo tale che il numero maggiore possibile di futuri rischi residui, rientri nei limiti accettati Quando l'analisi dei rischi dimostra che il rischio non è allineato con la propensione al rischio definita ed i relativi livelli di tolleranza, è richiesta una risposta Questa risposta può essere una delle quattro seguenti: Avoid, Mitigate, Share/Transfer, Accept La risposta al rischio non è un impegno isolato è parte del ciclo del processo di gestione del rischio 32
Risk Mitigation COBIT 5 for Risk fornisce una serie di esempi di come gli abilitatori di COBIT 5 possono essere usati per rispondere agli scenari di rischio La mitigazione del rischio è equivalente ad attuare una serie di controlli IT In termini di COBIT 5, I controlli IT possono essere uno degli abilitatori, Implementare una struttura organizzativa, implementare una particolare attività di governo o di gestione, ecc. Sono fornite potenziali azioni di mitigazione relative a tutti e 7 gli abilitatori, per ciascuna delle 20 categorie di scenari di rischio, con un riferimento, un titolo ed una descrizione di tutti gli abilitatori che possono aiutare nella mitigazione del rischio 33
Risk mitigation con COBIT 5 for Risk Risk response 34
Risk response 35
Come COBIT 5 for Risk è collegato e si allinea alle altre norme 36
Alignment COBIT 5 for Risk come lo stesso COBIT 5 ha un approccio ad ombrello per le definizione di attività di gestione del rischio COBIT 5 for Risk si posiziona nel contesto relativo ai seguenti standard di riferimento per la gestione del rischio: ISO 31000:2009 Risk Management ISO 27005:2011 Information security risk management COSO Enterprise Risk Management 37
Alignment ISO 31000:2009 Risk Management COBIT 5 for Risk addresses all ISO 31000 principles, through: The COBIT 5 for Risk principles and enablers themselves Through the enabler models In addition, the framework and process model aspects are covered in greater detail by the COBIT 5 for Risk process model All elements are included in COBIT 5 for Risk and are often expanded on or elaborated in greater detail, specifically for IT risk management 38
Alignment ISO 27005:2011 Information security risk management COBIT 5 for Risk addresses all of the components described within ISO 27005. Some of the elements are structured or named differently COBIT 5 for Risk takes a broader view on IT risk management compared with ISO 27005 which is focused on the management of security related risk There is a stronger emphasis in COBIT 5 for Risk on processes and practices in order to ensure the alignment with business objectives, the acceptance throughout the organisation and the completeness of the scope, amongst other factors 39
Alignment COSO Enterprise Risk Management COBIT 5 for Risk addresses all of the components defined in COSO ERM Although COBIT 5 for Risk focuses less on control, it provides linkages to enablers management practices in the COBIT 5 framework The essentials with regards to both control and general risk management as defined in COSO ERM are present in COBIT 5 for Risk, either through: The principles themselves and the framework s conceptual design The process model and additional guidance provided in the framework 40
Confronto tra Risk IT e COBIT 5 Il Risk IT Framework è stato pubblicato nel 2009 da ISACA con una practitioner guide a supporto. Le risk practices di Risk IT sono mappate verso le governance e management practices di COBIT 5 nell appendice A di COBIT 5: Enabling Processes. Fonte: Risk IT Framework ISACA 2009 Estratto da COBIT 5: Enabling Processes - Appendix A 41
Confronto tra Risk IT e COBIT 5 Estratto da COBIT 5: for Risk Appendix E 42
Risk Management Processes Appendice C 43
Esempio di Risk Register 44
Esempio di sintesi dell analisi dei rischi IT 45
In conclusione Grazie per il vostro interesse in COBIT 5 e COBIT 5 for Risk Ringrazio per il supporto Steven Babb - COBIT 5 for Risk Task Force Chair Per maggiori informazioni, visitate: www.isaca.org/cobit5 www.isaca.org/cobit5forrisk http://www.isaca.org/chapters5/venice/pages/default.aspx Domande? 46