Come far rendere al meglio ciò che abbiamo già pagato
Transcript of Come far rendere al meglio ciò che abbiamo già pagato
STRUMENTI METODOLOGICI PER L’INFOSEC
Come far rendere al meglio ciò che abbiamo già pagato
14/03/2013 AIEA - Security Summit 2013 1
Premessa
• In un periodo di recessione e di incertezza sfruttare al massimo i propri asset ed efficientare i propri processi non èpiù un virtuosismo per pochi ma un'esigenza per tutti.
• Anni di investimenti e “miglioramenti” hanno spesso portato ad un patch work di soluzioni prive di una connessione logica o di un quadro di riferimento.
• Un tale approccio ha talora aperto varchi impensati nella sicurezza o creato delle inefficienze organizzative/produttive inaspettate, talvolta le competenze interne sono state addirittura dimenticate o accantonate vanificando così il patrimonio delle conoscenze aziendali.
14/03/2013 AIEA - Security Summit 2013 2
Obiettivo del progetto
• Riallocazione delle competenze e impiego al meglio di processi e asset, tenendo conto delle reali esigenze attuali e del potenziale sviluppo:
– Risultato primario è il recupero di efficienza produttiva per mezzo dell'ottimizzazione dell’esistente, della eliminazione delle ridondanze e della focalizzazione agli obiettivi
– Il risultato indotto è la valorizzazione delle competenze come opportunità di business in nuove aree/mercati
14/03/2013 AIEA - Security Summit 2013 3
Strumenti necessari
• Pochi, quasi nessuno:– Carta e penna (per i più impavidi MS Office)
– Pazienza (è un progetto per “piccoli passi”)
– Impegno (poco ma costante)
– Committment (proprietà, stakeholders o management)
14/03/2013 AIEA - Security Summit 2013 4
Il progetto attraverso un esempio reale
• Multinazionale settore Industry
• Headquarter centro Europa
• Supply chain su tre continenti
• Produzione circa 3 milioni di pezzi anno con resi inferiori all’1%
• Oltre 10.000 dipendenti su scala mondiale
• Una sede in Italia, 300 dipendenti, 2 stabilimenti varie filiali sul territorio
• Una delle linee di prodotto ha la governance in Italia
•• IT supporta ogni attivitIT supporta ogni attivitàà
• Fase interna all’avvio del progetto : process relocation (trasferimento processi e risorse nella supply chain)
• Data inizio: 9/2010 – Data fine stimata: 3/2011 (progetto principale) –Data fine stimata sottoprogetti: 09/2012
14/03/2013 AIEA - Security Summit 2013 5
Altri ambiti dove il progetto è stato applicato: energy, multi utilities, PPAA, servizi IT ecc.
L’esigenza iniziale
• Rispondere e riallineare la realtà italiana alle policies della casa madre
• Ridefinire i processi per la riallocazione dei processi nella supply chain mantenendone il controllo
• Gestire il cambiamento, in termini di:– Processi– KPIs
– Risorse umane e materiali
14/03/2013 AIEA - Security Summit 2013 6
Non sempre è cosìsemplice…
Committment
• Top management locale (con interfacciamento continuo alla casa madre)
• Manager locali: – Operation,
– Quality,
– HR,
– Mktg, – Sales
• Rappresentanti sindacali
14/03/2013 AIEA - Security Summit 2013 7
Ruoli nel progetto
• Responsabile del progetto (CEO)
• Referente aziendale (Middle Management)
• Consulente esterno
14/03/2013 AIEA - Security Summit 2013 8
Modalità di gestione
• Review mensile on site (durata 1-2 gg)
• Report mensile (cosa è stato fatto e da chi, chi deve fare cosa entro quale data, problemi aperti ed azioni intraprese e/o da intraperendere)
• Lavori in back office su base progettuale (preparazione Gantt, stesura documenti, relazioni e report periodici ecc.)
• Riunioni intermedie via Webex/Skype
• Scambio semilavorati via e-mail
14/03/2013 AIEA - Security Summit 2013 9
Impegni sostenuti
• Impegni personale interno:– 2010: 50 gg/p (?)
– 2011: 100 gg/p (?)
– 2012: 350 gg/p stimate (inclusa formazione Italia)
– 2013: 30 gg/p ipotesi/obiettivo
– 2014: 10 gg/p ipotesi/obiettivo
14/03/2013 AIEA - Security Summit 2013 10
L’apporto dall’esterno è di circa 90 gg/p nell’arco dei 5 anniL’apporto dall’esterno è di circa 90 gg/p nell’arco dei 5 anni
Le fasi del progetto
• Analisi della situazione
• Definizione priorità e obiettivi
• Sviluppo e monitoraggio mensile
• Verifiche intermedie e apertura eventuali sotto progetti
• Riesame finale e chiusura
14/03/2013 AIEA - Security Summit 2013 11
I sotto progetti generati
• Nel corso del progetto sono state individuate ulteriori necessità ed opportunità che hanno dato luogo ai sotto progetti di:
– Document Management System (due mesi)
– Roles and Skills (tre mesi)
– Quality Management System review (sei mesi)– People Awareness and Training (sei mesi – finanziato)
– Information Management System review e InfoSec (in corso – COBIT Based)
14/03/2013 AIEA - Security Summit 2013 12
Il sotto progetto dell’InfoSec
• Esigenze– Confronto siti modello italiani con siti modello
europei per:• Identificazione di policies e best practice comuni
• Ottimizzazione e standardizzazione approccio
• Enfasi dei punti comuni e specializzazione delle differenze territoriali (aspetti legali ad es. privacy)
– Analisi incrociata dei rischi e valutazione opzioni di miglioramento
14/03/2013 AIEA - Security Summit 2013 13
Il sotto progetto dell’InfoSec
• Esito– Eseguiti 4 assessment nazionali e 2 internazionali
– Prodotti report (per destinatari diversi) basati su:• ISO/IEC 27001:05 (come modello organizzativo)
• ISO/IEC 27002:05 (come best practice)
• ISO/IEC 27005:09 (come modello di RM)
• OCSE (come politiche ed obiettivi dell’InfoSec)
• Evidenziando le differenze tra approcci locali ed internazionali.
– Diagrammi SWOT e Kiviat per rappresentare le diverse situazioni ed azioni tra intraprendere
14/03/2013 AIEA - Security Summit 2013 14
Esito assessment
011
22
334
45.1
6.1 6.27.1
7.28.1
8.2
8.3
9.1
9.2
10.1
10.2
10.3
10.4
10.510.6
10.710.810.910.1011.0111.0211.03
11.0411.05
11.06
11.07
12.01
12.02
12.03
12.04
12.05
12.06
13.113.2
14.115.1
15.2 15.3
Profilo rilevato Profilo minimo
Stato delle contromisure
0112233444.2.1
4.2.2
4.2.3
4.2.4
4.3.1
4.3.2
4.3.3
5.1
5.2.15.2.2
6
7.1
7.2
7.3
8.1
8.2
8.3
Valori derivati da contromisure Valori rilevati
Diagramma principi OCSE
3,3
3,2
3,5
3,23,4
3,4
3,2
4
4
4
44
4
4
0,0
0,5
1,0
1,5
2,0
2,5
3,0
3,5
4,0Consapevolezza
Responsabilità
Risposta
Valutazione rischioProgettazione e sviluppo sicurezza
Gestione sicurezza
Rivalutazione
Valore ottenuto Valore di riferimento
5 4 3 2 1
5
4
3
2
1
Punti di forza Vulnerabilità
Opportunità
MinacceWEAKNESS - THREATS
AREA
WEAKNESS - OPPORTUNITYAREA
STRONG - OPPORTUNITY
AREA
STRONG - THREATS
AREA
Priorità Descrizione
4.2.1 3,04.2.2 3,44.2.3 3,14.2.4 2,04.3.1 3,14.3.2 4,04.3.3 4,05.1 3,6
5.2.1 2,65.2.2 3,0
6 6 3,07.1 3,07.2 2,87.3 2,28.1 3,08.2 3,08.3 3,0
A Aree critiche - interventi nel breve
M Aree di debolezza - interventi nel medio-breve
B Aree di miglioramento - interventi nel medio-lungo
- Punti di forza - nessun intervento
8
7
5
4
Requisiti Valutazione
I risultati progettuali
• 2010:v formalizzazione e normalizzazione processi
v definizione nuovi KPIs
v superamento audit casa madre e conferma obiettivi
• 2011:v process re-engineering
v superamento audit casa madre
v completamento sotto progetto InfoSec
• 2012:v Stabilizzazione e miglioramento processi
v Ottimizzazione KPIs
v Riqualificazione personale
v Conferma ed estensione certificazioni ISO
14/03/2013 AIEA - Security Summit 2013 15
Riflessioni e conclusioni
• Il progetto si presta ad essere utilizzato in ogni tipologia di azienda di qualsiasi dimensione, sebbene sia più efficiente nelle aziende medio-grandi (oltre 150 persone)
• Gli sponsor interni naturali sono: CEO, Operation, HR (piùraramente Quality, IT, Mktg e Sales)
• Il consulente ha un peso scarso rispetto agli impegni interni (salvo diversa necessità dell’azienda) e progressivamente nullo
• L’obiettivo, e risultato, principale è la consapevolezza che il management raggiunge in relazione ai propri processi ed al proprio status
• Impatti spesso significativi in termini di IT e InfoSec14/03/2013 AIEA - Security Summit 2013 16
Riflessioni e conclusioni
Peso attesoatteso per funzione
• Top Management 15%
• HR 10%
• Mktg 5%
• Sales 5%• Operation 40%
• Quality 25%
Peso effettivoeffettivo per funzione
• Top Management 10%
• HR 30%
• Mktg 5%
• Sales 5%• Operation 30%
• Quality 20%
14/03/2013 AIEA - Security Summit 2013 17
SWOT Analysis
14/03/2013 AIEA - Security Summit 2013 18
StrenghtStrenght••Costi esterni contenutiCosti esterni contenuti••Impegni su tempi dilatatiImpegni su tempi dilatati••Coinvolgimento a tutti i livelliCoinvolgimento a tutti i livelli
OpportunitiesOpportunities••Modifica atteggiamentiModifica atteggiamenti••Comunicazione efficaceComunicazione efficace••Coinvolgimento e consapevolezzaCoinvolgimento e consapevolezza••Da miglioramento a innovazioneDa miglioramento a innovazione
WeaknessWeakness••Costi interni proporzionali a Costi interni proporzionali a dimensioni aziendalidimensioni aziendali••Committment continuoCommittment continuo
ThreatsThreats••Cali di Cali di ““attenzioneattenzione”” a causa dei a causa dei tempi dilatatitempi dilatati••NecessitNecessitàà di frequenti di frequenti aggiornamenti se mercato molto aggiornamenti se mercato molto rapido (TLC)rapido (TLC)
Lessons Learned
• I processi non sempre sono supportati da applicazioni IT di “pari” livello, spesso sono disallineati per obsolescenza o non conoscenza delle piattaforme, delle soluzioni architetturali, delle funzionalità (anche se progettati ad hoc)
• Le banche dati sono spesso piene di informazioni obsolete o ridondanti rispetto allo stato dei processi (oltre il 30% delle informazioni può essere eliminato senza danni ad applicazioni e processi)
14/03/2013 AIEA - Security Summit 2013 19
Lessons Learned
• Il diverso orientamento (obiettivi) delle funzioni acquisti, IT, HR e business operations crea situazioni conflittuali in merito alle scelte sull’IT– Acquisti “COST SAVING”
– IT tenta di efficientare e aggiornare i sistemi (spesso senza reali piani di contingency e/o capacity collegati al business)
– Business operations seguono il mercato ignorando però le necessità di fasatura con le altre funzioni
– HR dispone di competenze via via più obsolete e scarsi mezzi per la riqualificazione (persone giuste in posti sbagliati)
14/03/2013 AIEA - Security Summit 2013 20
Lessons Learned
• La percezione del management/proprietà è spesso disallineata rispetto alla situazione oggettiva (troppo avanti o ancorata a successi del passato)
• La rappresentazione della realtà oggettiva, dello status, deve essere espressa in modo misurabile (ad es. per mezzo di CMM) e riconducibile ai KPI
• La valutazione e gestione dei rischi, unitamente al tema della compliance, sembrano essere i temi meno curati o comunque meno riconducibili ai risultati di esercizio (“non potevamo evitare questo bagno di sangue?”)
• L’uso di metodologie e modelli (best practice incluse) sembra essere ancora lontano dallo scardinare il classico “abbiamo sempre fatto così, perche dovremmo cambiare? Al massimo trovo io una soluzione!”
14/03/2013 AIEA - Security Summit 2013 21
A proposito di ISO/IEC 27001• Ultimamente su web sono state fatte circolare
informazioni imprecise sulla prossima pubblicazione della nuova norma.
• Il Gruppo di Lavoro ISO 27000 di UNINFO ed ACCREDIA hanno preparato un documento specifico per chiarire l’effettiva situazione della norma e delle date previste per la pubblicazione della nuova versione.
• L’articolo sarà pubblicato e diffuso da UNINFO ed ACCREDIA attraverso i loro canali di comunicazione ed a disposizione di chiunque ne faccia richiesta.
14/03/2013 AIEA - Security Summit 2013 22
NEWS
L’InfoSec ed il CMM
• La ISO/IEC 21827 costituisce uno strumento di valutazione e di individuazione delle aree di miglioramento dell’InfoSec sfruttando le potenzialità del SEI-CMM
14/03/2013 AIEA - Security Summit 2013 23
L’InfoSec ed il CMM
14/03/2013 AIEA - Security Summit 2013 24
L’InfoSec ed il CMM
14/03/2013 AIEA - Security Summit 2013 25
L’InfoSec ed il CMM
14/03/2013 AIEA - Security Summit 2013 26
L’InfoSec ed il CMM
14/03/2013 AIEA - Security Summit 2013 27
L’InfoSec ed il CMM
14/03/2013 AIEA - Security Summit 2013 28
L’InfoSec ed il CMM
14/03/2013 AIEA - Security Summit 2013 29
L’InfoSec ed il CMM
14/03/2013 AIEA - Security Summit 2013 30
Q&A
Grazie per la vostra partecipazione ed attenzione
14/03/2013 AIEA - Security Summit 2013 31
Per qualsiasi ulteriore informazione: [email protected] o [email protected]