cobit e iso/iec 27000 - home | aiea · cobit e iso/iec 27000 ... specifiche per la implementazione...
TRANSCRIPT
CobiT in sintesi – Obiettivi di Business e Governance
Efficiency
ApplicationsInformation
InfrastructurePeople
DELIVER AND
SUPPORT
MONITORAND
EVALUATE
ACQUIREAND
IMPLEMENT
INFORMATION
ITRESOURCES
C O B I TF R A M E W O R K
EffectivenessConfidentiality
Integrity
AvailabilityCompliance
DS1 Define and manage service levels.
DS2 Manage third-party services.DS3 Manage performance and
capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and
incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical
environment.DS13 Manage operations.
ME1 Monitor and evaluate IT performance.
ME2 Monitor and evaluate internal control.
ME3 Ensure compliance with external requirements.
ME4 Provide IT governance.
PO1 Define a strategic IT plan.PO2 Define the information
architecture.PO3 Determine technological
direction.PO4 Define the IT processes,
organisation and relationships.PO5 Manage the IT investment.PO6 Communicate management aims
and direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.
AI1 Identify automated solutions.AI2 Acquire and maintain
application software.AI3 Acquire and maintain
technology infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and
changes.
PLANAND
ORGANISE
Reliability
2
CobiT in sintesi - Linee di evoluzionePiù integrazione con gli obiettivi di business
Nell’individuazione delle aree di miglioramento
Nella pianificazione dei progetti
Nella verifica dei risultati
Nel controllo dei rischi
Efficiency
ApplicationsInformation
InfrastructurePeople
DELIVER AND
SUPPORT
MONITORAND
EVALUATE
ACQUIREAND
IMPLEMENT
INFORMATION
ITRESOURCES
C O B I TF R A M E W O R K
Effectiveness
Confidentiality
Integrity
Availability
Compliance
DS1 Define and manage service levels.DS2 Manage third-party services.DS3 Manage performance and capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical environment.DS13 Manage operations.
ME1 Monitor and evaluate IT performance.ME2 Monitor and evaluate internal control.ME3 Ensure compliance with external
requirements.ME4 Provide IT governance.
PO1 Define a strategic IT plan.PO2 Define the information architecture.PO3 Determine technological direction.PO4 Define the IT processes, organisation and
relationships.PO5 Manage the IT investment.PO6 Communicate management aims and
direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.
AI1 Identify automated solutions.AI2 Acquire and maintain application software.AI3 Acquire and maintain technology
infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and changes.
PLANAND
ORGANISE
Reliability
3
Financial contribution
Expand market share
Increase revenue
Return on investment
Manage business risk
Optimize asset utilization
Customer orientation
Improve customer orientation and service
Offer competitive products and services
Service availability
Agility in responding to changing business requirements (time to market)
Cost optimization of service delivery
Operational excellenceAutomate and integrate the enterprise value chain
Improve and maintain business process functionality
Lover process cost
Compliance with external requirements
Transparency Compliance with internal policies
Improve and maintain operational and staff productivity
Future orientation
Product business innovationObtain reliable
and useful information for strategic decision making
Acquire and maintain skilled and motivated personnel
CobiT - Extended Balanced Scorecards
Visionand
Strategy
Visionand
Strategy
Quali controlli ISO 27001 mi possono servire ?
4
Valutazione degli obiettivi di business – Fase3Gap Analisys e piano di miglioramento
7
Agreed Target Process Maturity Levels for the Short Term and the Longer Term
0
1
2
3
4
5PO3
PO4
PO8
PO10
AI1
AI2
AI3
AI4AI5
DS3
DS7
DS8
DS9
DS13
ME4
Short Term
Longer Term
La sfida del valore
The Governance of IT InvestmentsThe Governance of IT Investments
Using Using ValVal ITIT™™ 2.0 to 2.0 to ‘‘Deliver on the PromiseDeliver on the Promise’’
8
La nuova prospettivaLa nuova prospettiva
Investimenti IT
Investimenti in cambiamenti nel business basati sull’IT
9
Are wedoing
the rightthings?
Are wedoing
the rightthings?
Are wedoing them
the rightway?
Are wedoing them
the rightway?
Are wegetting
them donewell?
Are wegetting
them donewell?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wedoing
the rightthings?
Are wedoing
the rightthings?
Are wedoing
the rightthings?
Are wedoing
the rightthings?
Are wedoing them
the rightway?
Are wedoing them
the rightway?
Are wedoing them
the rightway?
Are wedoing them
the rightway?
Are wegetting
them donewell?
Are wegetting
them donewell?
Are wegetting
them donewell?
Are wegetting
them donewell?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
Are wegetting
thebenefits?
quindi :
IT Governance of IT
Business Governance of IT
Enterprise Value Management
10
Nella gestione dei rischi, l’equilibrio è essenzialeRischio e valore sono due facce della stessa medagliaIl rischio è insito in tutte le imprese
ma…Bisogna garantire che le opportunità di creare valore non vengano impattate dalle azioni mirate a mitigare tutti i rischi (vulnerabilità)
11
I tre domini del RiskIT
IT-related Risk ManagementRisk IT non solo sicurezza ma anche :
• Ritardi nei progetti• Non ottenimento dei miglioramenti
previsti• Compliance• Disallineamento• Architettura IT obsoleta o troppo
rigida• Problemi di erogazione dei servizi IT• ….
107 Pagine137 Pagine
12
13
ISO 27000 in sintesiLo standard ISO 27000 descrive un modello per definire, attuare, gestire, monitorare, rivedere, manutenere e migliorare un Sistema di Gestione della Sicurezza dell’Informazione (SGSI)Lo standard è descritto in due manuali:
ISO/IEC 27001:2005 - Information security management systems -Requirements - Specifiche per la implementazione e gestione dell’ISMSISO/IEC 27002:2005 (già ISO/IEC 17799:2005) - Code of practice for information security management - Una guida implementativa che elenca, per ciascuno dei controlli definiti, un’ampia serie di misure e “best practice”della sicurezza dell’informazione
Assumono valore normativo dal punto di vista dello standard unicamente i Cap. 4-8 di ISO/IEC 27001:2005 ed il relativo Allegato A che ne elenca Obiettivi di controllo e ControlliL’Allegato A di ISO/IEC 27001:2005 è strutturato in:
AREE (11, da A.5 a A.15)Obiettivi di controllo (39)Controlli (133)
Si sono registrate evoluzioni per quanto riguarda Terminologia e Linee Guida, non i Requisiti (con valore normativo). Standard in preparazione.
ISO 27000 in sintesi – Schema grafico
14
Cap.4-8ISMS ISMS -- Specifiche, ResponsabilitSpecifiche, Responsabilitàà della Direzione, della Direzione, Audit Interni, Riesame, MiglioramentoAudit Interni, Riesame, Miglioramento
Annex A11 Aree
“Code of practice"
Elenca: Elenca: ••ControlliControlli••Best practicesBest practices
Annex BPrincipi OECD
Annex CCorrispondenza conISO 9001 & 14001
Cap.1-3
Valore Normativo
Valore Informativo
ISO/IEC 27002:2005
ISO/IEC 27001:2005
39 Obiettivi di controllo 39 Obiettivi di controllo e e 133 133 ControlliControlli
Studio AIEA – Metodologia di confronto ISO27000 - CobiTE’ stata definita la Relazione fra controlli ISO 27001 (Annex A) e CobiT, in generale esiste una relazione uno a molti fra i controlli, schematizzabile in una matriceLa valutazione, è stata svolta – a cura dei partecipanti del Gruppo di Ricerca - in due passi:
Valutazione di Pertinenza: agli obiettivi CobiT associati ad uno specifico controllo ISO è stato attribuito un peso percentuale (la somma dei valori attribuiti deve valere 100). Tale scelta risponde all’esigenza di normalizzare le stime evitando errori di sovra/sotto-stima Valutazione di Merito: per i controlli ISO associati ad uno specifico obiettivo CobiT è stata svolta una valutazione di merito, valutandone [in termini di Alto/Medio/Basso (0.8, 0.5, 0.2)] la corrispondenza all’obiettivo CobiT La valutazione complessiva per la specifica coppia di controlli CobiT/ISO deriva dalle valutazioni (di pertinenza e di merito) svolte
La valuazione definitiva assomma la valutazione complessiva per la specifica coppia di controlli ed il contributo dei Cap. IV-VIII di ISO27001
15
Processi CobiT E E R I D C A
PO1 Definire un Piano Strategico per l’ITPO2 Definire l’architettura informatica S PPO3 Definire gli indirizzi tecnologiciPO4 Definire i processi, l’organizzazione e le relazioni dell’ITPO5 Gestire gli investimenti ITPO6 Comunicare gli obiettivi e gli orientamenti della direzione SPO7 Gestire le risorse umane dell’ITPO8 Gestire la Qualità SPO9 Valutare e Gestire i Rischi Informatici P P P SPO10 Gestire i ProgettiAI1 Identificare soluzioni automatizzateAI2 Acquisire e mantenere il software applicativo SAI3 Acquisire e mantenere l’infrastruttura tecnologica S SAI4 Permettere il funzionamento e l’uso dei sistemi IT S S SAI5 Approvvigionamento delle risorse IT SAI6 Gestire le modifiche P PAI7 Installare e certificare le soluzioni e le modifiche S SDS1 Definire e gestire i livelli di servizio S S S SDS2 Gestire i servizi di terze parti S S S SDS3 Gestire le prestazioni e la capacità produttiva SDS4 Assicurare la continuità di servizio PDS5 Garantire la sicurezza dei sistemi P P S S
DS6 Identificare e attribuire i costiDS7 Formare e addestrare gli utentiDS8 Gestione del Service Desk e degli incidentiDS9 Gestione della configurazione SDS10 Gestione dei problemi SDS11 Gestione dei dati PDS12 Gestione dell’ambiente fisico P PDS13 Gestione delle operazioni S SME1 Monitorare e valutare le prestazioni dell’IT S S S SME2 Monitare e valutare i controlli interni S S S SME3 Assicurare la conformità a leggi e a regolamenti PME4 Istituzione dell’IT Governance S S S S
CobiT Information
Da CobiT a “Secure” CobiT
Efficienza
Efficacia
Riservatezza
Integrità
Disponibilità
Conformità
Affidabilità“Secure”
CobiT
16
Studio AIEA – Risultati – Dominio PO - OsservazioniPO9 Valutare e gestire i rischi
informatici – ISO (Cap. IV-VIII):[4.2.3 d)] Rivedere ad intervalli
regolari l’Analisi dei rischi, [5.1 f)] Decidendo i criteri per l’accettazione del rischio. [4.2.1 c)] Definire l’approccio al Risk Assessment dell’organizzazione. [4.2.1 d) e f)] Identificare i rischi e Analizzare e valutare i rischi.
PO2 Definire l’architettura informatica –ISO (Cap. IV-VIII):
[4.2.1 d)] Identificare i beni nell’ambito dell’ISMS, [4.2.1 d)4) e e)1)] Identificare gli impatti che le perdite di integrità possono avere sui beni e Valutare gli impatti di business [v. PO2.4 Gestione dell’integrità]
20
Studio AIEA – Risultati – Dominio PO - OsservazioniPO6 Comunicare gli obiettivi e gli
orientamenti della direzione – ISO (Cap. IV-VIII):
[4.2.3 ] Monitorare e riesaminare l’ISMS, [4.2.4] Manutenere e migliorare l’ISMS. [5.1] Impegno della direzione.
PO7 Gestire risorse umane dell’IT–ISO (Cap. IV-VIII):
[5.2.1] Messa a disposizione delle risorse, [5.2.2] Addestramento, consapevolezza e competenza
21
Studio AIEA – Risultati – Dominio AI - OsservazioniAI1.1 Riferire sull’analisi dei
rischi –ISO (Cap. IV-VII):4.2.3 [p.to d)] Rivedere l’Analisi
dei rischi, 4.2.4 [p.to c)] Comunicare le azioni alle parti interessate
AI6 Gestire le modifiche:AI6.1 std e procedure per le gest
delle modificheAI6.2 Valutazione dell’impatto e
autorizzazioneAI6.3 Modifiche in stato di
emergenzaAI6.5 Chiusura delle modifiche e
documentazioneAI3 Acquisire e mantenere
l’infrastruttura tenologica e AI4 Permettere il funzionamento el’uso dei sistemi IT => poco rilevanti in termini di sicurezza
23
Studio AIEA – Risultati – Dominio DS - OsservazioniDS4 Assicurare la continuità
del servizio – Pur essendo richiesto, in sede di certificazione, il Business Continuity Plan, scarsi riferimenti reperiti nello standardDS7 Formare e addestrare
gli utenti – Ampi riferimenti in ISO (Cap. IV-VII):
[4.2.2 e)] Realizzare programmi di addestramento e sviluppo della consapevolezza, [5.2.2] Addestramento, consapevolezza e competenza
DS1 Definire e gestire i livelli di servizio e DS2 Gestire i servizi di terze parti, poco rilevanti in termini di sicurezza
25
Studio AIEA – Risultati – Dominio ME - OsservazioniME1 Monitorare le
prestazioni IT – ISO (Cap. IV-VIII):
[4.2.3] Monitoraggio e riesame dell’ISMS[4.2.4] Gestione e
miglioramento dell’ISMSME2 – Monitorare e valutare i
controlli interni – ISO (Cap. IV-VIII):
[4.2.2 d)] Definire e monitorare l’efficacia dei controlli
ME4 Istituzione dell’IT Governance – Riferimenti in ISO (Cap. IV-VIII):
[5.1] Impegno della direzione[7] Riesame dell’ISMS da
parte della direzione
27
Quali controlli ISO 27001 mi possono servire ?
Riprendendo la domanda nella slide 4, per acquisire “IT Agility” bisogna far bene:
PO10 - Manage projects (no “Secure CobiT”)AI1 - Identify automated solutions (no “Secure CobiT”)DS3 - Capacity planning = A10.3.1 !!! (Capacity management)
29
… quindi non solo conferma della validità del “mapping”ma anche l’importanza di Processi non di sicurezza che influenzano l’efficacia dei controlli di sicurezza adottati
ConclusioniCobiT ed ISO 27000 hanno una“visione” della sicurezza sostanzialmente condivisaCobiT tende ad individuare sistematicamente i gap, le “cose da fare” in contesto di business, anche in relazione alla sicurezzaCobiT può contribuire all’allineamento dell’Analisi dei Rischi agli obiettivi di business dell’aziendaISO 27000 guida nell’organizzazione, nei controlli e nella Valutazione di Conformità della sicurezzaISO 27000 consente di certificare il sistema di gestione della sicurezza di un’aziendaL’utilizzo sinergico di CobiT e ISO27000 è possibile ed utile
30
Approfondimenti e contatti
31
“Cobit 4.1 e ISO27001 – Confronto quantitativo e qualitativo”Le Guide AIEA – n° 4
AIEA – Associazione Italiana Information Systems AuditorsMilano – Via Valla, [email protected]
Alberto Piamonte ([email protected])Mario Notari ([email protected])