AICA IT GOVERNANCE, BUSINESS E MODELLI DI RIFERIMENTO --------------------------------------------------------Best practices settoriali per l’IT e l’intera azienda • IT Risk management • Information Security management • Business Continuity management • IT Service management Milano, 15 Aprile 2014 Agenda 2 Standard & Best Practices settoriali IT Risk Management ISO 27001 Information Security ISO 22301 Business Continuity ISO 20000 IT Service Management Alcuni spunti di riflessione Standard & Best Practices settoriali Ambito IT Risk management Standard & Best Practices Cobit5 for Risk, NIST SP 800-30, OCTAVE, ISO 27005, etc. Information Security ISO 27001, NIST SP 800-39, PCI DSS, CSA, etc. Business Continuity ISO 22301, NIST SP 800-34, etc. IT Service management ISO 20000, ITIL D.lgs. 196/03 (Privacy) IT Compliance D.lgs. 231/01 (Delitti informatici, etc.) D.lgs. 262/05 (Integrità dati bilancio quotate) documento 3 Sistemi Gestionali ISO: aspetti comuni High Level Structure («Annex SL») documento 4 RISCHIO !!! contenuti su Information Security ISO 27001 contenuti su Business Continuity ISO 22301 contenuti su Service Management ISO 20000 (*) (*) ISO 20000 non ha ancora adottato HLS Agenda 5 Standard & Best Practices settoriali IT Risk Management ISO 27001 Information Security ISO 22301 Business Continuity ISO 20000 IT Service Management Alcuni spunti di riflessione Governance & Management Frameworks CoSO - ERM ISO 31000 Enterprise Governance & Risk Management COBIT5 / PAM COBIT5 for RISK IT Governance & Risk Management 6 ITIL/ISO 20000 ISO 27001 IT Service Mgt Information Security PRINCE2/PMBOK ISO 22301 IT Project Mgt Business Continuity IT-related Framework 6 Risk Management Framework Fonte: ISO 31000 7 Ruoli coinvolti nel Risk Management Fonte: NIST - Cybersecurity Framework 8 Tipologie di Rischi IT 9 IT Operations & Service Delivery Risk The risk, coming from threats, is weighted by: • Impacts (caused by threats) • Likelihood (probability, not necessary statistical, that the threats occur) Impacts 10 Cases Financial Financial loss, additional costs, profit loss, etc. Processes Operational inefficiencies, resources unavailability, etc. Compliance Lack of observation of lows, rules, recommendations, etc. Reputational Company image, customer/supplier confidence, etc. Strategical Delay in development plans, loss of results, etc. Threats (more details in the Threats Tables) TECHNICAL FAILURES NATURAL EVENTS (informative services or technological issue, breakdown, blackout, etc.) (earthquake, flood, storm, lightning, snow, etc.) ENVIRONMENTAL DISASTERS COMPANY HUMAN ERRORS ATTACKS (theft, fraud, sabotage, etc.) MALWARE 11 (fire, explosion, transport accident, etc.) (virus, spam, etc.) Controls to contrast the Threats Some Control are able to contrast the Threats (and the RISK): VULNERABILITY their adequately implementation reduce the “VULNERABILITY” THREATS CONTROLS 12 Risk Scenarios (Cobit5 for RISK) 13 Top-Down & Drill-Down approach Top-Down approach Drill-Down approach COMPANY Level A Service “1” Type of Threats Service “2” Service “x” Process “x.1” Process “x.2” Process “x.y” Resource“x.y.1” Resource“x.y.2” Resource“x.y.z” 14 Threat 1 Level B Threat 2 Threats Threat n Risk analysis Techniques (ISO 31010) • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 15 Brainstorming Structured or semi-structured interview Delphi Check lists Primary hazard analysis Hazard and operability studies (HAZOP) Hazard analysis and critical control point (HACCP) Environmental risk assessment Structure “What if?” (SWIFT) Scenario analysis Business Impact Analysis Root cause analysis Failure mode effect analysis Fault tree analysis Event tree analysis Cause and consequence analysis Cause-and-effect analysis Layer protection analysis (LOPA) Decision tree Human reliability analysis Bow tie analysis Reliability centred maintenance Sneak circuit analysis Markov analysis Monte Carlo simulation Bayesian statistics and Bayes Nets FN curves Risk indices Consequence/probability matrix Cost/benefit analysis Multi-criteria decision analysis (MCDA) Criteri di scelta della Metodologia Modello di gestione Rischi IT sinergico con il modello “complessivo” di gestione dei Rischi Aziendali (qualora presente); la gestione dei rischi IT è parte “integrante” dei processi operativi e decisionali aziendali Metodologia di valutazione dei Rischi IT in funzione della tipologia di rischi da valutare e gestire Solidità e replicabilità nel tempo della metodologia di valutazione dei Rischi IT Metodologia e soluzioni a supporto allineate con lo stato di maturità delle organizzazioni (es. al crescere del livello di maturità dell’azienda, il metodo e gli strumenti di valutazione e gestione del Rischio presentano requisiti crescenti in termini di ampiezza/profondità di analisi e livello di automazione) 16 Risk management and GRC Tools Risk and GRC Tools: a lot of methods and tools Good practices: lack of surveys on existing methods and tools Roadmap: interoperability and integration with other methods/tools Dopo iniziali incertezze (es. Report Gartner 2009), si registra un ritorno di interesse sui GRC Tools, anche in relazione alla IT Governance dei settori regolamentati (es. Circolare 263/2013 Banca d’Italia) Funzionalità principali di un GRC: Controls/Policy mapping Policy distribution/training IT control self-assessment documento IT GRCM asset repository Automated GCC collection Remediation and exception Basic compliance reporting IT compliance dashboards 17 IT risk evaluation Agenda 18 Standard & Best Practices settoriali IT Risk Management ISO 27001 Information Security ISO 22301 Business Continuity ISO 20000 IT Service Management Alcuni spunti di riflessione Information Security Data and the business information must not be accessible e/o communicated to non authorized people; with suitable level of reservation Respect of laws, rules, contractual clauses, Group rules for information protection and (example: Privacy, D.lgs. 231/2001; author's rights; etc) 19 Business information must be entire, correct, reliable, without alterations Capability to collect and evaluate evidence of the information systems and operations. Evidence evaluation can ensure that the information systems maintain data integrity and are operating effectively and efficiently, to achieve the organization's goals or objectives Possibility to access the data and to have the information services when and from where it’s necessary Every individual who works with an information system should have specific responsibilities for information assurance. The tasks for which a individual is responsible are readily measurable ISO/IEC 27001 in pillole Consiste nella realizzazione di un Sistema di Gestione della Sicurezza delle Informazioni (Information Security Management Systems) basato su: focalizzazione e centralità del Risk management implementazione di un SG con i Requisiti della ISO/IEC 27001 applicazione dei «Control» riportati nella ISO/IEC 27002 (Code of Practices) La Norma ISO/IEC 27001: documento 20 Esiste da più di 20 anni, considerando le precedenti BS 17999 È applicabile a realtà di ogni tipo e dimensione L’ambito (scope) di applicazione è definito a piacimento Dice cosa fare, non come farlo Approccio ciclico e miglioramento continuo Costituisce un framework completo e certificabile. ISO/IEC 27001:2013 Annex A A.5 Information security policies A.6 Organization of information security A.7 Human resource security A.8 Asset management A.9 Access control A.10 Cryptography A.11 Physical and environmental security A.12 Operations security A.13 Communications security A.14 System acquisition, development and maintenance documento A.15 Supplier relationships A.16 Information security incident management A.17 IS aspects of business continuity management 21 A.18 Compliance ISO/IEC 27002:2013 CONTROLS Aree di Controllo 14 Obiettivi di Controllo 35 Controlli 114 Ampliamento numero Aree di Controllo (focalizzazione ) Riduzione numero Obiettivi di Controllo (semplificazione) Riduzione numero Controlli (aggregazione di alcuni e inserimento di 11 Nuovi Controlli su tematiche emergenti, tra cui: Project Management Secure development and testing (secure development policy, secure system engineering principles, secure development environment, system security testing) Supply chain (information security policy for supplier, etc.) 22 Livello di Rischio «associato» ai Controls Risk Scenario: Technical Failure (availability) weight V : score V 5.1.1. V 5.1.2. V 6.1.1. V 6.1.2. V 6.1.3. V 6.1.4. V 6.1.5. V 6.1.6. V 6.1.7. V 6.1.8. 23 23 = 3 I : score =7 2 2 2 3 2 2 1 2 2 2 L : score =4 MAX = 3 IxLxV RISK = 7*4*3 = 84 Control priorities 24 Risk = 84 Treatment Plan Impacts Gap-analysis & Risk assessment checklist Likelihood Vulnerability (measures already implemented) TREATMENT PLAN “INHERENT” Risk • Reduction • Transfer • Removal “CURRENT” Risk “RESIDUAL” Acceptable threshold Risk 25 RISK ASSESSMENT RISK TREATMENT ISO/IEC 27001: Benefici principali Verso il mercato Sviluppo/protezione del business vs clienti Sviluppo di relazioni di partnership verso altre aziende Immagine vs esterno Interni all’azienda Rinforzo Compliance (es. D.lgs 231/2001, Privacy, etc.) Risposta ad esigenze di Controllo Interno Trasparenza verso il Top management Possibili benefici economici su polizze assicurative (danni diretti e indiretti) Efficacia-efficienza delle soluzioni tecnico-organizzative adottate per la sicurezza delle informazioni Coinvolgimento e Motivazione del personale 26 Diffusione ISO/IEC 27001 documento 27 Cloud Security Alliance – STAR certification • The concept of the scheme is to use to the ISO/IEC 27001:2005 certification integrated with the CSA Cloud Control Matrix (11 Control Areas) as additional or compensating controls. • The program will integrate with popular third-party assessment and attestation (ISO27001 / SSAE 16 - SOC2) statements developed within the public accounting community to avoid duplication of effort and cost. documento 28 CSA Cloud Controls Matrix Application & Interface Security Audit Assurance & Compliance Business Continuity Management & Operational Resilience Change Control & Configuration Management Data Security & Information Lifecycle Management Datacenter Security Encryption & Key Management Governance and Risk Management Human Resources Identity & Access Management Infrastructure & Virtualization Security Interoperability & Portability Mobile Security Security Incident Management, E-Discovery & Cloud Forensics Supply Chain Management, Transparency and Accountability Threat and Vulnerability Management documento 29 4 3 12 5 8 9 4 12 12 13 12 5 20 5 9 3 Tenant / Consumer Supplier Relationship Service Provider IaaS Corp Gov Relev. PaaS Data App Storage Compute Network Controls Phys Control Domain SaaS Cloud Service Delivery Model Applicability Architectural Relevance Agenda 30 Standard & Best Practices settoriali IT Risk Management ISO 27001 Information Security ISO 22301 Business Continuity ISO 20000 IT Service Management Alcuni spunti di riflessione Probability Business Continuity Scope The purpose of Business Continuity is to prevent and react to events whose probability Critical Events of occurrence is low, but whose impacts are very high Impact PREVENTION REACTION RISK TREATMENT CRISIS MANAGEMENT BCMS IMPLEMENTATION BUSINESS CONTINUITY & DISASTER RECOVERY Crisis Committee 31 ISO/IEC 22301 BCM PROCESS 1. CONTESTO E PERIMETRO 2.BIA & RISK 7. 3. MODIFICHE E MANTENIMENTO STRATEGIE DI BC BCM 6. 4. SIMULAZIONI E RIESAMI documento 5. 32 BC/DR PLAN INCIDENT RESPONSE STRUCTURE BIA: Impatti sul Business (per Processo/Servizio) Il livello degli Impatti varia col prolungarsi dell’interruzione del processo/servizio approssimazione lineare Gli Impatti sono classificabili in: del Valore “Risultante” - Economici - Reputazionali Valore “Risultante” - Normativi di tutte le tipologie di Impatti - Gestionali - Operativi Valore degli Impatti per Tipologia inizio della interruzione del processo/servizio t=0 asse del tempo Nota: considerare la “approssimazione lineare” del Valore “Risultante” di tutte le tipologie di Impatti, consente di apprezzare una stima (approssimata) del valore degli “Impatti per unità di tempo” (es.: perdita in €uro / per giorno di interruzione) 33 Requisiti principali per la BC: RTO e RPO Impatti RTO (Recovery Time Objective) Soglia di accettabilità Tempo di interruzione massimo accettabile (in funzione del massimo Impatto accettabile) Durata dell’interruzione RTO Dati immessi INCIDENTE Soglia di accettabilità (dati persi) RPO (Recovery Point Objective) Tempo massimo accettabile tra back-up successivi (in funzione del massimo quantitativo di dati che è accettabile “perdere”) Dati persi Backup N Backup N+1 RPO 34 tempo Riduzione dei tempi di ripristino Impatti Approssimazione lineare del valore Risultante Valore risultante di tutte le tipologie di Impatti Impatto attuale Impatto “accettabile” Vulnerabilità documento RTO 35 RT = Vulnerabilità attuale Misure per la riduzione del rischio BCP: misure per la riduzione dei rischi Scenari di indisponibilità di: Esempi di Tipologie di Misure per la gestione della Business Continuity Sede/Uffici Piani logistici emergenza (postazioni lavoro alternative, lavoro da remoto, etc.) Tecnologie Backup Ridondanze Sito DR Info/Dati cartacei Conservazione copie (armadi ignifughi) Scannerizzazione Forniture / servizi terzi Requisiti di ripristino e SLA intervento Accordi con Fornitori alternativi Persone Piano sostituzioni Piano intervento e reperibilità specialisti interni e fornitori Piano pandemia Stakeholders Piani integrati Accordi condivisi e formalizzati documento 36 Diffusione ISO/IEC 22301 La certificazione ISO 22301 (e la precedente BS 25999, da cui ISO 22301 è derivata) non è molto diffusa in Italia. Le esperienze di certificazione sono prevalentemente in ambito Telco e Servizi. La recente circolare 263-Bankit dedica un Capitolo specifico alla Continuità operativa (Cap. 9), con stringenti requisiti di RTO, e richiama l’esigenza che le Banche garantiscano la Continuità operativa dei servizi critici affidati agli Outsourcers. documento 37 Agenda 38 Standard & Best Practices settoriali IT Risk Management ISO 27001 Information Security ISO 22301 Business Continuity ISO 20000 IT Service Management Alcuni spunti di riflessione IT Service Management (ISO/IEC 20000) Per “Service Management” si intende un approccio volto ad ottenere il massimo risultato del Business, attraverso: le infrastrutture, l’organizzazione aziendale, le persone, i processi, le tecnologie, orientando queste nella direzione di soddisfare gli impegni contrattuali assunti dall’azienda e le aspettative dei Clienti. ISO/IEC 20000 è il primo standard mondiale specificatamente sviluppato per l’IT Service Management, derivato da ITIL. Descrive un set integrato di processi di gestione e requisiti per effettuare l‘erogazione dei servizi ai clienti (esterni/interni). 39 INTERNO ISO/IEC 20000 Processes 5. Design and transition of new or changed services 6. Processi di erogazione del servizio 6.1 Gestione dei livelli del servizio (SLA) 6.3 Gestione della continuità e della disponibilità del servizio 6.5 Gestione della capacità di prestazioni 6.2 Reporting sui livelli del servizio 6.4 Previsioni e consuntivi dei costi per i servizi IT 6.6 Gestione sicurezza delle informazioni 9. Processi di controllo 9.1 Gestione della configurazione 9.2 Gestione dei cambiamenti 9.3 Gestione del processo di rilascio 8. Processi di ripristino 7. Processi relazionali 8.2 Gestione degli incidenti 7.2 Gestione Clienti 8.3 Gestione dei problemi 40 7.3 Gestione Fornitori Nello schema sono indicati i capitoli della norma ISO 20000 Requisiti principali IT Service Management CATALOGO SERVIZI PROGETTAZIONE DEI SERVIZI CAPACITY MANAGEMENT SLA / OLA BUDGETING & REPORTING INCIDENT-PROBLEM-CHANGE-RELEASE-CONFIGURATION BUSINESS RELATIONSHIPS 41 ISO/IEC 20000: Benefici 42 • Miglioramento continuo della qualità dei servizi erogati vs i clienti • Riduzione dei costi grazie al miglioramento del ROI (Return On Investments) o la riduzione del TCO (Total Cost of Ownership) • Maggiore trasparenza dell'azione IT nei confronti del Management • Riduzione del rischio di non soddisfare i requisiti del business con i servizi erogati • Miglioramento delle comunicazioni e delle relazioni tra IT e business • Capacità di supportare un tasso di cambiamento maggiore, migliorando nel contempo la capacità misurabile di raggiungere i risultati • Adozione di processi e procedure auditabili Aziende interessate alla ISO/IEC 20000 Fornitori di servizi IT o Outsourcer di Servizi IT o Application Service Provider (ASP) o Cloud Service Provider (Private & Public) 43 Aziende «IT Mission Critical» nelle quali il business dipenda fortemente dai servizi IT Organizzazioni IT che vogliano realizzare practices gestionali tecnico-economiche orientate alla ottimizzazione dei Servizi ai clienti interni od esterni 43 Diffusione ISO/IEC 20000 L’applicazione dello standard ITIL (da cui ISO 20000 è derivata) è significativamente diffusa nelle aziende italiane «IT oriented» di una dimensione significativa. La pubblicazione di ISO 2000 nel 2011 lasciava presagire un certo interesse da parte delle aziende, cosa che finora si è verificata solo in parte. Il numero di certificazioni ISO 20000 in Italia è limitato ed è concentrato nei casi nei quali il cliente (es. PA) lo richieda al fornitore di Servizi ICT. Si sta comunque registrando, anche se molto tiepidamente, come nel caso ISO 22301, una certa inversione di tendenza. documento 44 Agenda 45 Standard & Best Practices settoriali IT Risk Management ISO 27001 Information Security ISO 22301 Business Continuity ISO 20000 IT Service Management Alcuni spunti di riflessione Spunti di riflessione 46 • Centralità dell’IT Risk Management • Conoscere le Norme e cercare di applicarne i principi generali • Utilizzare i Code of Practices delle Norme (es. ISO 27002) per approfondimenti • Comprendere i benefici delle certificazioni vs il mercato e vs l’interno delle aziende, in coerenza con il business e la cultura aziendale • Sensibilizzare/Formare tutti i professional dell’ICT (non solo le staff specializzate) su tematiche di IT Governance & Security • Comprendere che i temi trattati non sono riservati alle Grandi aziende ma interessano tutte le organizzazioni, di qualsiasi dimensione, con gli opportuni gradi di profondità Sernet Group Piazza Repubblica 30 20124 Milano Tel. +39.02.89696835 Fax +39.02.89696834 email: [email protected] www.sernet.it Siro Migliavacca 47
© Copyright 2024 ExpyDoc
