COBIT ed oltre

COBIT 5 2013... ed oltre Sessione di Studio 15 novembre 2013 Milano Alberto Piamonte Research Director AIEA MI

Argomenti della Sessione Manuali disponibili ad oggi COBIT5 esperienze pratiche Come «raccontarlo» Come usarlo Riconoscimenti Formazione Gruppi di Ricerca Q&A 2

A che punto siamo con le pubblicazioni? 14/11/2013 3 3

Framework Implementation Guide Enabling Processes 14/11/2013 4 4

Information Security 14/11/2013 5 5

Assessment (1) Process Assessment Assessor Guide Self Assessment Guide 1 Gli stessi manuali sono disponibili (4 ottobre 2011) anche per CobiT 4.1 versione «ISO 15504-2» 14/11/2013 6 6

Information Security 14/11/2013 7 7

Information Security 25 settembre 2013 14/11/2013 8 8

13 novembre 2013 14/11/2013 9 9

14/11/2013 10 10

COBIT5 Product Family 11

Pubblicazioni COBIT5 (15/11/2013) Documento COBIT 5 Framework 94 Pagg Soci AIEA non soci COBIT 5 Enabling Processes 230 $135,00 COBIT 5 Implementation + tool kit 78 $150,00 COBIT 5 for Information Security 220 $35,00 $175,00 COBIT 5 for Assurance 318 $35,00 $175,00 COBIT 5 for Risk 216 $35,00 $175,00 COBIT Assessment Programme COBIT Process Assessment Model (PAM): Using COBIT 5 144 $40,00 COBIT Assessor Guide: Using COBIT 5 52 $30,00 $80,00 COBIT Self-Assessment Guide: Using COBIT 5 + tool kit 24 $40,00 COBIT 5: Enabling Information 90 $135,00 COBIT Translations (?) COBIT 5 Online (4 Q 2013 / 2014) Vendor Management Using COBIT 5 Configuration Management Using COBIT 5 88 $55,00 Transforming Cybersecurity Using COBIT 5 190 $35,00 $60,00 Securing Mobile Devices Using COBIT 5 for Information Security 138 $75,00 Security Considerations for Cloud Computing 80 $75,00 (Appendix C. Mapping Threats and Mitigating Actions to COBIT 5 for Information Security) Security-Considerations-Cloud-Computing-Tool-Kit Advanced Persistent Threats: How To Manage The Risk To Your Business 132 $35,00 2094 $170,00 $1.405,00 14/11/2013 12 12

Chi riconosce COBIT5? Regulatory and Legislative Recognition USA, Canada, India, Giappone, Brasile, Argentina, Australia, UAE - Dubai, Colombia, Costa Rica, Mexico, Paraguay, Uruguay, Venezuela, Grecia, Lithuania, Romania, EU riconosce il COBIT come Framework Turchia Sud Africa Russia??? PRC??? 13

Raccontare COBIT5 14

Governance : Risk Based Approach Perché Interventi Quando Attori Benefici Evitare Rischi Gestione ottimale Risorse Dove operare Processi Principi Policies Frameworks Sistemi Persone Organizzazione Informazioni disponibili Cultura / etica Come operare Pratiche / Attività Base Consolidate e universalmente accettate Riferimento ai principali Standard Priorità in funzione obiettivi di business Governo Pianificazione Organizzazione Impostazione Definizione Soluzioni IT Erogazione Servizi Supporto..... In modo strutturato e connesso..... Misura e Controllo CDA Business IT / IS Controllo COBIT5 «UNIVERSAL» Framework 15

Frameworks NIST Cybersecurity Framework The Framework Core is not a checklist of activities to perform; it presents key cybersecurity outcomes that are aligned with activities known to manage cybersecurity risk. These activities are mapped to a subset of commonly used standards and guidelines. BI : DISPOSIZIONI PRELIMINARI E PRINCIPI GENERALI 1. Premessa Il sistema dei controlli interni è un elemento fondamentale del complessivo sistema di governo delle banche; esso assicura che l attività aziendale sia in linea con le strategie e le politiche aziendali... La presente disciplina:... rappresenta la cornice generale del sistema dei controlli aziendali Chech-box mentatlity Tactical & reactive Achieve point-in-time Compliance Certification Compliance Driven Approach Risk-Based Approach Proactive & Holistic Continous Monitoring Proactive mentality 16

Governance Si studia Strumenti Principi Enablers Goals Align Misura Si adatta Si applica COBIT5 «UNIVERSAL» Framework Info Security Risk Assurance Vendor Mgmt Privacy EU... Problem specific Framework based on COBIT5 Guide Security Assessment Assurance Risk... Guida Implementazione 17

COBIT 5 Due esempi di utilizzo 18

Esempio 1 Proposta Nuovo Regolamento Europeo Protezione Dati Personali SECTION 3 RECTIFICATION AND ERASURE Article 16 Right to rectification The data subject shall have the right to obtain from the controller the rectification of personal data relating to them which are inaccurate. The data subject shall have the right to obtain completion of incomplete personal data, including by way of supplementing a corrective statement. È una: «Service request» che richiede una «Service capability», come? Area : Management - Domain : Deliver, Service and Support DSS02 - Manage Service Requests and Incidents Process Description Provide timely and effective response to user requests and resolution of all types of incidents. Restore normal service; record and fulfill user requests; and record, investigate, diagnose, escalate and resolve incidents. Valore aggiunto COBIT5 19

DSS02 - Management Practices DSS02.01 - Define incident and service request classification schemes. DSS02.02 - Record, classify and prioritise requests and incidents. DSS02.03 - Verify, approve and fulfil service requests. DSS02.04 - Investigate, diagnose and allocate incidents. DSS02.05 - Resolve and recover from incidents. DSS02.06 - Close service requests and incidents. DSS02.07 - Track status and produce reports. Description Define incident and service request classification schemes and models. Identify, record and classify service requests and incidents, and assign a priority according to business criticality and service agreements. Select the appropriate request procedures and verify that the service requests fulfil defined request criteria. Obtain approval, if required, and fulfil the requests. Identify and record incident symptoms, determine possible causes, and allocate for resolution. Document, apply and test the identified solutions or workarounds and perform recovery actions to restore the IT-related service. Verify satisfactory incident resolution and/or request fulfilment, and close. Regularly track, analyse and report incident and request fulfilment trends to provide information for continual improvement. + RACI 20

... activities DSS02.01 - Define service request classification schemes (Output) To Description Internal Internal Incident and service request classification schemes and models Rules for incident escalation DSS02.01 - Activities 1. Define incident and service request classification and prioritisation schemes and criteria for problem registration, to ensure consistent approaches for handling, informing users about and conducting trend analysis. 2. Define incident models for known errors to enable efficient and effective resolution. 3. Define service request models according to service request type to enable self-help and efficient service for standard requests. 4. Define incident escalation rules and procedures, especially for major incidents and security incidents. 5. Define incident and request knowledge sources and their use. 1. Define and communicate the nature and characteristics of potential security-related incidents so they can be easily recognised and their impact understood to enable a commensurate response. 21

Solo per un articolo? Service Capabilities / Requests Art EU Cancellazione automatica dati scaduti ( Art. 17) Article 17 - Right to be forgotten and to erasure - 7 Ci sono molte «istanze» per le quali è richiesta Article 17 la - Right capacità to be forgotten di erogare and to un erasure servizio o gestire un incidente (DSS02) Cancellazione dati su richiesta Communicate rect / erasure Artt 16 and 17 Comunicazione relativa applicazione o meno Art 13, 15, 19 Confirmation Data are (are not) processed Article 13 - Rights in relation to recipients Article 12 - Procedures and mechanisms for exercising the rights of the data subject - 2 Article 12 - Procedures and mechanisms for exercising the rights of the data subject - 3 Article 15 - Right of access for the data subject Consent withdraw Article 7 - Conditions for consent - 3 Data Breach notification to Data Subject Article 32 - Communication of a personal data breach to the data subject Data breach notification to Supervisory Authority Article 31 - Notification of a personal data breach to the supervisory authority Inform third parties that Personal Data are to be erased Privacy Awareness Article 17 - Right to be forgotten and to erasure Article 37 - Tasks of the data protection officer - 1 - (b) Restrict processing instead of erasure Article 17 - Right to be forgotten and to erasure - 4 Rettifica dati Richiesta via informatica informazioni da parte interessato (Art 12) Trasmit Copy of Data undergoing processing. Article 16 - Right to rectification Article 12 - Procedures and mechanisms for exercising the rights of the data subject - 1 Article 18 - Right to data portability. 22

Per le Aziende di qualsiasi dimensione? Dimensione Piccola Si domanda al «Commecialista» Media COBIT5 DSS02 Grande COBIT5 DSS02 + + ISO 15504 Capability Assessment 23

24

Uno schema : life cycle! Setup Contratto Operations Transition-out Requisiti Call for tender Valutazione Shortlist Negoziazione Accordo Deliverables Livelli di Servizio Metriche Costi Legale Avviamento Gestione operazioni Monitoring Phase out operativo Trasferimento delle conoscenze e della gestione operativa al nuovo fornitore Cambio Fornitore Cambio contratto modifiche Lo schema è utilizzabile per : Assegnare responsabilità Identificare minacce e valutare impatti associandole a relative azioni correttive Mappare il Processo sulla realtà aziendale Identificare Strumenti / Documenti di supporto (Enablers Information!) 25

Assegnare le responsabilità 26

Identificare minacce e pesare i rischi conseguenti Recent research reveals that approximately one out of five enterprises (19 percent) does not invest sufficient effort to manage vendors and vendor-provided services effectively. T1 Vendor selection Minaccia Rischio conseguente Impatto Financial, operational, reputational and legal/compliance T2 Contract development Financial, operational and legal/compliance? T3 Requirements Financial, operational, reputational and legal/compliance T4 Governance Financial, operational and legal/compliance? T5 Strategy Financial, operational and legal/compliance??? 27

Per ogni minaccia Una o più azioni correttive Una indicazione agli enablers (1) coinvolti 1 - Enablers: 1. Principles, policies and frameworks 2. Processes 3. Organizational structures 4. Culture, ethics and behaviour 5. Information 6. Services, infrastructure and applications 7. People, skills and competencies 28

Identificare minacce e valutare impatti associandole a relative azioni correttive Azione correttiva Minaccia T1 T2 T3 T4 T5 1 Diversify sourcing strategy to avoid overreliance or vendor lockin x 2 Establish policies and procedures for vendor management x 3 Establish a vendor management governance model x 4 Set up a vendor management organization within the enterprise x 5 Foresee requirements regarding the skills and competencies of the vendor employees x 6 Use standard documents and templates x 7 Formulate clear requirements x 8 Perform adequate vendor selection x 9 Cover all relevant life-cycle events during contract drafting x 10 Determine the adequate security and controls needed during the relationship x x 11 Set up SLAs x 12 Set up operating level agreements (OLAs) and underpinning contracts x 13 Set up appropriate vendor performance/service level monitoring and reporting x x 14 Establish a penalties and reward model with the vendor x 15 Conduct adequate vendor relationship management during the life cycle x 16 Review contracts and SLAs on a periodic basis x 17 Conduct vendor risk management x 18 Perform an evaluation of compliance with enterprise policies x 19 Perform an evaluation of vendor internal controls x 20 Plan and manage the end of the relationship x x 21 Use a vendor management system x x x x 22 Create data and hardware disposal stipulations x x 29

excel

COBIT5 «Vendor Management Framework» 31

Olistico!!! Risk- Based approach? Cosa manca?

E gli altri enablers? 21 11 3 4 5 4 1 Process Principles, Policies and Frameworks Information Services, Infrastructure and Applications Organisational Structures Ethics, Culture and Behaviour People, Skills and Competencies

Enabler Information Call for Tender Vendor Contract Service Level Agreements SLAs Defined How to Create Successful SLAs SLA Common Pitfalls Benefits of Effective Service Level Management OLAs and Underpinning Contracts Managing a Cloud Service Provider Excerpt From Security Considerations for Cloud Computing Appendix A. Vendor Selection Dashboard Criteri (pesati) di selezione Appendix B. Call for Tender Template Appendix C. Call for Tender Checklist Appendix D. Drafting the Contract: High-level Legal Checklist for Nonlegal Stakeholders Appendix E. Example Contract Template Appendix F. SLA Template Appendix G. Service Level Agreement (SLA) Checklist Appendix H. Example SLA Template Appendix I. Example Generic SLA Appendix J. Example SLA Slim Version Appendix K. Example SLA for Back Office and Local Area Network (LAN) Services Appendix L. High-level Mapping of COBIT 5 and ITIL V3 for Vendor Management 34

Assurance Framework

Risk Framework 14/11/2013 36

FORMAZIONE & COBIT5 Paola Galasso, Education Commitee Coordinator Simona Costa, Education Committee Member COBIT5, ITIL and ISO Training Sessione di Studio

La Formazione AIEA in ambito COBIT5: gli obiettivi AIEA ha scelto di investire in modo significativo sulla formazione del nuovo framework COBIT, in qualità di strumento di innovazione, in grado di affrontare con flessibilità le sfide ed i mutamenti di un mondo in rapido mutamento ed obbligato ad innovare. La formazione COBIT5 è stata portata su diversi livelli e verso diversi target, con diversi obiettivi e target da raggiungere: Formazione di nuovi specialisti Aggiornamento dei professionisti già specializzati Creare consapevolezza delle potenzialità in azienda al middle and top management Divulgazione verso tutti gli attori, inclusi coloro che scrivono o ispirano le normative Personalizzazione sulle specifiche realtà aziendali 39

La Formazione AIEA in ambito COBIT5: i percorsi Pertanto AIEA offre eventi formativi con contenuti, format e docenti differenziati sulla base degli obiettivi dichiarati, tra cui: La giornata di approfondimento dal titolo «Governance e Management IT nelle banche, nelle aziende e nelle pubbliche amministrazioni: il modello COBIT5 di ISACA» che ha rappresentato il primo appuntamento del ciclo di corsi frutto della partnership tra AIEA ed Academy Borsa Italiana, il centro di formazione del London Stock Exchange Group. Verrà riproposto semestralmente. Corsi di certificazione: Certificazione Cobit Foundation, Certificazione Cobit Assessor, Certificazione Cobit Implementation Corsi di Base Corsi Avanzati su tematiche specialistiche: COBIT 5 Vendor Manament, COBIT for Risk, COBIT for Security & Privacy, COBIT5 Assurance Corsi di Aggiornamento per professionisti già specializzati Corsi personalizzati su misura delle esigenze: TRAINING ON-SITE Incontri formativi per Enti Pubblici e Regolatori 40

La Formazione AIEA in ambito COBIT5: gli eventi formativi 41

La Formazione AIEA in ambito COBIT5: calendario 2014 Per il nuovo anno sono in fase di definizione tutte le tipologie di evento formativo, sia sulla sede di Milano che sulla sede di Roma e presso aziende ed Enti che ce li stano richiedendo ad hoc Paola Galasso Responsabile per la Formazione AIEA Education Commitee Coordinator Milan ISACA Chapter Mob. +39 335 7350588 Skype paola.galasso69 paola.galasso@aiea.it galasso69@gmail.com pgalasso@deloitte.it Simona Costa Education Commitee AIEA Organizzazione corsi COBIT5 e ITIL Milan ISACA Chapter Mail: simona.costa@education.aiea.it Mob. +39 347 1417697 Skype simona.costa 4 2

Gruppi di Ricerca Risk Management COBIT5 Framework per : BI - Nuove disposizioni di vigilanza prudenziale per le banche Nuovo regolamento EU Protezione dei Dati Personali Sistema di Controlli Interni a presidio del Rischio Riciclaggio Outsourcing 43

QUESTIONS & COMMENTS 2013 ISACA. All rights reserved