Presentazione

presso AIEA

Milano, 12 Ottobre 2001

Esperienze pratiche dell’uso di Cobit in ambiente bancario

EUROS Consulting

EUROS Consulting e la sicurezza Consulenza Club sul Computer Crime SecurityNet Antiriciclaggio Prodotti e formazione sulla sicurezza

EUROS e l’auditing dei sistemi informativi Approccio metodologico Liste di controllo (anche automatizzate)

Banca con automazione in proprio Banca in outsourcing Centro di outsourcing

Test specifici (test di penetrazione del sito Internet) Comparazione

(questionario sulla sicurezza dell’ABI) Formazione del personale

La metodologia CobiT

(Control OBjectives for Information and related Technology) Standard generalmente applicabile e accettato1 per

una buona pratica dell’Information Technology Sviluppata da ISACA Caratteristiche del progetto CobiT

pragmatico rispondente alle esigenze aziendali indipendente dalla piattaforma tecnica di IT adottata riferimento a standard di qualità internazionali

(ITSEC, TCSEC, ISO9000)

1 Termine usato in relazione ai General Accepted Accountig Principles (Principi di riferimento professionale della revisione nel mondo anglosassone)

Schema di riferimento

Classificazione dei domini e dei processi dove si applicano gli obiettivi di controllo di alto livello

Formulazione dei requisiti di business relativi alle informazioni di quel dominio

Individuazione delle risorse coinvolte in via principale dall’obiettivo di controllo(più di 300 obiettivi di controllo di dettaglio)

Auditors

Utenti

Managers

Destinatari

Risors

e IT

Dati

Ap

plicazio

ni

Tecn

olo

gia

Riso

rse um

ane

Infrastru

tture

Fiduci

a

Qual

ità

Sicure

zza

Criteri delle informazioni

Domini

Processi

Attività

Consigliare la Direzione sui controlli interni

Ottenere la garanzia di sicurezza e controllo sui processi

Supporto al bilanciamento tra rischi e investimenti nei controlli

CobiT: i domini dell’IT

CobiT: summary table

Gli obiettivi di controllo di alto livello e quelli di dettaglio sono verificati: Ottenendo la conoscenza mediante interviste al

Management e allo staff su struttura organizzativa, ruoli e responsabilità politiche/procedure, leggi/regolamenti misure di controllo in uso

Valutazione dei controlli Valutazione della conformità Definizione del rischio

CobiT: Linee guida di audit

CobiT: novità della terza edizione

Adeguamento di alcuni obiettivi di controllo Introduzione delle Management Guidelines

Balanced Business Scorecard Maturity Model

Applicazione della metodologia CobiT:progetti di miglioramento e sviluppo della funzionedi ICT Auditing Esempio 1 (Automazione in proprio)

Benchmark Riferimento questionario ABI Ruolo dell’ICT Auditing

Illustrazione della metodologia CobiT Individuazione dei processi e analisi degli obiett

ivi di controllo Sicurezza dei sistemi

- Controllo degli accessi . Auditing RACF . Verifica matrice degli accessi

Gestione della configurazione

Analisi dell’applicazione Questionario controllo accessi applicazioni

Applicazione della metodologia CobiT:progetti di miglioramento e sviluppo della funzionedi ICT Auditing Esempio 2 (Outsourcing dei sistemi informativi)

Prima fase (outsourcing completo verso polo di outsourcing) Illustrazione della metodologia CobiT Analisi Cobit delle procedure di interfaccia con outsourcer

17 processi utilizzati analisi specifica (anche CobiT) del contratto

Seconda fase (outsourcing fm, am e tlc con diversi fornitori) Individuazione dei processi e analisi degli obiettivi di controllo

Gestione dei fornitori Installare e collaudare i sistemi Assicurare la continuità del servizio Assistere e consigliare gli utenti Gestire i problemi e gli incidenti ……….

Convergenza con analisi rischi operativi (ABI) Indicatori di performance

Manuale su Web di ICT Auditing

Applicazione della metodologia CobiT:progetti di miglioramento e sviluppo della funzionedi ICT Auditing Esempio 3 (Outsourcing dei sistemi informativi)

Illustrazione della metodologia CobiT Analisi dello stato aziendale dei processi CobiT Selezione dei processi (esigenze azienda e indicazioni Bankit)

Gestione dei fornitori analisi specifica (anche CobiT) del contratto

Garantire la sicurezza dei sistemi checklist personalizzata da CobiT

…………...

In sintesi

Applicazione di una metodologia standard

Rispetto delle disposizioni dell’Organo di Vigilanza e di legge

Adattamento a tutte le configurazioni gestionali dell’informatica aziendale

Fine presentazione

Esperienze pratiche dell’uso di

Cobit in ambiente bancario

Comparazione

Pianificazione e organizzazione

In questo dominio rientrano le strategie e le tattiche e ci si occupa principalmente dell’identificazione della via attraverso la quale l’IT può meglio contribuire al perseguimento degli obiettivi aziendali

Inoltre per realizzare la visione strategica è necessario pianificare, comunicare e gestire le diverse prospettive.

Infine deve essere costituita una adeguata organizzazione come pure una infrastruttura tecnologica

Pianificazione e organizzazione: i processi

Definire un piano strategico per l’IT

Definire l’architettura dei dati

Definire l’indirizzo tecnologico

Definire l’organizzazione IT e le sue relazioni

Gestire gli investimenti nell’ IT

Comunicare gli indirizzi e gli obiettivi del management

Gestire le risorse umane

Assicurare la conformità a leggi e norme esterne

Valutare i rischi

Gestire i progetti

Gestire la qualità

Acquisizione e implementazione

Per realizzare la strategia informatica, le soluzioni tecniche debbono essere individuate, sviluppate o acquisite come pure implementate e integrate nei processi aziendali

Inoltre le modifiche e la manutenzione ai sistemi esistenti sono considerate in questo dominio

Identificare le soluzioni automatizzate

Acquisire e manutenere il software applicativo

Acquisire e manutenere le infrastrutture tecnologiche

Sviluppare e manutenere le procedure

Installare e collaudare i sistemi

Gestire le modifiche

Acquisizione e implementazione: i processi

Erogazione e supporto

In questo dominio si considera il rilascio del servizio richiesto, le attività considerate spaziano dalla tradizionale Sala macchine agli aspetti di sicurezza e continuità, alla formazione, ai processi di assistenza

Definire e gestire i livelli di servizio

Gestire i fornitori

Gestire le prestazioni e le potenzialità delle risorse (tecniche)

Garantire la continuità del servizio

Garantire la sicurezza dei sistemi

Identificare e attribuire i costi

Formare e addestrare gli utenti

Assistere e supportare gli utenti IT

Gestire la configurazione

Gestire i problemi e gli incidenti

Gestire i dati

Gestire le infrastrutture

Gestire le attività operative

Erogazione e supporto: i processi

Monitoraggio

Tutti i processi informatici hanno bisogno di essere regolarmente e periodicamente valutati sotto l’aspetto della qualità e del soddisfacimento dei requisiti di controllo

Monitoraggio: i processi

Monitorare i processi

Valutare l’adeguatezza del controllo interno

Ottenere valutazioni indipendenti

Assicurarsi un audit indipendente

Risorse

Dati interni/esterni, strutturati/non strutturati, grafici, ecc.

Applicazioni sistemi comprensivi di procedure manuali/automatizzate

Tecnologie hardware, sistemi operativi, DBMS, networking, multimedia, ...

Infrastrutture CED

Risorse umane conoscenze/professionalità da pianificare/organizzare per

acquisire/fornire/gestire/governare il S.I. e i servizi relativi

Requisiti aziendali per le informazioni

Efficacia

Efficienza

Riservatezza

Integrità

Disponibilità

Conformità

Affidabilità delle informazioni

Gestire la configurazione

Possibili rischi Non è possibile individuare un oggetto perché non è nota la sua

libreria ufficiale Utilizzo non conforme di un oggetto (versione) Utilizzo di un oggetto non coerente con l’ambiente (versione) Modifica di un oggetto non autorizzata Gestione di un oggetto dipendente dall’autore Ridondanza delle copie con possibile utilizzo errato Ridondanza delle copie con possibile eccessivo consumo di

risorse

Gestire la configurazione

Evidenze richieste Standard Inventario hw Inventario sw base Inventario/topologia rete Inventario ambienti operativi Inventario applicazioni

Analisi degli obiettivi di controllo

Elencazione degli obiettivi di controllo di dettaglio Per ciascun obiettivo di dettaglio

- descrizione dei rischi- verifiche effettuate- descrizione dei controlli- individuazione dei punti di forza/debolezza- piano di miglioramento

Storicizzazione dell’esito dell’analisi per successivi confronti

Garantire la sicurezza dei sistemi:gli obiettivi di controllo di dettaglio

Autenticazione e accesso Sicurezza dell’accesso ai dati on line Gestione profilo utente Gestione della revisione dei profili utente Classificazione dei dati Identificazione centralizzata e gestione degli accessi corretti Rapporti relativi alle attività di sicurezza e alle violazioni Trattamento degli incidenti Riconferma (re-accreditation) Chiavi pubbliche di crittografia Sicurezza dei moduli crittografici (criptographic modules) Gestione delle chiavi di crittografia Prevenzione e scoperta dei virus ………..

Obiettivi di controllo di dettaglio:la gestione del profilo utente

DS5.3 - Gestione profilo utente La Direzione dovrebbe stabilire una procedura per assicurare

un’azione tempestiva relativamente alla richiesta, definizione, emissione, chiusura di profili utente. Una procedura formalmente approvata dovrebbe essere inclusa per concedere i privilegi di accesso ai dati ed ai sistemi proprietari.

DS5.4 - Gestione della revisione dei profili utente La Direzione dovrebbe avere un processo di controllo in atto per

rivedere e confermare periodicamente gli accessi corretti.

Questionario controllo accesso applicazioni

Informazioni anagrafiche sull’applicazione Dimensioni dell’applicazione Caratteristiche: decentramento e circolarità Controllo abilitazioni Funzionalità operative Ambito territoriale e autonomie Password Registrazione accessi Sensitività, parametri delle sessioni, reportistica

Contenuti del manuale di ICT Auditing

Rischio Evento pregiudizievole Risk driver Categoria di rischio Esposizione assoluta

Obiettivo di controllo Verifiche di 1° e 2° livello (da linee guida di audit)

Strutture organizzative interessate Norme esistenti Periodicità Tipo verificatore

Situazione rilevata Adeguamenti

Indicatori predittivi