Post on 14-Jul-2020
1COBIT5® per pianificare ed implementare
SdS Milano, 20 giugno 2014
Un approccio metodologico originale basato su COBIT5 per l’adeguamento ai requisiti normativi
15° aggiornamento Circ. n. 263 Bankit:
COBIT5 per pianificare ed implementareF. Bulgarelli, V. Iuvara, A. Piamonte
Sessione di Studio - Milano, 20 giugno 2014
2COBIT5® per pianificare ed implementare
SdS Milano, 20 giugno 2014
Il 2 luglio 2013 Banca d’Italia ha emanato in via definitiva il 15 °aggiornamento della Circolare n.263 del 26 dicembre 2006 “Nuove disposizioni di vigilanza prudenziale per le banche” in materia dicontrolli interni, sistema informativo e continuità operativa delle banche e dei gruppi bancari.
Il Framework COBIT5 di ISACA ha le caratteristiche che ne suggeriscono l’utilizzo sia per pianificare che per implementare le attività legate alle nuove disposizioni
3COBIT5® per pianificare ed implementare SdS Milano, 20 giugno 2014
AIEA,
l’Associazione
Italiana
Information
System
Auditors
Per i Soci :
• Partecipazione gratuita alle Sessioni di Studio. • Accessibili, in diretta o on-demand, via internet
• Convegno annuale.• Formazione
• Certificazioni CISA CISM CGEIT CRISC• COBIT5• Professionale
• Gruppi di ricerca• Banca d’Italia circ. 263 • Risk Management• Nuovo Regolamento Privacy EU• ………..• Pubblica Amministrazione CAD
• Rivista Internet• Pubblicazione online con blog e approfondimenti
• Partecipazione agevolata a eventi di interesse generale• AIEA patrocina numerosi eventi ottenendo condizioni di
favore per la partecipazione dei Soci
4COBIT5® per pianificare ed implementare SdS Milano, 20 giugno 2014
• Governare l’ITo Frameworks
o Costruiamo il Framework di Governance
o COBIT 5 Framework
o COBIT 5 Implementation
• La normativa BANKIT di Vigilanza Prudenziale (15° aggiornamento) e la Governance dell’IT
• Applicazione del metodoo Passo 1: rappresentazione dei requisiti normativi in forma
strutturata
o Passo 2: individuazione degli Enabler COBIT 5 rilevanti
o Passo 3: mappatura dell’Enabler Processi
o Passo 4: pesatura dei Processi / Key practice / Attività mappati
o Passo 5: aggregazione dei dati e rappresentazioni di sintesi
• Considerazioni Finali
Agenda
5COBIT5® per pianificare ed implementare SdS Milano, 20 giugno 2014
Governare l’IT � Significa ricercare soluzioni che abbiano un giusto equilibrio tra benefici e rischi, con una corretta gestione delle risorse
� Richiede quindi visione «end-to-end» e rinnovata capacità
di comunicare e di cooperare all’interno delle Aziende e
Pubbliche Amministrazioni
� Oggi sono disponibili Modelli – Framework e Buone
Pratiche (Good Practices) che affrontano la tematica in
modo innovativo
COBIT 5®
6COBIT5® per pianificare ed implementare SdS Milano, 20 giugno 2014
Di cosa c’è
bisogno ?
• L’esperienza insegna che ci vuole una visione globale nella quale l’Azienda veda nell’IT una
componente integrante del modo di fare business
( non più una componente separata con regole
specifiche e scollegate dai reali obiettivi
aziendali)
• Business ed IT devono condividere obiettivi, collaborare dividendosi i ruoli di Governo e
Gestione
Quindi :
• Sono necessari strumenti / schemi / frameworksche consentano, in generale, di capire :
– Chi / cosa / come / quando è coinvolto– Relazioni di causa -> effetto
in una visione possibilmente globale e condivisa
A classic example is the notion of utopia as described in Plato's (428-348 b.C.)
best-known work, The Republic. This means that the "ideal city" as depicted
in The Republic is not given as something to be pursued, or to present an
orientation-point for development; rather, it shows how things would have to
be connected, and how one thing would lead to another, if one would opt for
certain principles and carry them through rigorously.
7
Frameworks
NIST Cybersecurity Framework
… the Framework Core is not a checklist of activities to
perform; it presents key cybersecurity outcomes that are
aligned with activities known to manage cybersecurity
risk. These activities are mapped to a subset of commonly
used standards and guidelines.
BI 263: DISPOSIZIONI PRELIMINARI E PRINCIPI GENERALI
1. Premessa
Il sistema dei controlli interni è un elemento fondamentale
del complessivo sistema di governo delle banche; esso
assicura che l’attività aziendale sia in linea con le strategie
e le politiche aziendali ...................
La presente disciplina:
....... rappresenta la cornice generale del sistema dei
controlli aziendali• Chech-box mentatlity
• Tactical & reactive
• Achieve point-in-time ComplianceCertification
• Chech-box mentatlity
• Tactical & reactive
• Achieve point-in-time ComplianceCertification
Compliance DrivenApproach
• Proactive & Holistic
• Continous Monitoring
• Proactive mentality
• Proactive & Holistic
• Continous Monitoring
• Proactive mentality
Risk-BasedApproach
8COBIT5® per pianificare ed implementare SdS Milano , 20 giugno 2014
Costruiamo il Framework di
Governance
9COBIT5® per pianificare ed implementare SdS Milano , 20 giugno 2014
COBIT5® «UNIVERSAL» Framework
Perché
BeneficiBenefici
Evitare RischiEvitare Rischi
Gestione ottimale Risorse
Gestione ottimale Risorse
Interventi
Dove operare
• Processi /Pratiche / Attività
• Principi – Policies –Frameworks
• Sistemi
• Persone
• Organizzazione
• Informazioni disponibili
• Cultura / etica
Dove operare
• Processi /Pratiche / Attività
• Principi – Policies –Frameworks
• Sistemi
• Persone
• Organizzazione
• Informazioni disponibili
• Cultura / etica
Come operare
• Pratiche / Attività Base
•Consolidate e universal-mente accettate
•Riferimento ai principali Standard
•Priorità in funzione obiettivi di business
Come operare
• Pratiche / Attività Base
•Consolidate e universal-mente accettate
•Riferimento ai principali Standard
•Priorità in funzione obiettivi di business
Quando
GovernoGoverno
Pianificazione
Organizzazione
Pianificazione
Organizzazione
Impostazione
Definizione
Soluzioni IT
Impostazione
Definizione
Soluzioni IT
Erogazione Servizi SupportoErogazione Servizi Supporto
Misura e ControlloMisura e Controllo
Attori
CDACDA
BusinessBusiness
IT / ISIT / IS
ControlloControllo
Str
utt
ura
Str
utt
ura
Causa - Effetto
Strumenti• Balanced Score Cards• Capability Assessment• Implementation Guide• .....
10COBIT5® per pianificare ed implementare SdS Milano , 20 giugno 2014
Strumenti� Principi
� Enablers
� Goals
� Assessment
Guide all’
Implementazione� Information Security
� Assurance
� Enabler Information
� Risk
� Vendor Mgmt
Guide all’
Implementazione� Information Security
� Assurance
� Enabler Information
� Risk
� Vendor Mgmt
Governance
COBIT5® «UNIVERSAL» Framework
Problem(s) specific
Framework
• Info Security • Vendor Mgmt• Info Security • Risk• Contesto
Aziendale
• Vendor Mgmt• Privacy EU• .....
Conoscere il Contesto e le
Problematiche
11COBIT5® per pianificare ed implementare SdS Milano , 20 giugno 2014
● “autorizzazione”: la procedura che
verifica se un cliente o un altro soggetto interno o esterno ha il diritto di compiere
una certa azione, ad es. di trasferire fondi o accedere a dati sensibili;
● “autorizzazione”: la procedura che
verifica se un cliente o un altro soggetto interno o esterno ha il diritto di compiere
una certa azione, ad es. di trasferire fondi o accedere a dati sensibili;
COBIT5 Implementation
12COBIT5® per pianificare ed implementare SdS Milano , 20 giugno 2014
Perché
BeneficiBenefici
Evitare RischiEvitare Rischi
Gestione ottimale Risorse
Gestione ottimale Risorse
Interventi
Dove operare
• Processi
• Principi – Policies –Frameworks
• Sistemi
• Persone
• Organizzazione
• Informazioni disponibili
• Cultura / etica
Dove operare
• Processi
• Principi – Policies –Frameworks
• Sistemi
• Persone
• Organizzazione
• Informazioni disponibili
• Cultura / etica
Come operare
• Pratiche / Attività Base
• Consolidate e universal-mente accettate
• Riferimento ai principali Standard
• Priorità in funzione obiettivi di business
Come operare
• Pratiche / Attività Base
• Consolidate e universal-mente accettate
• Riferimento ai principali Standard
• Priorità in funzione obiettivi di business
Quando
GovernoGoverno
Pianificazione
Organizzazione
Pianificazione
Organizzazione
Impostazione
Definizione
Soluzioni IT
Impostazione
Definizione
Soluzioni IT
Erogazione Servizi SupportoErogazione Servizi Supporto
Misura e ControlloMisura e Controllo
Attori
CDACDA
BusinessBusiness
IT / ISIT / IS
ControlloControllo
1. Chi1. Chi2. Quando3. Dove 4. Come5. Perché
1122
33
44
55
13COBIT5® per pianificare ed implementare SdS Milano, 20 giugno 2014
COBIT5®
Implementation
• Identificare i Processi Primari• Identificare gli altri «Enablers»
o Principi /Policy
o Informazioni di cui disporre
o Processi «secondari»
o ...
• Assegnare ruoli e responsabilità• Collegare singole attività in un
più ampio contesto aziendale
• Dimostrare, «certificando» ISO 15504 la «capability» dei Processi primari
• ....
Un metodo, diverse
possibili applicazioni
normative, ad
esempio …
• Privacy EU
Strasbourg, 12 March 2014
Progress on EU data
protection reform now
irreversible following
European Parliament vote
Strasbourg, 12 March 2014
Progress on EU data
protection reform now
irreversible following
European Parliament vote
14COBIT5® per pianificare ed implementare SdS Milano, 20 giugno 2014
• Governare l’ITo Frameworks
o Costruiamo il Framework di Governance
o COBIT 5 Framework
o COBIT 5 Implementation
• La normativa BANKIT di Vigilanza Prudenziale (15° aggiornamento) e la Governance dell’IT
• Applicazione del metodoo Passo 1: rappresentazione dei requisiti normativi in forma
strutturata
o Passo 2: individuazione degli Enabler COBIT 5 rilevanti
o Passo 3: mappatura dell’Enabler Processi
o Passo 4: pesatura dei Processi / Key practice / Attività mappati
o Passo 5: aggregazione dei dati e rappresentazioni di sintesi
• Considerazioni Finali
Agenda
15COBIT5® per pianificare ed implementare SdS Roma, 5 Maggio 2014
Passo 1:
Requisiti
normativi
in forma
strutturata
CAPITOLO 8 - IL SISTEMA INFORMATIVO
Sezione IV - La Gestione della Sicurezza Informatica
5. La gestione dei cambiamenti
La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e
garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell’ambiente
di produzione. Il processo si svolge sotto la responsabilità di una figura o struttura aziendale con elevato
grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla
complessità e al profilo di rischio tecnologico dell’intermediario:
• la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (L’inventario aggiornato del sistema e delle risorse ICT è
funzionale anche alle attività di analisi del rischio informatico (cfr. Sezione III);
• la valutazione dell’impatto dei cambiamenti sul sistema e dei rischi correlati con le proposte di modifica;
• l’autorizzazione formale di ogni cambiamento in ambiente di produzione (Il livello autorizzativo è adeguato all’entità dei rischi emersi nell’analisi.); tale procedura comprende l’accettazione, nei casi
critici individuati nell’analisi dei rischi, nel nuovo rischio residuo;
• la pianificazione, il coordinamento e la documentazione degli interventi di modifica, prevedendo attività di collaudo e test di sicurezza, in un ambiente deputato e distinto da quello di produzione;
• il ricorso a un idoneo sistema di gestione della configurazione di sistema (hardware, software, procedure di gestione e utilizzo, modalità di interconnessione), per il controllo
dell’implementazione dei cambiamenti, inclusa la possibilità di ripristino della situazione ex ante.
Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle
policy ordinarie ma comunque adeguati alla particolare situazione. Tali modifiche sono comunque
sottoposte a tracciamento e notificate ex post all’utente responsabile.
[…]
16COBIT5® per pianificare ed implementare SdS Milano , 20 giugno 2014
Passo 1:
Requisiti
normativi
in forma
strutturata
CAPITOLO 8 - IL SISTEMA INFORMATIVO
Sezione IV - La Gestione della Sicurezza Informatica
5. La gesPone dei cambiamenP
La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce i l controllo
su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell’ambiente di produzione. Il processo si svolge sotto
la responsabil ità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e
prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell’intermediario:
● la predisposizione e i l costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware,
software, dati, procedure) (L’inventario aggiornato del sistema e delle risorse ICT è funzionale anche alle attività di analisi
del rischio informaPco (cfr. Sezione III);
● la valutazione dell’impaSo dei cambiamenP sul sistema e dei rischi correlaP con le proposte di modifica;
● l’autorizzazione formale di ogni cambiamento in ambiente di produzione (Il l ivello autorizzaPvo è adeguato all ’enPtà dei
rischi emersi nell’analisi.); tale procedura comprende l’accettazione, nei casi critici individuati nell’analisi dei rischi, nel
nuovo rischio residuo;
● la pianificazione, i l coordinamento e la documentazione degli intervenP di modifica, prevedendo aTvità di collaudo e
test di sicurezza, in un ambiente deputato e disPnto da quello di produzione;
● il ricorso a un idoneo sistema di gesPone della configurazione di sistema (hardware, soUware, procedure di gesPone e
util izzo, modalità di interconnessione), per i l controllo dell’implementazione dei cambiamenti, inclusa la possibil ità di
riprisPno della situazione ex ante.
Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma
comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex
post all ’utente responsabile.
NORMATIVA
Ca
pit
olo
Se
zio
ne
Pa
rag
rafo
Su
bp
ara
gra
fo
NU
ME
RO
DI
RIF
ER
IME
NT
O
8 IV 5 690
8 IV 5 691
8 IV 5 692
8 IV 5 693
8 IV 5 694
8 IV 5 695
8 IV 5 696
8 IV 5 697
17COBIT5® per pianificare ed implementare SdS Roma, 5 Maggio 2014
Passo 2:
Identificazione
degli Enablers
(“Attivatori”)
rilevanti
COBIT 5 Enablers
18COBIT5® per pianificare ed implementare SdS Milano , 20 giugno 2014
5. La gesPone dei cambiamenP
La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce i l controllo
su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell’ambiente di produzione. Il processo si svolge sotto
la responsabil ità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e
prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell’intermediario:
● la predisposizione e i l costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware,
software, dati, procedure) (L’inventario aggiornato del sistema e delle risorse ICT è funzionale anche alle attività di analisi
del rischio informaPco (cfr. Sezione III);
● la valutazione dell’impaSo dei cambiamenP sul sistema e dei rischi correlaP con le proposte di modifica;
● l’autorizzazione formale di ogni cambiamento in ambiente di produzione (Il l ivello autorizzaPvo è adeguato all ’enPtà dei
rischi emersi nell’analisi.); tale procedura comprende l’accettazione, nei casi critici individuati nell’analisi dei rischi, nel
nuovo rischio residuo;
● la pianificazione, i l coordinamento e la documentazione degli intervenP di modifica, prevedendo aTvità di collaudo e
test di sicurezza, in un ambiente deputato e disPnto da quello di produzione;
● il ricorso a un idoneo sistema di gesPone della configurazione di sistema (hardware, soUware, procedure di gesPone e
util izzo, modalità di interconnessione), per i l controllo dell’implementazione dei cambiamenti, inclusa la possibil ità di
riprisPno della situazione ex ante.
Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma
comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex
post all ’utente responsabile.
NORMATIVA
E1
- P
rin
cip
les,
Po
lici
es
an
d
E2
- P
roce
sse
s
E3
- O
rga
nis
ati
on
al
Str
uct
ure
s
E4
- C
ult
ure
, E
thic
s a
nd
E5
- I
nfo
rma
tio
n
E6
- S
erv
ice
s, I
nfr
ast
ruct
ure
E7
Pe
op
le,
Sk
ills
an
d
si si si no no no no
no si no no si no no
no si no no no no no
si si si no no no no
no si no no no si no
no si no no no si no
no si no no no no no
ENABLERS
NU
ME
RO
DI
RIF
ER
IME
NT
O
690
691
692
693
694
695
696
697
19COBIT5® per pianificare ed implementare SdS Roma, 5 Maggio 2014
Passo 3:Mappatura dell’EnablerProcessi
COBIT 5 ProcessReferenceModel
Processi : Visione olistica
Pianificare ed Organizzare
Realizzare
Erogare
Governare
Gestire
20COBIT5® per pianificare ed implementare SdS Roma, 5 Maggio 2014
Passo 3:Mappatura dell’EnablerProcessi
Schema di un Processo COBIT5
Pro
cess
o
Descrizione
Purpose
IT Related Goal Related Metrics
Process Goals Related Metrics
Practice
Descrizione
RACI
Input Da
Output a
Attività Dettaglio attività
21COBIT5® per pianificare ed implementare SdS Roma, 5 Maggio 2014
BAI06 –
Change
Mgmt
Obiettivi e Obiettivi e
metriche
di
Business
Obiettivi e
metriche
del
Processo(Certificazione
ISO 15504)
22COBIT5® per pianificare ed implementare SdS Roma, 5 Maggio 2014
Le
Buone
Pratiche
23COBIT5® per pianificare ed implementare SdS Roma, 5 Maggio 2014
Connessioni ed attività
Per chi non si accontenta !
24COBIT5® per pianificare ed implementare SdS Milano , 20 giugno 2014
NU
ME
RO
DI
RIF
ER
IME
NT
O
690 5. La gesPone dei cambiamenP
691
La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce il controllo
su modifiche, sostituzioni o adeguamenti tecnologici , in particolare nell’ambiente di produzione. Il processo si svolge sotto
la responsabilità di una figura o struttura aziendale con elevato grado di indipendenza rispetto al la funzione di sviluppo e
prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico del l’intermediario:
692
● la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware,
software, dati, procedure) (L’inventario aggiornato del sistema e delle risorse ICT è funzionale anche alle attività di analisi
del rischio informaPco (cfr. Sezione III);
693 ● la valutazione del l’impaSo dei cambiamenP sul sistema e dei rischi correlaP con le proposte di modifica;
694
● l’autorizzazione formale di ogni cambiamento in ambiente di produzione (Il l ivel lo autorizzaPvo è adeguato all’enPtà dei
rischi emersi nell’analisi.); tale procedura comprende l’accettazione, nei casi critici individuati nel l’analisi dei rischi, nel
nuovo rischio residuo;
695 ● la pianificazione, i l coordinamento e la documentazione degli intervenP di modifica, prevedendo aTvità di col laudo e
test di sicurezza, in un ambiente deputato e disPnto da quello di produzione;
696
● il ricorso a un idoneo sistema di gesPone della configurazione di sistema (hardware, soUware, procedure di gesPone e
util izzo, modalità di interconnessione), per i l control lo del l’implementazione dei cambiamenti, inclusa la possibi lità di
riprisPno della situazione ex ante.
697
Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma
comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex
post all ’utente responsabile.
NORMATIVA
E1
- P
rin
cip
les,
Po
lici
es
an
d
E2
- P
roce
sse
s
E3
- O
rga
nis
ati
on
al
Str
uct
ure
s
E4
- C
ult
ure
, E
thic
s a
nd
E5
- I
nfo
rma
tio
n
E6
- S
erv
ice
s, I
nfr
ast
ruct
ure
E7
Pe
op
le,
Sk
ills
an
d
Proc ID
AAANN
Pra
ctic
e 0
NN
Act
ivit
y A
.N
si si si no no no no
no si no no si no no
no si no no no no no
si si si no no no no
no si no no no si no
no si no no no si no
no si no no no no no
MAPPATURA CON COBIT 5
ENABLERS DETTAGLI DEL PROCESSO
25COBIT5® per pianificare ed implementare SdS Roma, 5 Maggio 2014
NU
ME
RO
DI
RIF
ER
IME
NT
O
E1
- P
rin
cip
les,
Po
lici
es
an
d
E2
- P
roce
sse
s
E3
- O
rga
nis
ati
on
al
Str
uct
ure
s
E4
- C
ult
ure
, E
thic
s a
nd
E5
- I
nfo
rma
tio
n
E6
- S
erv
ice
s, I
nfr
ast
ruct
ure
E7
Pe
op
le,
Sk
ills
an
d
Proc ID
AAANN
Pra
ctic
e 0
NN
Act
ivit
y A
.N
690 5. La gesPone dei cambiamenP
691
La procedura di gestione dei cambiamenti delle appl icazioni e
risorse ICT è formalmente definita e garantisce i l controllo su
modifiche, sostituzioni o adeguamenti tecnologici, in particolare
nell ’ambiente di produzione. Il processo si svolge sotto la
responsabil ità di una figura o struttura aziendale con elevato
grado di indipendenza rispetto al la funzione di svi luppo e prevede,
in modo proporzionato al la complessità e al profilo di rischio
tecnologico del l’intermediario:
si si si no no no no
APO01 02 B.01 Establish roles and responsibilities
691.a APO01 02 B.06 Establish roles and responsibilities
691.bAPO01 03 B.06 Maintain the enablers of the
management system
691.c APO12 03 B.04 Maintain a risk profile
691.d APO12 03 B.06 Maintain a risk profile
691.e APO12 03 B.07 Maintain a risk profile
691.f BAI06 04 B.01 Close and document the changes
692
● la predisposizione e i l costante aggiornamento nel tempo di un
inventario o mappa del patrimonio ICT (hardware, software, dati,
procedure) (L’inventario aggiornato del sistema e delle risorse ICT
è funzionale anche al le attività di analisi del rischio informatico
(cfr. Sezione III);
no si no no si no no
APO01 06 B.03 Define information (data) and system
ownership
692.a APO12 03 B.01 Maintain a risk profile
692.bAPO13 02 B.02 Define and manage an information
security risk treatment plan
692.c BAI03 04 B.05 Procure solution components
692.d BAI09 01 B.01 Identify and record current assets
NORMATIVA
MAPPATURA CON COBIT 5
Note
ENABLERS DETTAGLI DEL PROCESSOPasso 3:
Mappatura
dell’Enabler
Processi
26COBIT5® per pianificare ed implementare SdS Milano , 20 giugno 2014
Chi fa cosa . . . .
27COBIT5® per pianificare ed implementare SdS Roma, 5 Maggio 2014
28COBIT5® per pianificare ed implementare SdS Milano, 20 giugno 2014
COBIT5®
Implementation
Mappatura delle Accountability
Nella Circolare viene data rilevanza al concetto di
“Accountability” che viene definita come :
“accountability”: l’assegnazione della
responsabilità di un’attività o processo
aziendale, con il conseguente compito di
rispondere delle operazioni svolte e dei
risultati conseguiti, a una determinata figura
aziendale; in ambito tecnico, si intende la
garanzia di poter attribuire ciascuna
operazione a soggetti (utenti o applicazioni)
univocamente identificabili;
29COBIT5® per pianificare ed implementare SdS Milano, 20 giugno 2014
• 15° aggiornamento Circ. n. 263 Bankit , set di requisiti normativi:
• Numerosi• Ad alto impatto sulle strutture IT in Banca• Complesso
• Temi dominanti: analizzare e gestire il rischio IT, gestire gli aspetti di sicurezza IT in proporzione al rischio, garantire la
continuità del business - il tutto sia all'interno, sia laddove
si esternalizzino parte dei servizi
• Vantaggi del framework• Autorevole• Completo• Strutturato (ordine dei concetti)• Visione d‘Insieme
���� Ottimizzazione della pianificazione e della realizzazione
degli interventi di adeguamento alla normativa (priorità,
economie, interventi collegati, ecc. ecc.)
Considerazioni
Finali
30COBIT5® per pianificare ed implementare SdS Milano, 20 giugno 2014
GdR in partenza(con il medesimo approccio)
31COBIT5® per pianificare ed implementare SdS Milano, 20 giugno 2014
Ultime novità
COBIT5® e
pubblicazioni
pianificate
� Security Considerations for Cloud Computing toolkit
� COBIT5 – Information Enabler Relating the COSO Internal Control—Integrated Framework and COBIT
� Vendor Management Using COBIT 5 (rev. 3/2014)
� EDM Audit/Assurance Programs 1-5
� Generating Value From Big Data Analytics
� Security as a Service
Prossimamente
� APO Audit/Assurance Programs (giugno)• Gli altri entro l’anno
� NIST Cybersecurity Fmwk e COBIT5 (giugno)
� EU Cybersecurity (da giugno)
� Risk Scenarios using COBIT5
� SOX e COBIT5 (settembre)
� PCI-DSS e COBIT5 (set-ott)
� BASEL III e COBIT5 (Rischi Operativi) (dic)
32COBIT5® per pianificare ed implementare
SdS Milano, 20 giugno 2014
Domande? Grazie per
l’attenzione
33COBIT5® per pianificare ed implementare
SdS Milano, 20 giugno 2014