Come far rendere al meglio ciò che abbiamo già pagato

STRUMENTI METODOLOGICI PER L’INFOSEC

Come far rendere al meglio ciò che abbiamo già pagato

14/03/2013 AIEA - Security Summit 2013 1

Premessa

• In un periodo di recessione e di incertezza sfruttare al massimo i propri asset ed efficientare i propri processi non èpiù un virtuosismo per pochi ma un'esigenza per tutti.

• Anni di investimenti e “miglioramenti” hanno spesso portato ad un patch work di soluzioni prive di una connessione logica o di un quadro di riferimento.

• Un tale approccio ha talora aperto varchi impensati nella sicurezza o creato delle inefficienze organizzative/produttive inaspettate, talvolta le competenze interne sono state addirittura dimenticate o accantonate vanificando così il patrimonio delle conoscenze aziendali.


Obiettivo del progetto

• Riallocazione delle competenze e impiego al meglio di processi e asset, tenendo conto delle reali esigenze attuali e del potenziale sviluppo:

– Risultato primario è il recupero di efficienza produttiva per mezzo dell'ottimizzazione dell’esistente, della eliminazione delle ridondanze e della focalizzazione agli obiettivi

– Il risultato indotto è la valorizzazione delle competenze come opportunità di business in nuove aree/mercati


Strumenti necessari

• Pochi, quasi nessuno:– Carta e penna (per i più impavidi MS Office)

– Pazienza (è un progetto per “piccoli passi”)

– Impegno (poco ma costante)

– Committment (proprietà, stakeholders o management)


Il progetto attraverso un esempio reale

• Multinazionale settore Industry

• Headquarter centro Europa

• Supply chain su tre continenti

• Produzione circa 3 milioni di pezzi anno con resi inferiori all’1%

• Oltre 10.000 dipendenti su scala mondiale

• Una sede in Italia, 300 dipendenti, 2 stabilimenti varie filiali sul territorio

• Una delle linee di prodotto ha la governance in Italia

•• IT supporta ogni attivitIT supporta ogni attivitàà

• Fase interna all’avvio del progetto : process relocation (trasferimento processi e risorse nella supply chain)

• Data inizio: 9/2010 – Data fine stimata: 3/2011 (progetto principale) –Data fine stimata sottoprogetti: 09/2012


Altri ambiti dove il progetto è stato applicato: energy, multi utilities, PPAA, servizi IT ecc.

L’esigenza iniziale

• Rispondere e riallineare la realtà italiana alle policies della casa madre

• Ridefinire i processi per la riallocazione dei processi nella supply chain mantenendone il controllo

• Gestire il cambiamento, in termini di:– Processi– KPIs

– Risorse umane e materiali


Non sempre è cosìsemplice…

Committment

• Top management locale (con interfacciamento continuo alla casa madre)

• Manager locali: – Operation,

– Quality,

– HR,

– Mktg, – Sales

• Rappresentanti sindacali


Ruoli nel progetto

• Responsabile del progetto (CEO)

• Referente aziendale (Middle Management)

• Consulente esterno


Modalità di gestione

• Review mensile on site (durata 1-2 gg)

• Report mensile (cosa è stato fatto e da chi, chi deve fare cosa entro quale data, problemi aperti ed azioni intraprese e/o da intraperendere)

• Lavori in back office su base progettuale (preparazione Gantt, stesura documenti, relazioni e report periodici ecc.)

• Riunioni intermedie via Webex/Skype

• Scambio semilavorati via e-mail


Impegni sostenuti

• Impegni personale interno:– 2010: 50 gg/p (?)

– 2011: 100 gg/p (?)

– 2012: 350 gg/p stimate (inclusa formazione Italia)

– 2013: 30 gg/p ipotesi/obiettivo

– 2014: 10 gg/p ipotesi/obiettivo


L’apporto dall’esterno è di circa 90 gg/p nell’arco dei 5 anniL’apporto dall’esterno è di circa 90 gg/p nell’arco dei 5 anni

Le fasi del progetto

• Analisi della situazione

• Definizione priorità e obiettivi

• Sviluppo e monitoraggio mensile

• Verifiche intermedie e apertura eventuali sotto progetti

• Riesame finale e chiusura


I sotto progetti generati

• Nel corso del progetto sono state individuate ulteriori necessità ed opportunità che hanno dato luogo ai sotto progetti di:

– Document Management System (due mesi)

– Roles and Skills (tre mesi)

– Quality Management System review (sei mesi)– People Awareness and Training (sei mesi – finanziato)

– Information Management System review e InfoSec (in corso – COBIT Based)


Il sotto progetto dell’InfoSec

• Esigenze– Confronto siti modello italiani con siti modello

europei per:• Identificazione di policies e best practice comuni

• Ottimizzazione e standardizzazione approccio

• Enfasi dei punti comuni e specializzazione delle differenze territoriali (aspetti legali ad es. privacy)

– Analisi incrociata dei rischi e valutazione opzioni di miglioramento


Il sotto progetto dell’InfoSec

• Esito– Eseguiti 4 assessment nazionali e 2 internazionali

– Prodotti report (per destinatari diversi) basati su:• ISO/IEC 27001:05 (come modello organizzativo)

• ISO/IEC 27002:05 (come best practice)

• ISO/IEC 27005:09 (come modello di RM)

• OCSE (come politiche ed obiettivi dell’InfoSec)

• Evidenziando le differenze tra approcci locali ed internazionali.

– Diagrammi SWOT e Kiviat per rappresentare le diverse situazioni ed azioni tra intraprendere


Esito assessment

011

22

334

45.1

6.1 6.27.1

7.28.1

8.2

8.3

9.1

9.2

10.1

10.2

10.3

10.4

10.510.6

10.710.810.910.1011.0111.0211.03

11.0411.05

11.06

11.07

12.01

12.02

12.03

12.04

12.05

12.06

13.113.2

14.115.1

15.2 15.3

Profilo rilevato Profilo minimo

Stato delle contromisure

0112233444.2.1

4.2.2

4.2.3

4.2.4

4.3.1

4.3.2

4.3.3

5.1

5.2.15.2.2

6

7.1

7.2

7.3

8.1

8.2

8.3

Valori derivati da contromisure Valori rilevati

Diagramma principi OCSE

3,3

3,2

3,5

3,23,4

3,4

3,2

4

4

4

44

4

4

0,0

0,5

1,0

1,5

2,0

2,5

3,0

3,5

4,0Consapevolezza

Responsabilità

Risposta

Valutazione rischioProgettazione e sviluppo sicurezza

Gestione sicurezza

Rivalutazione

Valore ottenuto Valore di riferimento

5 4 3 2 1

5

4

3

2

1

Punti di forza Vulnerabilità

Opportunità

MinacceWEAKNESS - THREATS

AREA

WEAKNESS - OPPORTUNITYAREA

STRONG - OPPORTUNITY

AREA

STRONG - THREATS

AREA

Priorità Descrizione

4.2.1 3,04.2.2 3,44.2.3 3,14.2.4 2,04.3.1 3,14.3.2 4,04.3.3 4,05.1 3,6

5.2.1 2,65.2.2 3,0

6 6 3,07.1 3,07.2 2,87.3 2,28.1 3,08.2 3,08.3 3,0

A Aree critiche - interventi nel breve

M Aree di debolezza - interventi nel medio-breve

B Aree di miglioramento - interventi nel medio-lungo

- Punti di forza - nessun intervento

8

7

5

4

Requisiti Valutazione

I risultati progettuali

• 2010:v formalizzazione e normalizzazione processi

v definizione nuovi KPIs

v superamento audit casa madre e conferma obiettivi

• 2011:v process re-engineering

v superamento audit casa madre

v completamento sotto progetto InfoSec

• 2012:v Stabilizzazione e miglioramento processi

v Ottimizzazione KPIs

v Riqualificazione personale

v Conferma ed estensione certificazioni ISO


Riflessioni e conclusioni

• Il progetto si presta ad essere utilizzato in ogni tipologia di azienda di qualsiasi dimensione, sebbene sia più efficiente nelle aziende medio-grandi (oltre 150 persone)

• Gli sponsor interni naturali sono: CEO, Operation, HR (piùraramente Quality, IT, Mktg e Sales)

• Il consulente ha un peso scarso rispetto agli impegni interni (salvo diversa necessità dell’azienda) e progressivamente nullo

• L’obiettivo, e risultato, principale è la consapevolezza che il management raggiunge in relazione ai propri processi ed al proprio status

• Impatti spesso significativi in termini di IT e InfoSec14/03/2013 AIEA - Security Summit 2013 16

Riflessioni e conclusioni

Peso attesoatteso per funzione

• Top Management 15%

• HR 10%

• Mktg 5%

• Sales 5%• Operation 40%

• Quality 25%

Peso effettivoeffettivo per funzione

• Top Management 10%

• HR 30%

• Mktg 5%

• Sales 5%• Operation 30%

• Quality 20%


SWOT Analysis


StrenghtStrenght••Costi esterni contenutiCosti esterni contenuti••Impegni su tempi dilatatiImpegni su tempi dilatati••Coinvolgimento a tutti i livelliCoinvolgimento a tutti i livelli

OpportunitiesOpportunities••Modifica atteggiamentiModifica atteggiamenti••Comunicazione efficaceComunicazione efficace••Coinvolgimento e consapevolezzaCoinvolgimento e consapevolezza••Da miglioramento a innovazioneDa miglioramento a innovazione

WeaknessWeakness••Costi interni proporzionali a Costi interni proporzionali a dimensioni aziendalidimensioni aziendali••Committment continuoCommittment continuo

ThreatsThreats••Cali di Cali di ““attenzioneattenzione”” a causa dei a causa dei tempi dilatatitempi dilatati••NecessitNecessitàà di frequenti di frequenti aggiornamenti se mercato molto aggiornamenti se mercato molto rapido (TLC)rapido (TLC)

Lessons Learned

• I processi non sempre sono supportati da applicazioni IT di “pari” livello, spesso sono disallineati per obsolescenza o non conoscenza delle piattaforme, delle soluzioni architetturali, delle funzionalità (anche se progettati ad hoc)

• Le banche dati sono spesso piene di informazioni obsolete o ridondanti rispetto allo stato dei processi (oltre il 30% delle informazioni può essere eliminato senza danni ad applicazioni e processi)


Lessons Learned

• Il diverso orientamento (obiettivi) delle funzioni acquisti, IT, HR e business operations crea situazioni conflittuali in merito alle scelte sull’IT– Acquisti “COST SAVING”

– IT tenta di efficientare e aggiornare i sistemi (spesso senza reali piani di contingency e/o capacity collegati al business)

– Business operations seguono il mercato ignorando però le necessità di fasatura con le altre funzioni

– HR dispone di competenze via via più obsolete e scarsi mezzi per la riqualificazione (persone giuste in posti sbagliati)


Lessons Learned

• La percezione del management/proprietà è spesso disallineata rispetto alla situazione oggettiva (troppo avanti o ancorata a successi del passato)

• La rappresentazione della realtà oggettiva, dello status, deve essere espressa in modo misurabile (ad es. per mezzo di CMM) e riconducibile ai KPI

• La valutazione e gestione dei rischi, unitamente al tema della compliance, sembrano essere i temi meno curati o comunque meno riconducibili ai risultati di esercizio (“non potevamo evitare questo bagno di sangue?”)

• L’uso di metodologie e modelli (best practice incluse) sembra essere ancora lontano dallo scardinare il classico “abbiamo sempre fatto così, perche dovremmo cambiare? Al massimo trovo io una soluzione!”


A proposito di ISO/IEC 27001• Ultimamente su web sono state fatte circolare

informazioni imprecise sulla prossima pubblicazione della nuova norma.

• Il Gruppo di Lavoro ISO 27000 di UNINFO ed ACCREDIA hanno preparato un documento specifico per chiarire l’effettiva situazione della norma e delle date previste per la pubblicazione della nuova versione.

• L’articolo sarà pubblicato e diffuso da UNINFO ed ACCREDIA attraverso i loro canali di comunicazione ed a disposizione di chiunque ne faccia richiesta.


NEWS

L’InfoSec ed il CMM

• La ISO/IEC 21827 costituisce uno strumento di valutazione e di individuazione delle aree di miglioramento dell’InfoSec sfruttando le potenzialità del SEI-CMM


Q&A

Grazie per la vostra partecipazione ed attenzione


Per qualsiasi ulteriore informazione: [email protected] o [email protected]

Come far rendere al meglio ciò che abbiamo già pagato

Documents

Transcript of Come far rendere al meglio ciò che abbiamo già pagato