IT Governance
-
Upload
cristiano-di-paolo -
Category
Business
-
view
286 -
download
2
description
Transcript of IT Governance
23.6.2014 - udine - ISACA VENICE Chapter1
IT Governance - Andrea Pontoni ©
IT Governanceper la e Sicurezza delle informazioni
Andrea Pontoni – Luca Moroni
Udine, 23 giugno 2014
23.6.2014 - udine - ISACA VENICE Chapter2
IT Governance - Andrea Pontoni ©
IT Governance – Udine 23 05 2014
Sponsor e sostenitori di ISACA VENICE Chapter
Con il patrocinio di
23.6.2014 - udine - ISACA VENICE Chapter3
IT Governance - Andrea Pontoni ©
Andrea Pontoni
Responsabile funzione di Group IT Audit in Assicuraz ioni Generali
Tra i fondatori di ISACA VENICE di cui è Tesoriere / Web master e responsabile per la formazione COBIT 5.
Laureato Informatica presso l’università d Udine. Ce rtificato CISA, COBIT 5.0 Foundation Trainer, ITIL Foundation
23.6.2014 - udine - ISACA VENICE Chapter4
IT Governance - Andrea Pontoni ©
Luca Moroni
Coordinatore di gruppi di Approfondimento per ISACA VENICE Chapter e quest'anno del gruppo di approfondimento “Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Sett ori Critici del Nord Est”.
Laureato in Informatica a Milano, Certificato CISA e ITIL V3 + Certificazioni di settore
Si occupa di selezionare per i clienti le aziende f ornitrici di tecnologie informatiche in base alle loro competenze specifich e.
23.6.2014 - udine - ISACA VENICE Chapter5
IT Governance - Andrea Pontoni ©
ABSTRACT
• La Sicurezza delle informazioni e l’emergente problematica della
Cybersecurity sono temi che necessitano di un approccio strutturato
anche nelle piccole e medie aziende.
• E’ necessario irrobustire le difese integrando la sicurezza IT con un
approccio olistico che consideri gli aspetti di governance, management
e compliance.
• Nell'incontro verranno presentati alcuni strumenti che permettono alle
azienda di attuare un approccio strutturato ai temi della sicurezza,
anche attraverso l’utilizzo di best practice quali COBIT 5, di una
certificazione dell’azienda ISO27001 o della certificazione dei
responsabili della sicurezza quali CISM, CRISK, Lead auditor /
Implementer ISO 27001.
23.6.2014 - udine - ISACA VENICE Chapter6
IT Governance - Andrea Pontoni ©
Con 115.000 soci costituenti in 180 Paesi, ISACA (www.isaca.org) è un fornitore leader a
livello globale di conoscenze, certificazioni, comunità, raccomandazioni e - formazione
per la sicurezza e l'audit di sistemi informativi , governance e il management dell'IT nelle
organizzazioni e la conformità e i rischi relativi all'IT - .
Fondata nel 1969, ISACA è un'organizzazione indipendente senza scopo di lucro che ospita
conferenze internazionali, pubblica il periodico ISACA® Journal e sviluppa standard
internazionali per l'audit e il controllo di sistemi informativi, che aiutano i costituenti ad
assicurare la fiducia nei sistemi informativi e a trarne valore. Promuove l'avanzamento di
abilità e conoscenze IT e lo certifica mediante i marchi di reputazione mondiale Certified
Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®),
Certified in the Governance of Enterprise IT® (CGEIT®) e Certified in Risk and Information
Systems Control (CRISC).
ISACA provvede all'aggiornamento costante di COBIT®, che aiuta i professionisti IT e i
leader di organizzazioni nell'adempimento delle proprie responsabilità di governance e
management IT, in particolare nelle aree di audit, sicurezza, rischio e controllo,
procurando valore alle aziende.
Oltre 115.000 membri in 180 paesi
200 capitoli in 80 diversi paesi
CERTIFICATI CISA 109.000, CISM 25.000, CGEIT 6000; CRISC 17.000
ISACA Journal, infiniti libri e pubblicazioni
23.6.2014 - udine - ISACA VENICE Chapter7
IT Governance - Andrea Pontoni ©
ISACA VENICE CHAPTER è un’associazione non profitcon lo SCOPO di fornire ai soci locali di ISACA eventi formativi relativamente ai temi di IT GOVERNANCE, IT SECURITY, IT ASSURANCE
Attraverso�la condivisione di esperienze professionali con i professionisti dell’IT del Nord Est dell’Italia al fine di fornire gli appropriati strumenti per affrontare le sfide dell’IT: l’IT risk, i processi IT, e le loro iterazioni con la corporate governance, il corporate management, i rischi aziendali e i processi aziendali
�l’organizzazione di attività formative, promozione d elle certificazioni ISACA , di un networking professionale e della consapevolezza nelle comunità IT locali delle professioni di auditor e di responsabili dell’IT nelle comunità accademiche e dell’impresa.
23.6.2014 - udine - ISACA VENICE Chapter8
IT Governance - Andrea Pontoni ©
BOARD • BREGOLIN MAURO – QSA CISA CRISC COBIT5F; Professional Services Director, KIMA
• D’ORSI ROBERTO – Consultant, Lecturer at University of Venice
• MARIANI ELENA - CISA, Organization an Development Director, Bassilichi
• NARDUZZO ORILLO – CISA CISM CGEIT CRISC CCSA COBIT5F e TR; IT Audit Manager; Banca Popolare di Vicenza
• PEDERIVA ANDREA – CISA COBIT5F e TR; Internal Audit Director; SAVE
• PONTONI ANDREA – CISA, COBIT5F e TR, IT Audit Manager, Assicurazioni Generali
• RAMPAZZO ATTILIO – CISA, CRISC, COBIT5F e TR, SGSI and ISMS Auditor, ISO27001LA; ISO20000A, ITIL-F; Security Senior Auditor ; Almaviva
• SALVATO MARCO – CISA CISM CGEIT CRISC, COBIT5F-TR ITIL-F, PRINCE2; IT Security Manager; Generali Business Solutions
• SARTORI PIERLUIGI – CISM CGEIT CRISC, CISSP, MBCI; Security Manager; Informatica Trentina
• SOLDAN FERDINANDO –CISM CRISC CISA COBIT5F, Compliance Director; Bassilichi
23.6.2014 - udine - ISACA VENICE Chapter9
IT Governance - Andrea Pontoni ©
E’ ormai un dovere necessario per le aziende:
•Mantenere i RISCHI legati alla gestione delle informazioni a un livello accettabile al fine di PROTEGGERE LE INFORMAZIONI contro la divulgazione non autorizzata, modifiche non autorizzate o involontarie, e possibili intrusioni;
•GARANTIRE che i servizi e i sistemi siano sempre DISPONIBILI agli utilizzatori (interni ed esterni), assicurando la soddisfazione dell’utente nell’utilizzo dei servizi forniti dall’IT.
•RISPETTARE il crescente numero di LEGGI E REGOLAMENTI, nonché i requisiti contrattuali e le politiche interne in materia di sicurezza delle informazioni e dei sistemi, e fornire trasparenza sul livello di conformità.
•Ottenere TUTTO quanto sopra, CONTENENDO contemporaneamente IL COSTO dei servizi IT e della protezione della tecnologia.
La sfida della Sicurezza IT nelle aziende
9
23.6.2014 - udine - ISACA VENICE Chapter10
IT Governance - Andrea Pontoni ©
COME
Enterprise IT GovernanceApproccio strutturato alla sicurezza
23.6.2014 - udine - ISACA VENICE Chapter11
IT Governance - Andrea Pontoni ©
IT GOVERNANCE
23.6.2014 - udine - ISACA VENICE Chapter12
IT Governance - Andrea Pontoni ©
23.6.2014 - udine - ISACA VENICE Chapter13
IT Governance - Andrea Pontoni ©
23.6.2014 - udine - ISACA VENICE Chapter14
IT Governance - Andrea Pontoni ©
COBIT 5 aiuta le organizzazioni a ottenere dall'IT il valore ottimale, conservando l'equilibrio tra l’ottenimento dei benefici att esi e l'ottimizzazione dei livelli di rischio e di impiego delle ri sorse.
COBIT 5 consente di governare e gestire l'informazione e la relativa tecnologia in modo olistico per l'intera organizza zione, comprendendo tutte le aree di responsabilità funzionali e aziendali, tenendo conto degli interessi correlati all'IT d eglistakeholder interni ed esterni.
IT GOVERNANCE PER COBIT
14
23.6.2014 - udine - ISACA VENICE Chapter15
IT Governance - Andrea Pontoni ©
Governance IT
COBIT4.0/4.1
Management
COBIT3
Controllo
COBIT2
Audit
COBIT1
2005/720001998
Evo
luzi
one
dell'
ambi
to
1996 2012
Val IT 2.0(2008)
Risk IT(2009)
EVOLUZIONE DI COBIT
23.6.2014 - udine - ISACA VENICE Chapter16
IT Governance - Andrea Pontoni ©
Il principale prodotto "ombrello" di COBIT 5Comprende un executive summary e la descrizione completa di
tutti i componenti dell'infrastruttura COBIT 5.� I cinque principi COBIT 5� I sette attivatori COBIT 5 , più� un'introduzione alla guida all'implementazione sviluppata da
ISACA (COBIT 5 Implementazione)� Un'introduzione al programma di valutazione COBIT (non
specifica per COBIT 5) e all'approccio alla capacità di processoadottato da ISACA per COBIT
INFRASTRUTTURA DI COBIT
23.6.2014 - udine - ISACA VENICE Chapter17
IT Governance - Andrea Pontoni ©
GAMMA DI PRODOTTI COBIT
23.6.2014 - udine - ISACA VENICE Chapter18
IT Governance - Andrea Pontoni ©
ALBERO PROCESSI COBIT
23.6.2014 - udine - ISACA VENICE Chapter19
IT Governance - Andrea Pontoni ©
ALBERO PROCESSI COBIT
Il modello di riferimento dei processi COBIT 5 suddivide le pratiche e le attività dell'organizzazione correlate all'IT in due aree principali, governance e management, dove ilmanagement è ulteriormente suddiviso in domini diprocessi:
• Il dominio della GOVERNANCE comprende cinqueprocessi; per ciascuno di essi sono definite le pratiche di valutazione, direzione e monitoraggio(EDM).
• I quattro domini del MANAGEMENT sono allineatialle aree di responsabilità della pianificazione, dellacostruzione, dell'esecuzione e del monitoraggio(PBRM).
23.6.2014 - udine - ISACA VENICE Chapter20
IT Governance - Andrea Pontoni ©
ESEMPIO
23.6.2014 - udine - ISACA VENICE Chapter21
IT Governance - Andrea Pontoni ©
COBIT 5 for Information Security
23.6.2014 - udine - ISACA VENICE Chapter22
IT Governance - Andrea Pontoni ©
ISO 27000
23.6.2014 - udine - ISACA VENICE Chapter23
IT Governance - Andrea Pontoni ©
LO STANDARD ISO 27000
Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS)
- Applicabile ad organizzazioni di ogni dimensione
- Ambito definibile a piacimento
- Approccio ciclico (PDCA)
- Orientata ai processi
- Costituisce un framework completo
- Dice cosa fare ma non come farlo
- Volta al miglioramento continuo
- E’ un riferimento universale e certificabile
23.6.2014 - udine - ISACA VENICE Chapter24
IT Governance - Andrea Pontoni ©
Storia ISO27000
23.6.2014 - udine - ISACA VENICE Chapter25
IT Governance - Andrea Pontoni ©
ISO/IEC 27002:2013 ISO/IEC 27001:2013
Guida Requisiti
Fornisce i requisiti
per definire,
realizzare, gestire,
monitorare,
riesaminare,
mantenere e
migliorare un SGSI
documentato
Fornisce
raccomandazioni
e consigli sulla
implementazione dei
controlli di sicurezza
delle informazioni
ISO 27000 oggi
23.6.2014 - udine - ISACA VENICE Chapter26
IT Governance - Andrea Pontoni ©
Famiglia ISO/IEC 27000Requisiti Linee Guida Linee Guida di Settore
27001:2013ISMS requirements 27000:2014
ISMS Overview and vocabulary
27006:2011
Requirements for audit and
certification bodies
27002:2013
Code of practice for ISMS
27003:2010
ISMS implementation guidance
27004:2009 ISMS
Measurements
27005:2011 Information
Security Risk Management
27007 :2011 ISMS
auditing guidelines
TR 27008:2011 Guidance for auditors on ISMS
controls
27010:2012 ISMS
interworking and
communications
27011:2008 ISMS guidelines for
telecommunications
27013:2012 IS
20000 and ISO 27001
27014:2013
Security Governance
TR 27015:2012
Financial/insurance services
ISO/IEC 27031:2011
ICT Business Continuity
27799:2008 ISMS
guidelines for Health
REV
REV
23.6.2014 - udine - ISACA VENICE Chapter27
IT Governance - Andrea Pontoni ©
A chi si rivolge la ISO/IEC 27001:2013
ISO/IEC 27001 è indicata per qualsiasi organizzazione, grande o piccola, in qualsiasi settore di attività o parte del mondo. La norma è particolarmente indicata nei casi in cui la protezione delle informazioni è critica, come nei settori finanziario, pubblico e IT.
ISO/IEC 27001 è inoltre particolarmente efficace per le organizzazioni che gestiscono informazioni per conto terzi, come le società di outsourcing dell'IT e può essere utilizzato come garanzia di protezione per le informazioni dei propri clienti.
23.6.2014 - udine - ISACA VENICE Chapter28
IT Governance - Andrea Pontoni ©
ISO/IEC 27001
•Principale standard internazionale per la gestione della sicurezza delle informazioni
•A Dicembre 2012, più di 20000 organizzazioni nel mondo risultavano certificate contro questa norma
•Il suo scopo è quello di proteggere la riservatezza, l'integrità e la disponibilità delle informazioni-‘Information security includes three main dimensions: confidentiality, availability and integrity.’-
23.6.2014 - udine - ISACA VENICE Chapter29
IT Governance - Andrea Pontoni ©
ISO/IEC 27001
• Non è una norma tecnica che fornisce un modello per definire, implementare, operare, monitorare, rivedere, mantenere e migliorare un ISMS (Information Security Management System o SGSI Sistema di gestione della Sicurezza delle Informazioni)
• La progettazione e la realizzazione di un ISMS dell'organizzazione è influenzato dalle necessità e obiettivi specifici, dai requisiti di sicurezza, dai processi interni e dalle dimensioni e dalla struttura dell'organizzazione.
23.6.2014 - udine - ISACA VENICE Chapter30
IT Governance - Andrea Pontoni ©
L'approccio per processi per la gestione della sicurezza delle informazioni presentate nella presente norma internazionale enfatizza l'importanza di: a)comprendere le esigenze della sicurezza delle informazioni nell'organizzazione e la necessità di stabilire politiche e obiettivi per la sicurezza delle informazioni; b)la realizzazione e il funzionamento dei controlli per gestire i rischi di sicurezza informatica di un'organizzazione nel contesto dei rischi aziendali generali dell'organizzazione; c)il monitoraggio e la revisione delle prestazioni e l'efficacia del SGSI; d)miglioramento continuo basato sulla misurazione oggettiva.
ISO/IEC 27001
23.6.2014 - udine - ISACA VENICE Chapter31
IT Governance - Andrea Pontoni ©
Approccio dell’ ISO 27001 1/2
La presente norma internazionale adotta il "-Do-Check-Act Plan" (PDCA), che si applica a strutturare tutti Processi dell’ISMS.
23.6.2014 - udine - ISACA VENICE Chapter32
IT Governance - Andrea Pontoni ©
Approccio dell’ ISO 27001 2/2
23.6.2014 - udine - ISACA VENICE Chapter33
IT Governance - Andrea Pontoni ©
Definire ISMS (PLAN)
• Definire perimetro applicazione ISMS e definire la policy ISMS
• Definire l’approccio di valutazione del rischio dell’organizzazione
• Identificazione dei rischi e successiva analisi e valutazione
• Identificazione del obiettivi di controllo e dei controlli per la gestione del rischio
• Approvazione da parte del management dei rischi residui
• Preparare lo ‘Statement of Applicability’ - la lista dei controlli implementati e giustificazione di quelli esclusi’
23.6.2014 - udine - ISACA VENICE Chapter34
IT Governance - Andrea Pontoni ©
Implementare l’ ISMS (DO)
• Definire e implementare un piano di gestione del rischio (risorse, responsabilità..)
• Implementare i controlli definiti nella fase precedente• Definire un modello di valutazione dell’effettività dei
controlli implementati• Implementare programmi di training e di
consapevolezza• Gestire nel continuo il l’IMSM e le risorse relative• Implementare procedure e controlli capaci di scoprire e
di dare risposta immediata agli incidenti di sicurezza
23.6.2014 - udine - ISACA VENICE Chapter35
IT Governance - Andrea Pontoni ©
Monitorare l’ ISMS (Check )
• L’organizzazione deve monitorare e rivedere i controlli
• Implementare i controlli definiti nella fase precedente• Rivedere periodicamente l’effettività dell’ISMS• Misurare l’effettività dei controlli• Rivedere periodicamente il risk asssessment e
assicurarsi che i cambi avvenuti nell’organizzazione, tecnologici, di obiettivi strategici, normativi siano tenuti in considerazione
• Condurre audit sull’ISMS periodicamente e gestire prontamente eventuali finding
23.6.2014 - udine - ISACA VENICE Chapter36
IT Governance - Andrea Pontoni ©
Migliorare l’ ISMS (ACT)
• Implementare i miglioramenti identificati nell’ISMS• Attuare azioni correttive e preventive utilizzando ogni
informazione appresa dall’esperienze accadute nell’impresa stessa o in organizzazioni simili
• Avere un corretto processo di comunicazione delle problematiche di sicurezza
• Assicurare che le azioni di miglioramento attivate raggiungano gli obiettivi attesi
23.6.2014 - udine - ISACA VENICE Chapter37
IT Governance - Andrea Pontoni ©
CERTIFICAZIONI SULLA SICUREZZA
23.6.2014 - udine - ISACA VENICE Chapter38
IT Governance - Andrea Pontoni ©
Certificazione Lead auditor ISO/IEC 27001
La certificazione ISO / IEC 27001 Lead Auditor ècostituita da una certificazione professionale per gli auditor specializzati in sistemi di gestione della sicurezza delle informazioni (ISMS) basato sulla norma ISO / IEC 27001
Gli argomenti sono i seguenti:•Conoscenza della ISO/IEC 27001 e altri standard pertinenti;•Tecniche di sicurezza delle informazioni;•Metodi di valutazione e gestione del rischio;•Elementi della normativa applicabile;•Caratteristiche dei sistemi di gestione;•Misurazione dell’efficacia di un sistema di gestione per la sicurezza delle informazioni;•Gestione e conduzione degli audit secondo gli standard pertinenti (con esercitazioni e simulazioni)
•
23.6.2014 - udine - ISACA VENICE Chapter39
IT Governance - Andrea Pontoni ©
I corsi da Lead auditor ISO/IEC 27001 sono di 40 ore e includono l’esame. I corsi possono essere erogati in un unico modulo di 40 ore o in due moduli di 16 ore e di 24.Per ottenere una qualificazione accreditata ed un certificato valido ai fini della certificazione, il corso deve essere qualificato/registrato da un organismo di certificazione del personale accreditato
L’esame di certificazione Lead Auditor ISO/IEC 27001 ha durata dipendente dall’organismo di certificazione del personale. Non sono richiesti prerequisiti per partecipare all’esame.
Certificazione Lead auditor ISO/IEC 27001
23.6.2014 - udine - ISACA VENICE Chapter40
IT Governance - Andrea Pontoni ©
Gli argomenti sono i seguenti:• Introduzione ai sistemi di gestione e all’approccio per processi• Presentazione del framework 27000• Principi di sicurezza delle informazioni• Definizione dell’ambito di un SGSI• Sviluppo del SGSI e delle politiche di sicurezza• Scelta e applicazione delle metodologie per la gestione del rischio• Stesura del SoA• Realizzazione di un framework documentale• Progettazione e attuazione di controlli e procedure• Sviluppo di programmi di istruzione, formazione e consapevolezza• Gestione degli incidenti e dell’operatività di un SGSI• Monitoraggio di un SGSI• Sviluppo di metriche e misurazioni di efficacia• Audit interni• Riesami della direzione• Attuazione del miglioramento continuo
• Preparazione per un audit di certificazione
ISO 27001 Implementer
23.6.2014 - udine - ISACA VENICE Chapter41
IT Governance - Andrea Pontoni ©
Il corso preparatorio all’esame ha una durata di 4 giorni mentre quest’ultimo può essere effettuato in un tempo massimo di 3 ore. La frequenza del corso non èobbligatoria per sostenere l’esame e non vi sono prerequisiti per effettuarlo. Deve essere fornita evidenza di formazione continua e di attività professionale collegata alla certificazione conseguita:10 ore di formazione e 10 ore di attivitàannuale / 30 ore di formazione e 30 ore di attivitàtriennale
ISO 27001 Implementer
23.6.2014 - udine - ISACA VENICE Chapter42
IT Governance - Andrea Pontoni ©
Grazie per l’attenzione
Andrea Pontoni
Luca Moroni