Comitato per la Qualità del Software e dei Sevizi IT

Comitato per la Qualità del Software e dei Sevizi IT Continua evoluzione delle normative che adottano il modello della Gestione dei Sistemi quale approccio ad una proficua Gestione dell ICT Confindustria Udine Palazzo Torriani - Udine Giovedì, 21 gennaio 2010 Attilio Rampazzo Agenda Evoluzione delle norme nel settore ICT Premessa Management Systems Quality Management System - EA 33 Information Tecnology Information Security Management System IT Service Management System Business Continuity Management System Integrated Management Systems Corporate Governance of Information Technology Attilio Rampazzo 2

Premessa Attilio Rampazzo 3 premessa Service Mngmt L IT aziendale si trova sempre più a dover affrontare sfide complesse, gestendo tecnologie in continua evoluzione con budget talvolta limitati e comunque sempre sotto osservazione SECURITY Il management è chiamato ad allineare i servizi erogati, dalla funzione ICT alle esigenze di Business, gestendo tutti i rischi correlati, dimostrando il valore delle attività/progetti svolti ed erogando il tutto a costi contenuti QUALITY Best Practice In questo panorama diventano importanti gli standard relativi al contesto IT sviluppati e pubblicati in questo inizio secolo Attilio Rampazzo 4

premessa Norme / Standard Secondo la Direttiva Europea 98/34/CE del 22 giugno 1998: "norma o standard è la specifica tecnica approvata da un organismo riconosciuto a svolgere attività normativa per applicazione ripetuta o continua, la cui osservanza non sia obbligatoria e che appartenga ad una delle seguenti categorie: norma internazionale (ISO) norma europea (EN) norma nazionale ISO European Standard Le norme, quindi, sono documenti che definiscono le caratteristiche (dimensionali, prestazionali, ambientali, di sicurezza, di organizzazione ecc.) di un prodotto, processo o servizio, secondo lo stato dell'arte e sono il risultato del lavoro di decine di migliaia di esperti. National Standard Publicly Available Specification Private Standard Company Codes of Practice L attività di normazione consiste nell elaborare - attraverso la partecipazione volontaria, la consensualità e procedure di trasparenza - documenti tecnici che, pur essendo di applicazione volontaria, forniscano riferimenti certi agli operatori e possano pertanto avere una chiara rilevanza. (dal sito www.uni.com) Attilio Rampazzo 5 Management Systems Attilio Rampazzo 6

Management System Approccio Processuale PDCA ereditato dalle ISO 9000 Implementare Progettare D Implementare P Progettare C Monitorare A Mantenere Miglioramento Continuo Monitorare Revisionare Mantenere Migliorare Modello di miglioramento continuo (PDCA): ciclo di Deming Attilio Rampazzo 7 William Edwars Deming Professore universitario di statistica, autore, consulente organizzativo Pioniere della Qualità, ed innovatore dei metodi di progettazione e produzione Introdusse numerosi metodi e concetti che migliorarono la produttività e la gestione aziendale Già negli anni 50 riconobbe la scarsa efficacia dei target numerici, e propose di sostituirli con una vera leadership In Giappone è molto più famoso che nei paesi occidentali È riconosciuto come il massimo contributore non giapponese allo sviluppo dell economia Ha posto le basi della straordinaria crescita di produttività che ha consentito al Giappone di diventare la seconda economia mondiale W. E. Deming (1900-1993) Attilio Rampazzo 8

Quality Management System ISO 9000 family Sect. EA 33 Information Tecnology Attilio Rampazzo 9 Quality Management System Il concetto di qualità è un concetto generale, ma applicabile a tutte le realtà umane, ciò che cambia è il metro di misurazione, dipendendo esso da due soggetti: chi fornisce il prodotto e chi lo commissiona e/o lo utilizza. La norma ISO 9001:2008 specifica i requisiti di un sistema di gestione per la qualità per un organizzazione che: a) ha l esigenza di dimostrare la propria capacità di fornire con regolarità un prodotto che soddisfi i requisiti del cliente e quelli cogenti applicabili; b) desidera accrescere la soddisfazione del cliente tramite l applicazione efficace del sistema, compresi i processi per migliorare in continuo il sistema ed assicurare la conformità ai requisiti del cliente ed a quelli cogenti applicabili. Tutti i requisiti sono di carattere generale e previsti per essere applicabili a tutte le organizzazioni, indipendentemente da tipo, dimensione e prodotto fornito. La qualità del prodotto software sta diventando un fattore chiave nel mercato dell Information Comunication Technology. La qualità del prodotto software può essere importante anche in aziende di altri settori, che spesso non possiedono il know-how necessario, nel momento in cui si acquisiscono prodotti personalizzati. La ISO 9001 è un insieme di requisiti generalizzati applicabili a tutti i settori. Per adattarla al settore ICT è bene conoscere una serie di norme frutto del Attilio Rampazzo 10 comitato ISO JTC 1/SC 7

Quality Management System EA 33 Information Tecnology Quality Management approach ISO/IEC 15288 System Engineering Processes ISO 9004:2009 ISO 9001:2008 Software Life Cycle Processes Quality System Requirements ISO/IEC 90003 ISO/IEC 12207 ISO/IEC 15504 Guidelines for the application of ISO 9001 to computer software Process Assessment ISO/IEC 9126 ISO/IEC 14598 ISO/IEC 15939 Software Product Quality Software Product Evaluation Software Process Measurement Attilio Rampazzo 11 Ciclo PDCA secondo ISO 9001:2008 Modello di un sistema di gestione per la qualità basato sui processi Attilio Rampazzo 12

Ciclo PDCA secondo ISO 9004:2009 nella convinzione che con la Qualità, se fatta bene, SI PUÒ OTTENERE UN SUCCESSO DURATURO! Modello esteso di un sistema di gestione per la qualità basato sui processi Attilio Rampazzo 13 Distribuzione delle certificazioni ISO 9001 EA33 (IT) per regione Fonte Accredia 700 600 500 400 300 200 100 0 Abruzzo Basilicata Calabria Campania Emilia Romagna Friuli Vnezia Giulia Lazio Liguria Lombardia Marche Molise Piemonte Puglia Sardegna Sicilia Toscana Trentino Alto Adige Umbria Valle d'aosta Veneto Il numero dei certificati ISO 9001 emessi in Italia al 31/10/2009 è 2700 Attilio Rampazzo 14

Information Security Management System ISO/IEC 27000 family Attilio Rampazzo 15 Che cos è la Sicurezza delle Informazioni? Conservazione di: Le informazioni sono rese disponibili solamente agli utenti ed ai processi autorizzati Riservatezza Informazione Integrità Viene preservata l accuratezza e la completezza delle informazioni Disponibilità paradigma R.I.D. Le informazioni sono rese disponibili e utilizzabili nel momento in cui sono richieste dagli utenti e dai processi autorizzati Attilio Rampazzo 16

ISO/IEC 27000 family Requisiti Linee Guida Linee Guida di Settore 27001:2005 ISMS requirements 27000:2009 ISMS Overview and vocabulary 27010 1stWD ISMS interworking and communications ISO 27799:2008 ISMS guidelines for Health 27006:2007 Requirements for audit and certification bodies 27002:2005 Code of practice for ISM 27011:2008 ISMS guidelines for telecommunications 27003 FDIS ISMS implementation guidance 27013 NWI IS 20000 and ISO 27001 LEGENDA: in celeste le norme in vigore. Ciclo di vita degli standard ISO: FDIS (Final Draft International Standard) - Testo finale pronto per la pubblicazione DIS (Draft International Standard) - Versione semi-definitiva del testo FCD (Final Committee Draft) - Testo consolidato pronto a passare a DIS, numerato a seconda della versione CD (Committee Draft) - Testo consolidato, numerato a seconda della versione WD (Working Draft) - Testo allo stato iniziale, numerato a seconda della versione NWI (New Working Item) Proposta iniziale per un nuovo standard 27004:2009 ISMS Measurements 27005:2008 Information Security Risk Management 27007 1stCD ISMS auditing guidelines 27014 1stWD Security Governance 27015 NWI Financial/insurance services 27031 1stCD ICT Business Continuity 27008 2ndWD Guidance for auditors on ISMS controls Attilio Rampazzo 17 ISO/IEC 27001:2005 Lo Standard per certificare la Sicurezza Informatica ISO/IEC 27001:2005 Information Security Management Systems Requirements rappresenta la norma di riferimento con i requisiti per un Sistema di Gestione della Sicurezza delle Informazioni La norma ISO/IEC 27001 e uno standard certificabile e auditabile, mentre tutte le altre norme della ISO 27000 family sono dei consigli, dei requisiti, delle guide di supporto alla ISO/IEC 27001 quindi non sono oggetto di certificazione ma vanno utilizzate per implementare un Sistema di Gestione della Sicurezza delle Informazioni Attilio Rampazzo 18

UNI CEI ISO/IEC 27001:2006 La norma è disponibile anche in lingua Italiana UNI CEI ISO/IEC 27001:2006 Tecnologia delle informazioni -Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti La traduzione è iniziata ad inizio 2006, dal gdl UNINFO Sicurezza delle Informazioni che ha avuto l approvazione da UNI, del testo proposto, in autunno 2007 Attilio Rampazzo 19 Il ciclo PDCA della ISO/IEC 27001:2005 Modello di un sistema di gestione per la Sicurezza delle Informazioni basato sui processi Attilio Rampazzo 20

ISO/IEC 27002:2005 Una manuale pratico per la Gestione della Sicurezza Informatica ISO/IEC 27002:2005 Code of Practice for Information Security Management è un framework per implementare contromisure di tipo: organizzativo tecnico fisico Attilio Rampazzo 21 ISO/IEC 27002:2005 Le contromisure sono organizzate in tre livelli gerarchici di dettaglio Aree (11) Obiettivi di controllo (39) Controlli (133) Non sono contromisure obbligatorie, ma devono essere scelte in base ad una analisi dei rischi Non è una lista esaustiva, può essere modificata/implementata Attilio Rampazzo 22

ISO/IEC 27002:2005 REQUISITI UNI CEI ISO/IEC 27001:06 Organizzazione A.5 Politica per la sicurezza BEST PRACTICES ISO/IEC 27002:05 A.8 Sicurezza delle risorse umane A.12 Acquisizione, sviluppo e manutenzione dei sistemi A.6 Organizzazione della Sicurezza A.7 Gestione dei beni A.15 Conformità A.13 Gestione Incidenti di Sicurezza A.11 Controllo degli accessi A.9 Sicurezza fisica e ambientale A.14 Gestione della continuità operativa A.10 Gestione delle comunicazioni e dell operatività ISO /IEC 12207 Software life cycle processes ITIL/ISO 20000 ISO/IEC 24762 BS 25999 BS 25777 Operatività Attilio Rampazzo 23 Evoluzione dei certificati ISO 27001 emessi a livello internazionale (fonte www.iso27001certificates.com) Il numero totale dei certificati ISO/IEC 27001 al 31/12/2009 è 6037 Attilio Rampazzo 24

Distribuzione delle certificazioni ISO/IEC 27001 per regione Fonte Accredia 60 50 40 30 20 10 0 Abruzzo Basilicata Calabria Campania Emilia Romagna Friuli Vnezia Giulia Lazio Liguria Lombardia Marche Molise Piemonte Puglia Sardegna Sicilia Toscana Trentino Alto Adige Umbria Valle d'aosta Veneto Il numero dei certificati ISO/IEC 27001 emessi in Italia al 31/10/2009 è 258 Attilio Rampazzo 25 IT Service Management System ISO 20000 family Attilio Rampazzo 26

IT Service Management Di cosa stiamo parlando? IT Service Management A che cosa si riferiscono le persone quando parlano di IT Service Management? Persone differenti utilizzano il termine in contesti differenti. Alcuni lo utilizzano per riferirsi specificamente ad attività IT non riferibili direttamente allo sviluppo software, altre agli standard di riferimento,altri solo ad aspetti relativi al Service Delivery e Service Support. In realtà, il Service Management dovrebbe riferirsi ad ogni aspetto della gestione della fornitura dei servizi IT e, pertanto, dovrebbe includere tutti i processi che lo compongono e non solo alcuni di essi. Attilio Rampazzo 27 La norma ISO/IEC 20000-1 E la specifica formale, contiene una lista di controlli a cui una organizzazione deve ( shall/must ) essere aderente per fornire dei servizi di gestione ad una qualità accettabile per i suoi clienti e potersi certificare Part 1: Specification for Service Management È costituita dalle seguenti sezioni: Ambito Termini & definizioni Pianificare ed implementare la gestione dei servizi Requisiti per un sistema di gestione Pianificare ed implementare servizi nuovi o modificati Service Delivery Process Relationship Processes Control Processes Resolution Processes Release Process. Attilio Rampazzo 28

La norma ISO/IEC 20000 Descrive le best practice per i processi di gestione dei servizi IT presentati nell ISO 20000-1 Part 2: Code of practice for service management Contiene linee guida e suggerimenti che dovrebbero ( should ) essere messi in pratica dalle organizzazioni e risulta particolarmente utile a quelle organizzazioni che desiderano prepararsi per essere certificate ISO 20000 o pianificano miglioramenti del servizio. Comprende le medesime sezioni della 'parte 1' ad eccezione dei requisiti per un sistema di gestione in quanto nessun requisito viene imposto dalla 'parte 2'. Attilio Rampazzo 29 La norma ISO/IEC 20000 Macro-processo basato sul ciclo PDCA, da applicare anche ad ogni singolo processo (definito nel cap. 4) Requisiti del business GESTIONE DEL SERVIZIO Risultati del business Requisiti del Cliente Responsabilità della Direzione Soddisfazione del Cliente Richiesta di servizi nuovi o modificati Altri processi: es. di business, fornitori, clienti Service Desk Altri gruppi: es. Sicurezza, IT Operations DO Implementazione del Service Management PLAN Pianificazione del Service Management CHECK Monitoring, Misura e Riesame ACT Miglioramento Continuo Servizi nuovi o modificati Altri processi: es. di business, fornitori, clienti Soddisfazione del personale e dei gruppi ISO/IEC 20000-1: Modello del SGSM Attilio Rampazzo 30

La norma ISO/IEC 20000-1:2005: Requisiti del SGSM Cap. 3: REQUISITI DEL SISTEMA DI GESTIONE L alta direzione e gli owner dei processi del service management si devono incontrare per definire piani e strategie Il contributo degli owner dei processi del service management deve pervadere tutti gli aspetti del business Cap. 4: PIANIFICAZIONE E REALIZZAZIONE DEL SERVICE MANAGEMENT Per tutti i processi del service management deve essere applicata la metodologia PDCA La rappresentazione del business deve tener conto del miglioramento continuo I piani di miglioramento del servizio devono essere allineati con le esigenze del business Cap. 5: PIANIFICAZIONE E REALIZZAZIONE DI SERVIZI NUOVI O MODIFICATI Le esigenze del business (possibili e probabili) devono essere considerate a fianco di quelle già definite I criteri di accettazione devono essere definiti tenendo conto dei requisiti del business Attilio Rampazzo 31 La norma ISO/IEC 20000-1:2005: I Processi del SGSM Capp. 6, 7, 8, 9 e 10: I PROCESSI DEL SERVICE MANAGEMENT Processi di erogazione del servizio Gestione delle potenzialità del servizio Gestione della continuità e della disponibilità del servizio Processi di fornitura Gestione della fornitura del servizio Gestione dei livelli del servizio (SLA) Reporting sui livelli del servizio Processi di controllo Gestione della Configurazione Gestione delle modifiche Processi di ripristino Gestione degli incidenti Gestione dei problemi Gestione della sicurezza delle informazioni Gestione economico finanziaria del servizio Processi di comunicazione Gestione delle relazioni con il business Gestione dei fornitori Attilio Rampazzo 32

Relazione con altri standard Relazione con ITIL La ISO/IEC 20000-1 contiene i requisiti minimi da soddisfare per ottenere la certificazione La ISO/IEC 20000-2 è una sintesi di best practice, linee guida, raccomandazioni per la applicazione della parte 1 ITIL è una guida dettagliata di best practice utilizzabili per implementare un sistema di gestione dei servizi IT conforme alla 20000-1 L implementazione è attuata sviluppando e adottando politiche, processi e procedure basate su ITIL in conformità alla ISO/IEC 20000-1 Attilio Rampazzo 33 Relazione con altri standard Relazione con ITIL ISO/IEC 20000 ricopre tutti i processi fondamentali di ITIL. Il contenuto dello standard è tale comunque da poter supportare altri framework ed approcci simili (es. MOF- Microsoft Operational Framework, HP-ITSM reference model della hewlett packard, IT Process Model della IBM ) Attilio Rampazzo 34

Relazione con altri standard ITIL e ISO/IEC 20000: funzionano insieme? ITIL e ISO/IEC 20000 non sono intercambiabili, ma dovrebbero essere utilizzati insieme. Perseguono, infatti, obiettivi diversi: ITIL definisce un insieme di best practices che, se adottate, aiutano un organizzazione a raggiungere, per il service management, il livello qualitativo richiesto dalla ISO/IEC 20000. ISO/IEC 20000 definisce uno standard a cui devono adeguarsi i processi per il service management e fornisce una evidenza oggettiva che le best practices sono state realmente adottate. Attilio Rampazzo 35 Relazione con altri standard Relazione con altri standard UNI EN ISO 9001:2008 I collegamenti della ISO/IEC 20000-1 con i requisiti della 9001 sono molti e le organizzazioni che hanno implementato un sistema di gestione per la qualità basato sulla ISO 9001, con particolare attenzione ai servizi IT, potranno trovare molte analogie e potranno sfruttarne l impianto, in particolare quello documentale. ISO/IEC 27001:2005 Se l organizzazione ha un Sistema di Gestione della Sicurezza delle Informazioni certificato secondo la ISO/IEC 27001:2005, quanto decritto nella ISO/IEC 20000 sulla sicurezza, è già compreso: in altri termini si ha già la conformità ai requisiti sempreché gli scopi della certificazione coincidano. BS 25999-2:2007 Se l organizzazione ha un Sistema di Gestione della Continuità Operativa (Business Continuity) certificato secondo la BS 2599-2:2007, quanto decritto nella ISO/IEC 20000 su Service Continuity and Availability Management, è già compreso: in altri termini si ha già la conformità ai requisiti sempreché gli scopi della certificazione coincidano. Attilio Rampazzo 36

La serie ISO/IEC 20000 certificazioni nel mondo Japan China India UK South Korea Germany U.S.A. Taiwan Czech Republic Switzerland Austria Hong Kong Poland United Arab Emirates Brazil France 68 55 40 39 30 23 22 16 14 13 10 9 6 5 4 4 Italy Malaysia Australia Netherlands Spain Bulgaria Denmark Ireland Latvia Philippines Singapore Slovakia Thailand Botswana Colombia Finland 4 4 3 3 3 2 2 2 2 2 2 2 2 1 1 1 Kuwait 1 Liechtenstein 1 Qatar 1 Saudi Arabia 1 Sri Lanka 1 Sweden 1 Turkey 1 Totale certificazioni 401 Fonte: www.isoiec20000certification.com (agg. a al 30 novembre 2009) Attilio Rampazzo 37 La serie ISO/IEC 20000 certificazioni in ITALIA Aziende Italiane Certificate TSF Tele Sistemi Ferroviari SpA Eustema Spa Shared Service Center SRL Wiit Spa Al 31 ottobre 2009 (fonte Accredia) in Italia sono attive 2700 certificazioni ISO 9001 nel settore EA33 (Tecnologia dell Informazione) Attilio Rampazzo 38

Business Continuity Management System Attilio Rampazzo 39 Gestione della Continuità dei Servizi e del Business La Gestione della Continuità Operativa o Continuità dei Servizi meglio conosciuta come Business Continuity si trova a ricoprire ormai un ruolo importante nel mondo della Governance. La garanzia della continuità operativa e la capacità di rispondere in modo adeguato a situazioni di disastro sono due elementi vitali per le aziende. Il nostro secolo, appena iniziato, con nuove minacce (terrorismo, fenomeni naturali di elevato livello, epidemie, ) ha visto gli enti normatori predisporre una serie di norme e framework in aiuto a chi vuole approcciare l argomento in modo organico. Attilio Rampazzo 40

Minacce alla Continuità dei Servizi o del Business Fuoco Innondazioni Uragani Tsounami Terrorismo Pandemie Virus / Hacking Black Out Attilio Rampazzo 41 BS 25999 Business Continuity Management È ormai una consuetudine che le norme innovative arrivino dal British Standard Institute l'ente normatore inglese, e forse quello più vicino alle esigenze del mercato ed ai lavori dei centri di competenza (in questo caso il BCI - Business Continuity Institute) Attilio Rampazzo 42

BS 25999 Business Continuity Management BS 25999 Business continuity is strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptabe pre-defined level BS 25999 part 1 Code of Practice for Business Continuity Management Definisce i processi di BCM (Business Continuity Management), i principi e la terminologia (es. Incident Management Plan, Business Continuity Plan Stabilisce i criteri condivisi per disegnare, sviluppare e realizzare la continuità operativa nell ambito di un organizzazione, al di là delle dimensioni e del settore di appartenenza Fornisce una metodologia completa basata sulle best practices di BCM e sull intero ciclo di vita del BCM È basata sui processi di Business BS 25999 part 2 Specification Formalizza i requisiti (verificabili) per definire, realizzare, esercitare, monitorare/controllare, mantenere nel tempo e adattare un sistema documentato per la BC (Business Continuity Management System) nell ambito dei rischi in cui un organizzazione può incorrere Formalizza i requisiti per definire e implementare i controlli di continuità operativa adattati alle necessità di una singola organizzazione È auditabile, ossia prevede registrazioni, audit interni e audit di terze parti Attilio Rampazzo 43 BS 25999: BCMS Continuo miglioramento del Sistema di Gestione della Business Continuity Mettere in pratica, mantenere e revisionare Comprendere l Organizzazione Gestione della Continuità Operativa Sviluppare e implementare la Gestione della Business Continuity Determinare le strategie della Gestione della Business Continuity Parti interessate Requisiti e aspettative per la Business Continuity DO Attuare e condurre il BCMS PLAN Stabilire Il BCMS CHECK Monitorare e riesaminare il BCMS ACT Mantenere attivo, aggiornato e migliorare il BCMS Parti interessate Business Continuit y gestita Business Continuity gestita Con BUSINESS CONTINUITY MANAGEMENT si intende un complessivo processo di gestione che consente di identificare gli impatti potenziali che minacciano un organizzazione e definire un framework che garantisce una risposta efficace agli eventi avversi e una capacità di ripristino delle principali attività, in modo da garantire gli interessi dell organizzazione e dei suoi stakeholder, il brand dell organizzazione e la continua creazione di valore. Il Business Continuity Management System prende in input le necessità e le aspettative in termini di Business Continuity e, attraverso le necessarie azioni e processi, produce i Business Continuity outcome che soddisfano tali requisiti e aspettative. Anche il BCMS adotta il ciclo PDCA o ciclo di Deming come modello di riferimento per la descrizione dei processi e dei requisiti dello standard. Attilio Rampazzo 44

BS 25999 part 2 Specification I requisiti applicativi della BS 25999-2:2007 cap. 3 contiene la fase di pianificazione del BCMS (PLAN) cap. 4 contiene la fase di attuazione e funzionamento del BCMS (DO) cap. 5 contiene la fase di monitoraggio e riesame del BCMS (CHECK) cap. 6 contiene la fase del mantenimento e miglioramento del BCMS (ACT) PLAN DO CHECK ACT Pianificare il Sistema di Gestione della Business Continuity 3 Implementare e gestire il Sistema di Gestione della Business Continuity 4 Monitorare e revisionare il Sistema di Gestione della Business Continuity 5 Mantenere e migliorare il Sistema di Gestione della Business Continuity 6 PLAN Pianificare il BCMS DO Attuare/condurre il BCMS CHECK Monitorare e riesaminare il BCMS ACT Mantenere attivo, aggiornato e migliorare il BCMS Stabilire la politica di Business Continuity, gli obiettivi, i controlli, i processi e le procedure pertinenti per gestire i rischi e migliorare la Business Continuity al fine di produrre risultati conformi alle politiche e agli obiettivi generali dell organizzazione Attuare e rendere operativa la politica della Business Continuity, I controlli, I processi e le procedure Valutare e, ove applicabile, misurare le prestazioni a fronte della politica della Business Continuity, degli obiettivi e delle esperienze pratiche, quindi riportare i risultati alla direzione ai fini del riesame e del miglioramento Mantenere attivo, aggiornato e migliorato il BCMS intraprendendo azioni correttive e preventive, basate sui risultati delle verifiche/riesame e sulla rivalutazione del campo di applicazione, della politica e degli obiettivi del BCMS Attilio Rampazzo 45 Certificazioni Sistemi di Gestione della Business Continuity Le attuali certificazioni sono rilasciate da BSI sotto accreditamento UKAS Certificate 27 aziende (61 site) Fonte : The British Standard Institution a fine 2008 In Italia due sono le organizzazioni che, mettendo a frutto il lavoro svolto per aderire alle disposizioni della Banca d Italia, si sono certificate: ICCREA Istituto Centrale delle Banche di Credito Cooperativo (cert.ril. BSI) SIA-SSB fornitore di servizi e soluzioni di monetica alla comunità finanziaria (cert.ril. DNV) Attilio Rampazzo 46

BS 25777:2008 ICT Continuity Management A fine 2008 BSI ha pubblicato una nuova norma con consigli pratici per la continuità delle tecnologie dell'informazione e della comunicazione per organizzazioni sia pubbliche che private. La nuova proposta nasce dalla necessità di nuove specifiche di continuità per le organizzazioni con dipendenza dalle tecnologie dell'informazione e della comunicazione (ICT). La nuova BS 25777 mira a colmare la lacuna individuata da BSI e sostituirà la PAS 77, che è stata pubblicata nel 2006 per fornire un orientamento sulla continuità IT. Attilio Rampazzo 47 BS 25777:2008 ICT Continuity Management Mettere in pratica, mantenere e revisionare Comprendere l Organizzazione Gestione della Continuità Operativa Determinare le strategie della Gestione della Business Continuity Mettere in pratica, mantenere e revisionare Gestione della Continuità Operativa ICT Comprendere I requisiti dell ICT Continuity Relazione tra ICT Continuity Management e Business Continuity Management Sviluppare e implementare la Gestione della Business Continuity Sviluppare e implementare le risposte all ICT Continuity Determinare le strategie della ICT Continuity ICT Continuity management e le sue relazioni con il BCM La BCM cerca di assicurare che i processi dell organizzazione siano protetti da interruzioni accidentali e che l organizzazione sia in grado di rispondere in modo tempestivo ed efficace in caso di disastro. L ICT continuity management diventa significativa una volta determinate le priorità e i requisiti di business e assicura che l Information&Communication technology a supporto dei processi possa essere ripristinato in un arco temporale compatibile con le esigenze del business. In questo senso un BCM per essere efficace deve prevedere un ICT continuity management efficace. L efficacia di un BCM e di un ICT continuity management è tanto maggiore quanto più questi sono radicati nella cultura dell organizzazione. Attilio Rampazzo 48

Integrated Management Systems Attilio Rampazzo 49 Modello di sistema integrato BS PAS 99 La PAS 99:2006 è stata progettata per aiutare le organizzazioni nell'integrazione dei sistemi di gestione: l'obiettivo è applicare i requisiti comuni in modo più semplice ed efficace. La PAS 99 può aiutare tutte le organizzazioni a: concentrarsi sui processi centrali, avere un approccio finalizzato alla gestione del rischio, ridurre i conflitti e le inefficienze fra i vari sistemi, ridurre la burocrazia, eseguire audit interni ed esterni a maggior valore aggiunto. É indirizzata principalmente alle organizzazioni che hanno implementato almeno due sistemi di gestione, per esempio ISO 9001, ISO 14001, ISO/IEC 27001, ISO 22000, ISO/IEC 20000 and OHSAS 18001. Può essere utile anche per chi inizia un progetto per la conformità ad un nuovo standard oppure per applicare norme non formalizzate, come ad esempio i codici di contotta o associativi. PAS 99 definisce i requisiti che permettono l integrazione dei sistemi di gestione Il suo obiettivo è incoraggiare le organizzazioni che hanno implementato più di un sistema di gestione a considerarli un unico sistema di gestione in senso olistico per permettere loro di gestire le loro attività e I rischi correlati con più efficienza Prende in considerazione 6 requisiti comuni per l integrazione dei sistemi di gestione (ISO Guide 72) Si fonda sul modello del Plan, Do, Check, Act comune ai sistemi di gestione Analisi del rischio come base comune e punto di partenza Centralità dei processi Integrazione anche di altri eventuali obbiettivi che non hanno una norma di riferimento Attilio Rampazzo 50

Modello di sistema integrato ACT PLAN Management Review Improvement Management Systems Policy Planning CHECK Performance Assessment Implementation & Operation DO Attilio Rampazzo 51 Modello di sistema di gestione integrato Attilio Rampazzo 52

Modello di sistema di gestione integrato Sistemi di gestione separati Sistemi Integrati con registrazioni unificate 9001 9001 20000 14001 18001 20000 14001 18001 27001 27001 Attilio Rampazzo 53 Corporate Governance of Information Technology Attilio Rampazzo 54

ISO/IEC 38500:2008 L ISO 38500:2008 Corporate Governance of Information Technology non è un Sistema di Gestione ma una Linea Guida che introduce alla Governance dell IT. Anche se una Linea Guida è già stata positivamente presa in considerazione da molte organizzazioni per i suoi interessanti contenuti sul controllo dell IT. L ITGI (IT Governance Institute) e ISACA, due organizzazioni USA, hanno già dedicato alla norma uno studio particolareggiato dove vengono messi in primo piano alcuni framework da utilizzare per la sua applicazione. Attilio Rampazzo 55 ISO/IEC 38500:2008 L IT Governance è il sistema attraverso il quale viene diretto e controllato l IT all interno delle aziende. La struttura dell IT Governance specifica la distribuzione dei diritti e delle responsabilità fra i differenti attori, quali la direzione, il business ed i manager, e chiarisce le regole e le procedure per assumere delle decisioni relative all' Information Technolgy. In tal modo, viene anche fornita la struttura attraverso la quale sono definiti gli obiettivi IT, ed i mezzi per ottenerli e per monitorarne le prestazioni. L'ISO/IEC 38500:2008, è lo standard per la Corporate Governance dell Information Technology, il quale fornisce una struttura per un efficace controllo dell'it e contestualmente supportare le organizzazioni che utilizzano l'it nel risultare conformi ai requisiti legali, a specifiche regolamentazioni e aspetti etici. ISO / IEC 38500:2008, IT Governance Standard, noto nel suo formato draft come ISO 29382, è stato pubblicato nell aprile 2008. L'ISO/IEC 38500 è applicabile ad organizzazioni di qualsiasi dimensione, incluse le organizzazioni pubbliche o private, entità governative ed organizzazioni no profit. Questo standard fornisce i principi e le linee guida per indirizzare una organizzazione verso un efficace, efficiente ed accettabile utilizzo dell'information Technology (IT) all'interno delle loro organizzazioni. Attilio Rampazzo 56

ISO/IEC 38500:2008 Lo standard è organizzato in tre principali sezioni, e rispettivamente: Ambito, Framework Linee Guida E' implementato sui seguenti sei (6) principi di un buon governo aziendale dell'it: Responsabilità Strategia Acquisizione Performance Conformità Comportamento Attilio Rampazzo 57 ISO/IEC 38500:2008 Principio 1 - Responsabilità Il business (il cliente) e l IT (il fornitore) devono collaborare mediante l adozione di un modello di partnership che si basi su una comunicazione efficace, su una relazione di fiducia e su regole chiare in relazione alle responsabilità ed accountability (responsabilità) Principio 2 Strategia La pianificazione IT strategica è una attività complessa e critica che richiede uno stretto coordinamento sia all interno dell azienda tra le business unit, sia, nel caso di gruppi e multinazionali, tra le varie aziende Principio 3 - Acquisizione Esistono molteplici soluzioni IT per supportare i processi di business e quindi deve essere adottata una cura particolare nella fase di acquisizione delle soluzioni, dei progetti o dei servizi tecnologici Principio 4 - Esecuzione La misurazione efficace delle performance dipende dalla gestione di due aspetti chiave: la chiara definizione degli obiettivi di performance e lo stabilire metriche efficaci per monitorare il raggiungimento degli obiettivi Principio 5 Conformità Nel mercato odierno caratterizzato dalla globalizzazione e dall innovazione tecnologica sempre più spinta, mercato che si è sviluppato anche grazie ad Internet e all IT, le aziende devono essere conformi rispetto ad un numero sempre crescente di norme e requisiti Principio 6 Comportamento L implementazione di ogni cambiamento basato sull IT, inclusa l IT governance stessa, di solito richiede significativi cambiamenti culturali e di comportamento all interno dell azienda così come nei confronti dei clienti e dei business partner Attilio Rampazzo 58

ISO/IEC 38500:2008 ISO/IEC 38500 raccomanda che la direzione governi l IT per mezzo di tre task principali: Valutazione Direzione Monitoraggio L implementazione di un approccio efficace di IT governance è reso più facile ed efficace quando: Modello per la IT Corporate Governance è allineato con gli standard e le prassi accettate di corporate governance è allineato con l approccio aziendale alla governance copre tutti gli aspetti delle attività aziendali connessi all IT è basato su prìncipi ed obiettivi che possono essere compresi ed applicati da tutti gli stakeholder. Attilio Rampazzo 59 Q & A Grazie per l attenzione Attilio Rampazzo 60

sicev Auditor Sistemi di Sicurezza delle Informazioni RGVI Attilio Rampazzo Trentacinquennale esperienza ICT Esperto Sistemi Informativi Sistemi di Gestione della Sicurezza delle Informazioni e della Tutela dei dati Personali (Privacy) IT Service Management IT Governance Vice Presidente Comitato AICQ Qualità del Software e dei Servizi IT Consigliere AICQ Triveneta Socio AIPSI, AIEA, BC Manager, ANIP LoCSI Localizzazione Competenze Sicurezza Informatica ITIL v.3 foundation ISMS Auditor ISO/IEC 20000 Auditor IT & Info Security Senior Consultant attilio@rampazzo.net Attilio Rampazzo 61