Presentazione presso AIEA Milano, 12 Ottobre 2001 Esperienze pratiche delluso di Cobit in ambiente...
-
Upload
concetta-colonna -
Category
Documents
-
view
218 -
download
3
Transcript of Presentazione presso AIEA Milano, 12 Ottobre 2001 Esperienze pratiche delluso di Cobit in ambiente...
Presentazione
presso AIEA
Milano, 12 Ottobre 2001
Esperienze pratiche dell’uso di Cobit in ambiente bancario
EUROS Consulting
EUROS Consulting e la sicurezza Consulenza Club sul Computer Crime SecurityNet Antiriciclaggio Prodotti e formazione sulla sicurezza
EUROS e l’auditing dei sistemi informativi Approccio metodologico Liste di controllo (anche automatizzate)
Banca con automazione in proprio Banca in outsourcing Centro di outsourcing
Test specifici (test di penetrazione del sito Internet) Comparazione
(questionario sulla sicurezza dell’ABI) Formazione del personale
La metodologia CobiT
(Control OBjectives for Information and related Technology) Standard generalmente applicabile e accettato1 per
una buona pratica dell’Information Technology Sviluppata da ISACA Caratteristiche del progetto CobiT
pragmatico rispondente alle esigenze aziendali indipendente dalla piattaforma tecnica di IT adottata riferimento a standard di qualità internazionali
(ITSEC, TCSEC, ISO9000)
1 Termine usato in relazione ai General Accepted Accountig Principles (Principi di riferimento professionale della revisione nel mondo anglosassone)
Schema di riferimento
Classificazione dei domini e dei processi dove si applicano gli obiettivi di controllo di alto livello
Formulazione dei requisiti di business relativi alle informazioni di quel dominio
Individuazione delle risorse coinvolte in via principale dall’obiettivo di controllo(più di 300 obiettivi di controllo di dettaglio)
Auditors
Utenti
Managers
Destinatari
Risors
e IT
Dati
Ap
plicazio
ni
Tecn
olo
gia
Riso
rse um
ane
Infrastru
tture
Fiduci
a
Qual
ità
Sicure
zza
Criteri delle informazioni
Domini
Processi
Attività
Consigliare la Direzione sui controlli interni
Ottenere la garanzia di sicurezza e controllo sui processi
Supporto al bilanciamento tra rischi e investimenti nei controlli
CobiT: i domini dell’IT
CobiT: summary table
Gli obiettivi di controllo di alto livello e quelli di dettaglio sono verificati: Ottenendo la conoscenza mediante interviste al
Management e allo staff su struttura organizzativa, ruoli e responsabilità politiche/procedure, leggi/regolamenti misure di controllo in uso
Valutazione dei controlli Valutazione della conformità Definizione del rischio
CobiT: Linee guida di audit
CobiT: novità della terza edizione
Adeguamento di alcuni obiettivi di controllo Introduzione delle Management Guidelines
Balanced Business Scorecard Maturity Model
Applicazione della metodologia CobiT:progetti di miglioramento e sviluppo della funzionedi ICT Auditing Esempio 1 (Automazione in proprio)
Benchmark Riferimento questionario ABI Ruolo dell’ICT Auditing
Illustrazione della metodologia CobiT Individuazione dei processi e analisi degli obiett
ivi di controllo Sicurezza dei sistemi
- Controllo degli accessi . Auditing RACF . Verifica matrice degli accessi
Gestione della configurazione
Analisi dell’applicazione Questionario controllo accessi applicazioni
Applicazione della metodologia CobiT:progetti di miglioramento e sviluppo della funzionedi ICT Auditing Esempio 2 (Outsourcing dei sistemi informativi)
Prima fase (outsourcing completo verso polo di outsourcing) Illustrazione della metodologia CobiT Analisi Cobit delle procedure di interfaccia con outsourcer
17 processi utilizzati analisi specifica (anche CobiT) del contratto
Seconda fase (outsourcing fm, am e tlc con diversi fornitori) Individuazione dei processi e analisi degli obiettivi di controllo
Gestione dei fornitori Installare e collaudare i sistemi Assicurare la continuità del servizio Assistere e consigliare gli utenti Gestire i problemi e gli incidenti ……….
Convergenza con analisi rischi operativi (ABI) Indicatori di performance
Manuale su Web di ICT Auditing
Applicazione della metodologia CobiT:progetti di miglioramento e sviluppo della funzionedi ICT Auditing Esempio 3 (Outsourcing dei sistemi informativi)
Illustrazione della metodologia CobiT Analisi dello stato aziendale dei processi CobiT Selezione dei processi (esigenze azienda e indicazioni Bankit)
Gestione dei fornitori analisi specifica (anche CobiT) del contratto
Garantire la sicurezza dei sistemi checklist personalizzata da CobiT
…………...
In sintesi
Applicazione di una metodologia standard
Rispetto delle disposizioni dell’Organo di Vigilanza e di legge
Adattamento a tutte le configurazioni gestionali dell’informatica aziendale
Fine presentazione
Esperienze pratiche dell’uso di
Cobit in ambiente bancario
Comparazione
Pianificazione e organizzazione
In questo dominio rientrano le strategie e le tattiche e ci si occupa principalmente dell’identificazione della via attraverso la quale l’IT può meglio contribuire al perseguimento degli obiettivi aziendali
Inoltre per realizzare la visione strategica è necessario pianificare, comunicare e gestire le diverse prospettive.
Infine deve essere costituita una adeguata organizzazione come pure una infrastruttura tecnologica
Pianificazione e organizzazione: i processi
Definire un piano strategico per l’IT
Definire l’architettura dei dati
Definire l’indirizzo tecnologico
Definire l’organizzazione IT e le sue relazioni
Gestire gli investimenti nell’ IT
Comunicare gli indirizzi e gli obiettivi del management
Gestire le risorse umane
Assicurare la conformità a leggi e norme esterne
Valutare i rischi
Gestire i progetti
Gestire la qualità
Acquisizione e implementazione
Per realizzare la strategia informatica, le soluzioni tecniche debbono essere individuate, sviluppate o acquisite come pure implementate e integrate nei processi aziendali
Inoltre le modifiche e la manutenzione ai sistemi esistenti sono considerate in questo dominio
Identificare le soluzioni automatizzate
Acquisire e manutenere il software applicativo
Acquisire e manutenere le infrastrutture tecnologiche
Sviluppare e manutenere le procedure
Installare e collaudare i sistemi
Gestire le modifiche
Acquisizione e implementazione: i processi
Erogazione e supporto
In questo dominio si considera il rilascio del servizio richiesto, le attività considerate spaziano dalla tradizionale Sala macchine agli aspetti di sicurezza e continuità, alla formazione, ai processi di assistenza
Definire e gestire i livelli di servizio
Gestire i fornitori
Gestire le prestazioni e le potenzialità delle risorse (tecniche)
Garantire la continuità del servizio
Garantire la sicurezza dei sistemi
Identificare e attribuire i costi
Formare e addestrare gli utenti
Assistere e supportare gli utenti IT
Gestire la configurazione
Gestire i problemi e gli incidenti
Gestire i dati
Gestire le infrastrutture
Gestire le attività operative
Erogazione e supporto: i processi
Monitoraggio
Tutti i processi informatici hanno bisogno di essere regolarmente e periodicamente valutati sotto l’aspetto della qualità e del soddisfacimento dei requisiti di controllo
Monitoraggio: i processi
Monitorare i processi
Valutare l’adeguatezza del controllo interno
Ottenere valutazioni indipendenti
Assicurarsi un audit indipendente
Risorse
Dati interni/esterni, strutturati/non strutturati, grafici, ecc.
Applicazioni sistemi comprensivi di procedure manuali/automatizzate
Tecnologie hardware, sistemi operativi, DBMS, networking, multimedia, ...
Infrastrutture CED
Risorse umane conoscenze/professionalità da pianificare/organizzare per
acquisire/fornire/gestire/governare il S.I. e i servizi relativi
Requisiti aziendali per le informazioni
Efficacia
Efficienza
Riservatezza
Integrità
Disponibilità
Conformità
Affidabilità delle informazioni
Gestire la configurazione
Possibili rischi Non è possibile individuare un oggetto perché non è nota la sua
libreria ufficiale Utilizzo non conforme di un oggetto (versione) Utilizzo di un oggetto non coerente con l’ambiente (versione) Modifica di un oggetto non autorizzata Gestione di un oggetto dipendente dall’autore Ridondanza delle copie con possibile utilizzo errato Ridondanza delle copie con possibile eccessivo consumo di
risorse
Gestire la configurazione
Evidenze richieste Standard Inventario hw Inventario sw base Inventario/topologia rete Inventario ambienti operativi Inventario applicazioni
Analisi degli obiettivi di controllo
Elencazione degli obiettivi di controllo di dettaglio Per ciascun obiettivo di dettaglio
- descrizione dei rischi- verifiche effettuate- descrizione dei controlli- individuazione dei punti di forza/debolezza- piano di miglioramento
Storicizzazione dell’esito dell’analisi per successivi confronti
Garantire la sicurezza dei sistemi:gli obiettivi di controllo di dettaglio
Autenticazione e accesso Sicurezza dell’accesso ai dati on line Gestione profilo utente Gestione della revisione dei profili utente Classificazione dei dati Identificazione centralizzata e gestione degli accessi corretti Rapporti relativi alle attività di sicurezza e alle violazioni Trattamento degli incidenti Riconferma (re-accreditation) Chiavi pubbliche di crittografia Sicurezza dei moduli crittografici (criptographic modules) Gestione delle chiavi di crittografia Prevenzione e scoperta dei virus ………..
Obiettivi di controllo di dettaglio:la gestione del profilo utente
DS5.3 - Gestione profilo utente La Direzione dovrebbe stabilire una procedura per assicurare
un’azione tempestiva relativamente alla richiesta, definizione, emissione, chiusura di profili utente. Una procedura formalmente approvata dovrebbe essere inclusa per concedere i privilegi di accesso ai dati ed ai sistemi proprietari.
DS5.4 - Gestione della revisione dei profili utente La Direzione dovrebbe avere un processo di controllo in atto per
rivedere e confermare periodicamente gli accessi corretti.
Questionario controllo accesso applicazioni
Informazioni anagrafiche sull’applicazione Dimensioni dell’applicazione Caratteristiche: decentramento e circolarità Controllo abilitazioni Funzionalità operative Ambito territoriale e autonomie Password Registrazione accessi Sensitività, parametri delle sessioni, reportistica
Contenuti del manuale di ICT Auditing
Rischio Evento pregiudizievole Risk driver Categoria di rischio Esposizione assoluta
Obiettivo di controllo Verifiche di 1° e 2° livello (da linee guida di audit)
Strutture organizzative interessate Norme esistenti Periodicità Tipo verificatore
Situazione rilevata Adeguamenti
Indicatori predittivi