COBIT e ISO/IEC 27000

La governance della sicurezza IT con CobiT/ISO27000

M. Notari, A. Piamonte

CobiT in sintesi – Obiettivi di Business e Governance

Efficiency

ApplicationsInformation

InfrastructurePeople

DELIVER AND

SUPPORT

MONITORAND

EVALUATE

ACQUIREAND

IMPLEMENT

INFORMATION

ITRESOURCES

C O B I TF R A M E W O R K

EffectivenessConfidentiality

Integrity

AvailabilityCompliance

DS1 Define and manage service levels.

DS2 Manage third-party services.DS3 Manage performance and

capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and

incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical

environment.DS13 Manage operations.

ME1 Monitor and evaluate IT performance.

ME2 Monitor and evaluate internal control.

ME3 Ensure compliance with external requirements.

ME4 Provide IT governance.

PO1 Define a strategic IT plan.PO2 Define the information

architecture.PO3 Determine technological

direction.PO4 Define the IT processes,

organisation and relationships.PO5 Manage the IT investment.PO6 Communicate management aims

and direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.

AI1 Identify automated solutions.AI2 Acquire and maintain

application software.AI3 Acquire and maintain

technology infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and

changes.

PLANAND

ORGANISE

Reliability

2

CobiT in sintesi - Linee di evoluzionePiù integrazione con gli obiettivi di business

Nell’individuazione delle aree di miglioramento

Nella pianificazione dei progetti

Nella verifica dei risultati

Nel controllo dei rischi

Efficiency

ApplicationsInformation

InfrastructurePeople

DELIVER AND

SUPPORT

MONITORAND

EVALUATE

ACQUIREAND

IMPLEMENT

INFORMATION

ITRESOURCES

C O B I TF R A M E W O R K

Effectiveness

Confidentiality

Integrity

Availability

Compliance

DS1 Define and manage service levels.DS2 Manage third-party services.DS3 Manage performance and capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical environment.DS13 Manage operations.

ME1 Monitor and evaluate IT performance.ME2 Monitor and evaluate internal control.ME3 Ensure compliance with external

requirements.ME4 Provide IT governance.

PO1 Define a strategic IT plan.PO2 Define the information architecture.PO3 Determine technological direction.PO4 Define the IT processes, organisation and

relationships.PO5 Manage the IT investment.PO6 Communicate management aims and

direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.

AI1 Identify automated solutions.AI2 Acquire and maintain application software.AI3 Acquire and maintain technology

infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and changes.

PLANAND

ORGANISE

Reliability

3

Financial contribution

Expand market share

Increase revenue

Return on investment

Manage business risk

Optimize asset utilization

Customer orientation

Improve customer orientation and service

Offer competitive products and services

Service availability

Agility in responding to changing business requirements (time to market)

Cost optimization of service delivery

Operational excellenceAutomate and integrate the enterprise value chain

Improve and maintain business process functionality

Lover process cost

Compliance with external requirements

Transparency Compliance with internal policies

Improve and maintain operational and staff productivity

Future orientation

Product business innovationObtain reliable

and useful information for strategic decision making

Acquire and maintain skilled and motivated personnel

CobiT - Extended Balanced Scorecards

Visionand

Strategy

Visionand

Strategy

Quali controlli ISO 27001 mi possono servire ?

4

Valutazione degli obiettivi di business – Fase1

5

Valutazione degli obiettivi di business – Fase2Assegnazione importanza ai Processi IT

6

Valutazione degli obiettivi di business – Fase3Gap Analisys e piano di miglioramento

7

Agreed Target Process Maturity Levels for the Short Term and the Longer Term

0

1

2

3

4

5PO3

PO4

PO8

PO10

AI1

AI2

AI3

AI4AI5

DS3

DS7

DS8

DS9

DS13

ME4

Short Term

Longer Term

La sfida del valore

The Governance of IT InvestmentsThe Governance of IT Investments

Using Using ValVal ITIT™™ 2.0 to 2.0 to ‘‘Deliver on the PromiseDeliver on the Promise’’

8

La nuova prospettivaLa nuova prospettiva

Investimenti IT

Investimenti in cambiamenti nel business basati sull’IT

9

Are wedoing

the rightthings?

Are wedoing

the rightthings?

Are wedoing them

the rightway?

Are wedoing them

the rightway?

Are wegetting

them donewell?

Are wegetting

them donewell?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wedoing

the rightthings?

Are wedoing

the rightthings?

Are wedoing

the rightthings?

Are wedoing

the rightthings?

Are wedoing them

the rightway?

Are wedoing them

the rightway?

Are wedoing them

the rightway?

Are wedoing them

the rightway?

Are wegetting

them donewell?

Are wegetting

them donewell?

Are wegetting

them donewell?

Are wegetting

them donewell?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

Are wegetting

thebenefits?

quindi :

IT Governance of IT

Business Governance of IT

Enterprise Value Management

10

Nella gestione dei rischi, l’equilibrio è essenzialeRischio e valore sono due facce della stessa medagliaIl rischio è insito in tutte le imprese

ma…Bisogna garantire che le opportunità di creare valore non vengano impattate dalle azioni mirate a mitigare tutti i rischi (vulnerabilità)

11

I tre domini del RiskIT

IT-related Risk ManagementRisk IT non solo sicurezza ma anche :

• Ritardi nei progetti• Non ottenimento dei miglioramenti

previsti• Compliance• Disallineamento• Architettura IT obsoleta o troppo

rigida• Problemi di erogazione dei servizi IT• ….

107 Pagine137 Pagine

12

13

ISO 27000 in sintesiLo standard ISO 27000 descrive un modello per definire, attuare, gestire, monitorare, rivedere, manutenere e migliorare un Sistema di Gestione della Sicurezza dell’Informazione (SGSI)Lo standard è descritto in due manuali:

ISO/IEC 27001:2005 - Information security management systems -Requirements - Specifiche per la implementazione e gestione dell’ISMSISO/IEC 27002:2005 (già ISO/IEC 17799:2005) - Code of practice for information security management - Una guida implementativa che elenca, per ciascuno dei controlli definiti, un’ampia serie di misure e “best practice”della sicurezza dell’informazione

Assumono valore normativo dal punto di vista dello standard unicamente i Cap. 4-8 di ISO/IEC 27001:2005 ed il relativo Allegato A che ne elenca Obiettivi di controllo e ControlliL’Allegato A di ISO/IEC 27001:2005 è strutturato in:

AREE (11, da A.5 a A.15)Obiettivi di controllo (39)Controlli (133)

Si sono registrate evoluzioni per quanto riguarda Terminologia e Linee Guida, non i Requisiti (con valore normativo). Standard in preparazione.

ISO 27000 in sintesi – Schema grafico

14

Cap.4-8ISMS ISMS -- Specifiche, ResponsabilitSpecifiche, Responsabilitàà della Direzione, della Direzione, Audit Interni, Riesame, MiglioramentoAudit Interni, Riesame, Miglioramento

Annex A11 Aree

“Code of practice"

Elenca: Elenca: ••ControlliControlli••Best practicesBest practices

Annex BPrincipi OECD

Annex CCorrispondenza conISO 9001 & 14001

Cap.1-3

Valore Normativo

Valore Informativo

ISO/IEC 27002:2005

ISO/IEC 27001:2005

39 Obiettivi di controllo 39 Obiettivi di controllo e e 133 133 ControlliControlli

Studio AIEA – Metodologia di confronto ISO27000 - CobiTE’ stata definita la Relazione fra controlli ISO 27001 (Annex A) e CobiT, in generale esiste una relazione uno a molti fra i controlli, schematizzabile in una matriceLa valutazione, è stata svolta – a cura dei partecipanti del Gruppo di Ricerca - in due passi:

Valutazione di Pertinenza: agli obiettivi CobiT associati ad uno specifico controllo ISO è stato attribuito un peso percentuale (la somma dei valori attribuiti deve valere 100). Tale scelta risponde all’esigenza di normalizzare le stime evitando errori di sovra/sotto-stima Valutazione di Merito: per i controlli ISO associati ad uno specifico obiettivo CobiT è stata svolta una valutazione di merito, valutandone [in termini di Alto/Medio/Basso (0.8, 0.5, 0.2)] la corrispondenza all’obiettivo CobiT La valutazione complessiva per la specifica coppia di controlli CobiT/ISO deriva dalle valutazioni (di pertinenza e di merito) svolte

La valuazione definitiva assomma la valutazione complessiva per la specifica coppia di controlli ed il contributo dei Cap. IV-VIII di ISO27001

15

Processi CobiT E E R I D C A

PO1 Definire un Piano Strategico per l’ITPO2 Definire l’architettura informatica S PPO3 Definire gli indirizzi tecnologiciPO4 Definire i processi, l’organizzazione e le relazioni dell’ITPO5 Gestire gli investimenti ITPO6 Comunicare gli obiettivi e gli orientamenti della direzione SPO7 Gestire le risorse umane dell’ITPO8 Gestire la Qualità SPO9 Valutare e Gestire i Rischi Informatici P P P SPO10 Gestire i ProgettiAI1 Identificare soluzioni automatizzateAI2 Acquisire e mantenere il software applicativo SAI3 Acquisire e mantenere l’infrastruttura tecnologica S SAI4 Permettere il funzionamento e l’uso dei sistemi IT S S SAI5 Approvvigionamento delle risorse IT SAI6 Gestire le modifiche P PAI7 Installare e certificare le soluzioni e le modifiche S SDS1 Definire e gestire i livelli di servizio S S S SDS2 Gestire i servizi di terze parti S S S SDS3 Gestire le prestazioni e la capacità produttiva SDS4 Assicurare la continuità di servizio PDS5 Garantire la sicurezza dei sistemi P P S S

DS6 Identificare e attribuire i costiDS7 Formare e addestrare gli utentiDS8 Gestione del Service Desk e degli incidentiDS9 Gestione della configurazione SDS10 Gestione dei problemi SDS11 Gestione dei dati PDS12 Gestione dell’ambiente fisico P PDS13 Gestione delle operazioni S SME1 Monitorare e valutare le prestazioni dell’IT S S S SME2 Monitare e valutare i controlli interni S S S SME3 Assicurare la conformità a leggi e a regolamenti PME4 Istituzione dell’IT Governance S S S S

CobiT Information

Da CobiT a “Secure” CobiT

Efficienza

Efficacia

Riservatezza

Integrità

Disponibilità

Conformità

Affidabilità“Secure”

CobiT

16

“Secure” CobiT – (scala logaritmica)

17

“Secure” CobiT (esclusi i Processi ininfluenti)

18

Studio AIEA – Risultati - Dominio PO (Pianif. & Organizz.)

19

Studio AIEA – Risultati – Dominio PO - OsservazioniPO9 Valutare e gestire i rischi

informatici – ISO (Cap. IV-VIII):[4.2.3 d)] Rivedere ad intervalli

regolari l’Analisi dei rischi, [5.1 f)] Decidendo i criteri per l’accettazione del rischio. [4.2.1 c)] Definire l’approccio al Risk Assessment dell’organizzazione. [4.2.1 d) e f)] Identificare i rischi e Analizzare e valutare i rischi.

PO2 Definire l’architettura informatica –ISO (Cap. IV-VIII):

[4.2.1 d)] Identificare i beni nell’ambito dell’ISMS, [4.2.1 d)4) e e)1)] Identificare gli impatti che le perdite di integrità possono avere sui beni e Valutare gli impatti di business [v. PO2.4 Gestione dell’integrità]

20

Studio AIEA – Risultati – Dominio PO - OsservazioniPO6 Comunicare gli obiettivi e gli

orientamenti della direzione – ISO (Cap. IV-VIII):

[4.2.3 ] Monitorare e riesaminare l’ISMS, [4.2.4] Manutenere e migliorare l’ISMS. [5.1] Impegno della direzione.

PO7 Gestire risorse umane dell’IT–ISO (Cap. IV-VIII):

[5.2.1] Messa a disposizione delle risorse, [5.2.2] Addestramento, consapevolezza e competenza

21

Studio AIEA – Risultati – Dominio AI (Acq. & Implem.)

22

Studio AIEA – Risultati – Dominio AI - OsservazioniAI1.1 Riferire sull’analisi dei

rischi –ISO (Cap. IV-VII):4.2.3 [p.to d)] Rivedere l’Analisi

dei rischi, 4.2.4 [p.to c)] Comunicare le azioni alle parti interessate

AI6 Gestire le modifiche:AI6.1 std e procedure per le gest

delle modificheAI6.2 Valutazione dell’impatto e

autorizzazioneAI6.3 Modifiche in stato di

emergenzaAI6.5 Chiusura delle modifiche e

documentazioneAI3 Acquisire e mantenere

l’infrastruttura tenologica e AI4 Permettere il funzionamento el’uso dei sistemi IT => poco rilevanti in termini di sicurezza

23

Studio AIEA – Risultati – Dominio DS (Erogazione e Supporto)

24

Studio AIEA – Risultati – Dominio DS - OsservazioniDS4 Assicurare la continuità

del servizio – Pur essendo richiesto, in sede di certificazione, il Business Continuity Plan, scarsi riferimenti reperiti nello standardDS7 Formare e addestrare

gli utenti – Ampi riferimenti in ISO (Cap. IV-VII):

[4.2.2 e)] Realizzare programmi di addestramento e sviluppo della consapevolezza, [5.2.2] Addestramento, consapevolezza e competenza

DS1 Definire e gestire i livelli di servizio e DS2 Gestire i servizi di terze parti, poco rilevanti in termini di sicurezza

25

Studio AIEA – Risultati - Dominio ME (Monitoraggio e Valutazione)

26

Studio AIEA – Risultati – Dominio ME - OsservazioniME1 Monitorare le

prestazioni IT – ISO (Cap. IV-VIII):

[4.2.3] Monitoraggio e riesame dell’ISMS[4.2.4] Gestione e

miglioramento dell’ISMSME2 – Monitorare e valutare i

controlli interni – ISO (Cap. IV-VIII):

[4.2.2 d)] Definire e monitorare l’efficacia dei controlli

ME4 Istituzione dell’IT Governance – Riferimenti in ISO (Cap. IV-VIII):

[5.1] Impegno della direzione[7] Riesame dell’ISMS da

parte della direzione

27

Confronto complessivo - Studio AIEA / CobiT Sicurezza(scala logaritmica)

28

Quali controlli ISO 27001 mi possono servire ?

Riprendendo la domanda nella slide 4, per acquisire “IT Agility” bisogna far bene:

PO10 - Manage projects (no “Secure CobiT”)AI1 - Identify automated solutions (no “Secure CobiT”)DS3 - Capacity planning = A10.3.1 !!! (Capacity management)

29

… quindi non solo conferma della validità del “mapping”ma anche l’importanza di Processi non di sicurezza che influenzano l’efficacia dei controlli di sicurezza adottati

ConclusioniCobiT ed ISO 27000 hanno una“visione” della sicurezza sostanzialmente condivisaCobiT tende ad individuare sistematicamente i gap, le “cose da fare” in contesto di business, anche in relazione alla sicurezzaCobiT può contribuire all’allineamento dell’Analisi dei Rischi agli obiettivi di business dell’aziendaISO 27000 guida nell’organizzazione, nei controlli e nella Valutazione di Conformità della sicurezzaISO 27000 consente di certificare il sistema di gestione della sicurezza di un’aziendaL’utilizzo sinergico di CobiT e ISO27000 è possibile ed utile

30

Approfondimenti e contatti

31

“Cobit 4.1 e ISO27001 – Confronto quantitativo e qualitativo”Le Guide AIEA – n° 4

AIEA – Associazione Italiana Information Systems AuditorsMilano – Via Valla, 16aiea@aiea.it

Alberto Piamonte (alberto.piamonte@alice.it)Mario Notari (mario.notari@infogroup.it)