IT Governance

23.6.2014 - udine - ISACA VENICE Chapter1

IT Governance - Andrea Pontoni ©

IT Governanceper la e Sicurezza delle informazioni

Andrea Pontoni – Luca Moroni

Udine, 23 giugno 2014



IT Governance – Udine 23 05 2014

Sponsor e sostenitori di ISACA VENICE Chapter

Con il patrocinio di



Andrea Pontoni

Responsabile funzione di Group IT Audit in Assicuraz ioni Generali

Tra i fondatori di ISACA VENICE di cui è Tesoriere / Web master e responsabile per la formazione COBIT 5.

Laureato Informatica presso l’università d Udine. Ce rtificato CISA, COBIT 5.0 Foundation Trainer, ITIL Foundation



Luca Moroni

Coordinatore di gruppi di Approfondimento per ISACA VENICE Chapter e quest'anno del gruppo di approfondimento “Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Sett ori Critici del Nord Est”.

Laureato in Informatica a Milano, Certificato CISA e ITIL V3 + Certificazioni di settore

Si occupa di selezionare per i clienti le aziende f ornitrici di tecnologie informatiche in base alle loro competenze specifich e.



ABSTRACT

• La Sicurezza delle informazioni e l’emergente problematica della

Cybersecurity sono temi che necessitano di un approccio strutturato

anche nelle piccole e medie aziende.

• E’ necessario irrobustire le difese integrando la sicurezza IT con un

approccio olistico che consideri gli aspetti di governance, management

e compliance.

• Nell'incontro verranno presentati alcuni strumenti che permettono alle

azienda di attuare un approccio strutturato ai temi della sicurezza,

anche attraverso l’utilizzo di best practice quali COBIT 5, di una

certificazione dell’azienda ISO27001 o della certificazione dei

responsabili della sicurezza quali CISM, CRISK, Lead auditor /

Implementer ISO 27001.



Con 115.000 soci costituenti in 180 Paesi, ISACA (www.isaca.org) è un fornitore leader a

livello globale di conoscenze, certificazioni, comunità, raccomandazioni e - formazione

per la sicurezza e l'audit di sistemi informativi , governance e il management dell'IT nelle

organizzazioni e la conformità e i rischi relativi all'IT - .

Fondata nel 1969, ISACA è un'organizzazione indipendente senza scopo di lucro che ospita

conferenze internazionali, pubblica il periodico ISACA® Journal e sviluppa standard

internazionali per l'audit e il controllo di sistemi informativi, che aiutano i costituenti ad

assicurare la fiducia nei sistemi informativi e a trarne valore. Promuove l'avanzamento di

abilità e conoscenze IT e lo certifica mediante i marchi di reputazione mondiale Certified

Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®),

Certified in the Governance of Enterprise IT® (CGEIT®) e Certified in Risk and Information

Systems Control (CRISC).

ISACA provvede all'aggiornamento costante di COBIT®, che aiuta i professionisti IT e i

leader di organizzazioni nell'adempimento delle proprie responsabilità di governance e

management IT, in particolare nelle aree di audit, sicurezza, rischio e controllo,

procurando valore alle aziende.

Oltre 115.000 membri in 180 paesi

200 capitoli in 80 diversi paesi

CERTIFICATI CISA 109.000, CISM 25.000, CGEIT 6000; CRISC 17.000

ISACA Journal, infiniti libri e pubblicazioni



ISACA VENICE CHAPTER è un’associazione non profitcon lo SCOPO di fornire ai soci locali di ISACA eventi formativi relativamente ai temi di IT GOVERNANCE, IT SECURITY, IT ASSURANCE

Attraverso�la condivisione di esperienze professionali con i professionisti dell’IT del Nord Est dell’Italia al fine di fornire gli appropriati strumenti per affrontare le sfide dell’IT: l’IT risk, i processi IT, e le loro iterazioni con la corporate governance, il corporate management, i rischi aziendali e i processi aziendali

�l’organizzazione di attività formative, promozione d elle certificazioni ISACA , di un networking professionale e della consapevolezza nelle comunità IT locali delle professioni di auditor e di responsabili dell’IT nelle comunità accademiche e dell’impresa.



BOARD • BREGOLIN MAURO – QSA CISA CRISC COBIT5F; Professional Services Director, KIMA

• D’ORSI ROBERTO – Consultant, Lecturer at University of Venice

• MARIANI ELENA - CISA, Organization an Development Director, Bassilichi

• NARDUZZO ORILLO – CISA CISM CGEIT CRISC CCSA COBIT5F e TR; IT Audit Manager; Banca Popolare di Vicenza

• PEDERIVA ANDREA – CISA COBIT5F e TR; Internal Audit Director; SAVE

• PONTONI ANDREA – CISA, COBIT5F e TR, IT Audit Manager, Assicurazioni Generali

• RAMPAZZO ATTILIO – CISA, CRISC, COBIT5F e TR, SGSI and ISMS Auditor, ISO27001LA; ISO20000A, ITIL-F; Security Senior Auditor ; Almaviva

• SALVATO MARCO – CISA CISM CGEIT CRISC, COBIT5F-TR ITIL-F, PRINCE2; IT Security Manager; Generali Business Solutions

• SARTORI PIERLUIGI – CISM CGEIT CRISC, CISSP, MBCI; Security Manager; Informatica Trentina

• SOLDAN FERDINANDO –CISM CRISC CISA COBIT5F, Compliance Director; Bassilichi



E’ ormai un dovere necessario per le aziende:

•Mantenere i RISCHI legati alla gestione delle informazioni a un livello accettabile al fine di PROTEGGERE LE INFORMAZIONI contro la divulgazione non autorizzata, modifiche non autorizzate o involontarie, e possibili intrusioni;

•GARANTIRE che i servizi e i sistemi siano sempre DISPONIBILI agli utilizzatori (interni ed esterni), assicurando la soddisfazione dell’utente nell’utilizzo dei servizi forniti dall’IT.

•RISPETTARE il crescente numero di LEGGI E REGOLAMENTI, nonché i requisiti contrattuali e le politiche interne in materia di sicurezza delle informazioni e dei sistemi, e fornire trasparenza sul livello di conformità.

•Ottenere TUTTO quanto sopra, CONTENENDO contemporaneamente IL COSTO dei servizi IT e della protezione della tecnologia.

La sfida della Sicurezza IT nelle aziende

9



COME

Enterprise IT GovernanceApproccio strutturato alla sicurezza



IT GOVERNANCE



COBIT 5 aiuta le organizzazioni a ottenere dall'IT il valore ottimale, conservando l'equilibrio tra l’ottenimento dei benefici att esi e l'ottimizzazione dei livelli di rischio e di impiego delle ri sorse.

COBIT 5 consente di governare e gestire l'informazione e la relativa tecnologia in modo olistico per l'intera organizza zione, comprendendo tutte le aree di responsabilità funzionali e aziendali, tenendo conto degli interessi correlati all'IT d eglistakeholder interni ed esterni.

IT GOVERNANCE PER COBIT

14



Governance IT

COBIT4.0/4.1

Management

COBIT3

Controllo

COBIT2

Audit

COBIT1

2005/720001998

Evo

luzi

one

dell'

ambi

to

1996 2012

Val IT 2.0(2008)

Risk IT(2009)

EVOLUZIONE DI COBIT



Il principale prodotto "ombrello" di COBIT 5Comprende un executive summary e la descrizione completa di

tutti i componenti dell'infrastruttura COBIT 5.� I cinque principi COBIT 5� I sette attivatori COBIT 5 , più� un'introduzione alla guida all'implementazione sviluppata da

ISACA (COBIT 5 Implementazione)� Un'introduzione al programma di valutazione COBIT (non

specifica per COBIT 5) e all'approccio alla capacità di processoadottato da ISACA per COBIT

INFRASTRUTTURA DI COBIT



GAMMA DI PRODOTTI COBIT



ALBERO PROCESSI COBIT



ALBERO PROCESSI COBIT

Il modello di riferimento dei processi COBIT 5 suddivide le pratiche e le attività dell'organizzazione correlate all'IT in due aree principali, governance e management, dove ilmanagement è ulteriormente suddiviso in domini diprocessi:

• Il dominio della GOVERNANCE comprende cinqueprocessi; per ciascuno di essi sono definite le pratiche di valutazione, direzione e monitoraggio(EDM).

• I quattro domini del MANAGEMENT sono allineatialle aree di responsabilità della pianificazione, dellacostruzione, dell'esecuzione e del monitoraggio(PBRM).



ESEMPIO



COBIT 5 for Information Security



ISO 27000



LO STANDARD ISO 27000

Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS)

- Applicabile ad organizzazioni di ogni dimensione

- Ambito definibile a piacimento

- Approccio ciclico (PDCA)

- Orientata ai processi

- Costituisce un framework completo

- Dice cosa fare ma non come farlo

- Volta al miglioramento continuo

- E’ un riferimento universale e certificabile



Storia ISO27000



ISO/IEC 27002:2013 ISO/IEC 27001:2013

Guida Requisiti

Fornisce i requisiti

per definire,

realizzare, gestire,

monitorare,

riesaminare,

mantenere e

migliorare un SGSI

documentato

Fornisce

raccomandazioni

e consigli sulla

implementazione dei

controlli di sicurezza

delle informazioni

ISO 27000 oggi



Famiglia ISO/IEC 27000Requisiti Linee Guida Linee Guida di Settore

27001:2013ISMS requirements 27000:2014

ISMS Overview and vocabulary

27006:2011

Requirements for audit and

certification bodies

27002:2013

Code of practice for ISMS

27003:2010

ISMS implementation guidance

27004:2009 ISMS

Measurements

27005:2011 Information

Security Risk Management

27007 :2011 ISMS

auditing guidelines

TR 27008:2011 Guidance for auditors on ISMS

controls

27010:2012 ISMS

interworking and

communications

27011:2008 ISMS guidelines for

telecommunications

27013:2012 IS

20000 and ISO 27001

27014:2013

Security Governance

TR 27015:2012

Financial/insurance services

ISO/IEC 27031:2011

ICT Business Continuity

27799:2008 ISMS

guidelines for Health

REV

REV



A chi si rivolge la ISO/IEC 27001:2013

ISO/IEC 27001 è indicata per qualsiasi organizzazione, grande o piccola, in qualsiasi settore di attività o parte del mondo. La norma è particolarmente indicata nei casi in cui la protezione delle informazioni è critica, come nei settori finanziario, pubblico e IT.

ISO/IEC 27001 è inoltre particolarmente efficace per le organizzazioni che gestiscono informazioni per conto terzi, come le società di outsourcing dell'IT e può essere utilizzato come garanzia di protezione per le informazioni dei propri clienti.



ISO/IEC 27001

•Principale standard internazionale per la gestione della sicurezza delle informazioni

•A Dicembre 2012, più di 20000 organizzazioni nel mondo risultavano certificate contro questa norma

•Il suo scopo è quello di proteggere la riservatezza, l'integrità e la disponibilità delle informazioni-‘Information security includes three main dimensions: confidentiality, availability and integrity.’-



ISO/IEC 27001

• Non è una norma tecnica che fornisce un modello per definire, implementare, operare, monitorare, rivedere, mantenere e migliorare un ISMS (Information Security Management System o SGSI Sistema di gestione della Sicurezza delle Informazioni)

• La progettazione e la realizzazione di un ISMS dell'organizzazione è influenzato dalle necessità e obiettivi specifici, dai requisiti di sicurezza, dai processi interni e dalle dimensioni e dalla struttura dell'organizzazione.



L'approccio per processi per la gestione della sicurezza delle informazioni presentate nella presente norma internazionale enfatizza l'importanza di: a)comprendere le esigenze della sicurezza delle informazioni nell'organizzazione e la necessità di stabilire politiche e obiettivi per la sicurezza delle informazioni; b)la realizzazione e il funzionamento dei controlli per gestire i rischi di sicurezza informatica di un'organizzazione nel contesto dei rischi aziendali generali dell'organizzazione; c)il monitoraggio e la revisione delle prestazioni e l'efficacia del SGSI; d)miglioramento continuo basato sulla misurazione oggettiva.

ISO/IEC 27001



Approccio dell’ ISO 27001 1/2

La presente norma internazionale adotta il "-Do-Check-Act Plan" (PDCA), che si applica a strutturare tutti Processi dell’ISMS.



Approccio dell’ ISO 27001 2/2



Definire ISMS (PLAN)

• Definire perimetro applicazione ISMS e definire la policy ISMS

• Definire l’approccio di valutazione del rischio dell’organizzazione

• Identificazione dei rischi e successiva analisi e valutazione

• Identificazione del obiettivi di controllo e dei controlli per la gestione del rischio

• Approvazione da parte del management dei rischi residui

• Preparare lo ‘Statement of Applicability’ - la lista dei controlli implementati e giustificazione di quelli esclusi’



Implementare l’ ISMS (DO)

• Definire e implementare un piano di gestione del rischio (risorse, responsabilità..)

• Implementare i controlli definiti nella fase precedente• Definire un modello di valutazione dell’effettività dei

controlli implementati• Implementare programmi di training e di

consapevolezza• Gestire nel continuo il l’IMSM e le risorse relative• Implementare procedure e controlli capaci di scoprire e

di dare risposta immediata agli incidenti di sicurezza



Monitorare l’ ISMS (Check )

• L’organizzazione deve monitorare e rivedere i controlli

• Implementare i controlli definiti nella fase precedente• Rivedere periodicamente l’effettività dell’ISMS• Misurare l’effettività dei controlli• Rivedere periodicamente il risk asssessment e

assicurarsi che i cambi avvenuti nell’organizzazione, tecnologici, di obiettivi strategici, normativi siano tenuti in considerazione

• Condurre audit sull’ISMS periodicamente e gestire prontamente eventuali finding



Migliorare l’ ISMS (ACT)

• Implementare i miglioramenti identificati nell’ISMS• Attuare azioni correttive e preventive utilizzando ogni

informazione appresa dall’esperienze accadute nell’impresa stessa o in organizzazioni simili

• Avere un corretto processo di comunicazione delle problematiche di sicurezza

• Assicurare che le azioni di miglioramento attivate raggiungano gli obiettivi attesi



CERTIFICAZIONI SULLA SICUREZZA



Certificazione Lead auditor ISO/IEC 27001

La certificazione ISO / IEC 27001 Lead Auditor ècostituita da una certificazione professionale per gli auditor specializzati in sistemi di gestione della sicurezza delle informazioni (ISMS) basato sulla norma ISO / IEC 27001

Gli argomenti sono i seguenti:•Conoscenza della ISO/IEC 27001 e altri standard pertinenti;•Tecniche di sicurezza delle informazioni;•Metodi di valutazione e gestione del rischio;•Elementi della normativa applicabile;•Caratteristiche dei sistemi di gestione;•Misurazione dell’efficacia di un sistema di gestione per la sicurezza delle informazioni;•Gestione e conduzione degli audit secondo gli standard pertinenti (con esercitazioni e simulazioni)

•



I corsi da Lead auditor ISO/IEC 27001 sono di 40 ore e includono l’esame. I corsi possono essere erogati in un unico modulo di 40 ore o in due moduli di 16 ore e di 24.Per ottenere una qualificazione accreditata ed un certificato valido ai fini della certificazione, il corso deve essere qualificato/registrato da un organismo di certificazione del personale accreditato

L’esame di certificazione Lead Auditor ISO/IEC 27001 ha durata dipendente dall’organismo di certificazione del personale. Non sono richiesti prerequisiti per partecipare all’esame.

Certificazione Lead auditor ISO/IEC 27001



Gli argomenti sono i seguenti:• Introduzione ai sistemi di gestione e all’approccio per processi• Presentazione del framework 27000• Principi di sicurezza delle informazioni• Definizione dell’ambito di un SGSI• Sviluppo del SGSI e delle politiche di sicurezza• Scelta e applicazione delle metodologie per la gestione del rischio• Stesura del SoA• Realizzazione di un framework documentale• Progettazione e attuazione di controlli e procedure• Sviluppo di programmi di istruzione, formazione e consapevolezza• Gestione degli incidenti e dell’operatività di un SGSI• Monitoraggio di un SGSI• Sviluppo di metriche e misurazioni di efficacia• Audit interni• Riesami della direzione• Attuazione del miglioramento continuo

• Preparazione per un audit di certificazione

ISO 27001 Implementer



Il corso preparatorio all’esame ha una durata di 4 giorni mentre quest’ultimo può essere effettuato in un tempo massimo di 3 ore. La frequenza del corso non èobbligatoria per sostenere l’esame e non vi sono prerequisiti per effettuarlo. Deve essere fornita evidenza di formazione continua e di attività professionale collegata alla certificazione conseguita:10 ore di formazione e 10 ore di attivitàannuale / 30 ore di formazione e 30 ore di attivitàtriennale

ISO 27001 Implementer



Grazie per l’attenzione

Andrea Pontoni

[email protected]

Luca Moroni

[email protected]

IT Governance

Business

Transcript of IT Governance