COBIT® 5 e la gestione delle informazioni aziendali 5 Enablers for Implementing Information...
19
26.10.2012 - ISACA Venice Chapter 1 COBIT 5 for Information Security - Struttura e linee guida per l’utilizzo COBIT® 5 e la gestione delle informazioni aziendali Venezia Mestre, 26 Ottobre 2012 Ing. Bruno Bernardi Ing. Andrea Castello
Transcript of COBIT® 5 e la gestione delle informazioni aziendali 5 Enablers for Implementing Information...
26.10.2012 - ISACA Venice Chapter
1 COBIT 5 for Information Security - Struttura e linee guida per l’utilizzo
COBIT® 5 e la gestione delle informazioni aziendali
Venezia Mestre, 26 Ottobre 2012
Ing. Bruno Bernardi
Ing. Andrea Castello
COBIT® 5 come supporto alla certificazione ISO27001
Ing. Bruno Bernardi
Ing. Andrea Castello
COBIT e ISO 27001
Molto è stato detto,
forse tutto
Struttura delle guida
SECTION 1 COBIT 5 Principles
SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice
SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment
Principles, Policies and Frameworks
Services, Infrastr. and Applications
Processes Culture, Ethics and Behaviour
Information
Organisational Structures
People, Skills and Competencies
APPENDICES Detailed Guidance
[A] Princ., Policies and Frameworks [B] Processes [C] Organisational
Structures [D] Culture, Ethics
and Behaviour
[E] Information [F] Services, Infrastr. and Applications
[G] People, Skills and Competencies
[H] Detailed Mapping
4 pagine
27 pagine
7 pagine
154 pagine
COBIT e ISO 27001: focus
Set della
documentazione SGSI
•Politica della sicurezza delle
informazioni;
•Dichiarazione del campo di
applicazione;
• dichiarazione di
applicabilità (SOA);
•Inventario delle risorse
informative e di sistema da
proteggere;
•Valutazione del rischio;
•Procedure e standard
applicabili;
•Contratti (SLA, accordi
sull’uso accettabile, ecc..)
Eventi
• Incidenti alla sicurezza;
•Debolezze presunte;
•Malfunzionamenti.
•Osservazioni degli audit;
•Risultati di test;
•Risultati di controlli a
campione (spot-check)
Registrazione e analisi
Riesame ed aggiornamento del SGSI
Guidati dalla
documentazione di
“processo”
Processi
aziendali
Evidenze
Verbale(i) all’interno
di un forum
ISO 27001
Parti interessate
(Stakeholders)
Sicurezza
delle
informazioni
gestita
Requisiti e
aspettative per
la sicurezza
delle
informazioni
Progettare
l’SGSI (PLAN) Implementare
l’SGSI (DO)
Mantenere
Migliorare l’SGSI
(ACT)
Monitorare
Revisionare
l’ SGSI (CHECK)
Parti interessate
(Stakeholders)
Processes Enabler • Evaluate, Direct and Monitor (EDM) • Align, Plan and Organise (APO) • Build, Acquire and Implement (BAI) • Deliver, Service and Support (DSS) • Monitor, Evaluate and Assess
(MEA)
COBIT e ISO 27001: approccio per processi
s
A.5 Politica per la sicurezza
A.6 Organizzazione della Sicurezza
A.7 Gestione dei beniA.11 Controllo degli accessi
A.15 Conformità
A.8 Sicurezza delle risorse umane
A.9 Sicurezza fisicae ambientale
A.12 Acquisizione, sviluppo e
manutenzione dei sistemi
A.10 Gestione delle comunicazioni e
Dell’operatività
A.14 Gestionedella continuitàoperativa
A.13 Gestione Incidenti di
Sicurezza
Organizzazione
Operatività
UNI CEI ISO/IEC 27001:06
ISO
/IE
C 2
70
02
:05
REQUISITI
BEST PRACTICES
Check List ISO/IEC 27002:05
Organizzativi
Tecnici
Fisici
Aspetti:
Competenze richieste
Tipologia di verifica
Criteri di valutazione
COBIT e ISO 27001: controlli e check list
COBIT e ISO 27001: un breve esercizio ….
Rif EDM APO BAI DSS MEA Appendice H
A.05 0% 0% 0% 0% 50% 50%
A.06 73% 27% 9% 0% 27% 73%
A.07 0% 0% 40% 0% 0% 40%
A.08 0% 22% 11% 11% 0% 22%
A.09 0% 0% 8% 0% 0% 8%
A.10 0% 13% 19% 100% 9% 100%
A.11 0% 0% 12% 0% 0% 12%
A.12 0% 0% 13% 0% 0% 13%
A.13 0% 40% 20% 100% 0% 100%
A.14 20% 40% 0% 100% 0% 100%
A.15 0% 10% 10% 0% 60% 70%
0%
25%
50%
75%
100%A.05
A.06
A.07
A.08
A.09
A.10A.11
A.12
A.13
A.14
A.15
EDM
APO
BAI
DSS
MEA
Copertura complessiva
0%
25%
50%
75%
100%A.05
A.06
A.07
A.08
A.09
A.10A.11
A.12
A.13
A.14
A.15
Copertura complessiva
Aree Annex A ISO 27001
COBIT e ISO 27001: un risultato …
Copertura COBIT 5 – Appendice A ISO 27001
0%
25%
50%
75%
100% A.05
A.06
A.07
A.08
A.09
A.10 A.11
A.12
A.13
A.14
A.15
Appendice H
Cobit 5
COBIT 5 non comprende ISO 27001?
1.1 The Generic Enabler
Model
Qui ritroviamo il PDCA
COBIT 5 non comprende ISO 27001?
E qui molto del sistema
ISO 27001, praticamente
gli stessi termini.
COBIT 5 e ISO 27001? Sosia o?
COBIT 5 ISO 20000 (ITIL)
ISO 27001
Potrebbe essere questa la giusta interpretazione e quindi
l’approccio più corretto o rappresenta una diversa opportunità per
raggiungere gli obiettivi prefissati?
COBIT e ISO 27001: considerazioni
Quesito: se adotto una governance basata su COBIT 5 ho un
efficace supporto alla certificazione ISO27001?
1° considerazione: se non so nulla di
COBIT 5 ma devo ottenere la
certificazione del mio Sistema di Gestione
della Sicurezza delle Informazioni (SGSI)
la strada più diretta non passa solo per
l’adozione di COBIT 5
COBIT e ISO 27001: considerazioni
Quesito: se adotto una governance basata su COBIT 5 ho un
efficace supporto alla certificazione ISO27001?
2° considerazione: ammesso di aver
adottato COBIT 5, questo non sostituisce
ISO 27001. Quindi la certificazione del
mio Sistema di Gestione della Sicurezza
delle Informazioni (SGSI) non può essere
un semplice add-on di un sistema gestito
con COBIT 5.
Se con COBIT 5 ho una “visione” e una “concretezza “ della
sicurezza , come gestione di processi, …
Se uso COBIT 5 per monitorare i miei gap di sicurezza, e quindi le
azioni di miglioramento ….
Se uso COBIT 5 per attivare e mantenere allineata con i miei
obiettivi di business, l’analisi dei rischi …
Se COBIT 5 mi guida nell’organizzazione, nei controlli e nella
valutazione di conformità, anche in senso generale dei miei processi
IT …
Allora COBIT 5 è sinergico alla ISO 27001, come lo è ITIL o ISO
20000
COBIT e ISO 27001: considerazioni
Quesito: se adotto una governance basata su COBIT 5 ho un
efficace supporto alla certificazione ISO27001?
COBIT e ISO 27001: indicazioni conclusive
È pacifico che se mi sono strutturato nella governance applicando COBIT (processi, controlli, ecc.), farò meno fatica a raggiungere la meta della certificazione ISO 27001. Quanto meno dipenderà dalla qualità dell’applicazione (GAP).
COBIT e ISO 27001: indicazioni conclusive
Non esiste una via preordinata alla certificazione del SGSI, e non tutte le vie sono sempre percorribili (in termini di risorse e in termini di requisiti (ad esempio il tempo).
COBIT® 5 come supporto alla certificazione ISO27001
Grazie
Ing. Bruno Bernardi
Mestre, 26 Ottobre 2012
