IT Governance

634 views

Published on

Intervento di Andrea Pontoni e Luca moroni sul tema IT Governance all'incontro dell'IT Club FVG del 23/06/2014

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
634
On SlideShare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
36
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

IT Governance

  1. 1. 23.6.2014 - udine - ISACA VENICE Chapter 1 IT Governance - Andrea Pontoni © IT Governance per la e Sicurezza delle informazioni Andrea Pontoni – Luca Moroni Udine, 23 giugno 2014
  2. 2. 23.6.2014 - udine - ISACA VENICE Chapter 2 IT Governance - Andrea Pontoni © IT Governance – Udine 23 05 2014 Sponsor e sostenitori di ISACA VENICE Chapter Con il patrocinio di
  3. 3. 23.6.2014 - udine - ISACA VENICE Chapter 3 IT Governance - Andrea Pontoni © Andrea Pontoni Responsabile funzione di Group IT Audit in Assicurazioni Generali Tra i fondatori di ISACA VENICE di cui è Tesoriere / Web master e responsabile per la formazione COBIT 5. Laureato Informatica presso l’università d Udine. Certificato CISA, COBIT 5.0 Foundation Trainer, ITIL Foundation
  4. 4. 23.6.2014 - udine - ISACA VENICE Chapter 4 IT Governance - Andrea Pontoni © Luca Moroni Coordinatore di gruppi di Approfondimento per ISACA VENICE Chapter e quest'anno del gruppo di approfondimento “Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est”. Laureato in Informatica a Milano, Certificato CISA e ITIL V3 + Certificazioni di settore Si occupa di selezionare per i clienti le aziende fornitrici di tecnologie informatiche in base alle loro competenze specifiche.
  5. 5. 23.6.2014 - udine - ISACA VENICE Chapter 5 IT Governance - Andrea Pontoni © ABSTRACT • La Sicurezza delle informazioni e l’emergente problematica della Cybersecurity sono temi che necessitano di un approccio strutturato anche nelle piccole e medie aziende. • E’ necessario irrobustire le difese integrando la sicurezza IT con un approccio olistico che consideri gli aspetti di governance, management e compliance. • Nell'incontro verranno presentati alcuni strumenti che permettono alle azienda di attuare un approccio strutturato ai temi della sicurezza, anche attraverso l’utilizzo di best practice quali COBIT 5, di una certificazione dell’azienda ISO27001 o della certificazione dei responsabili della sicurezza quali CISM, CRISK, Lead auditor / Implementer ISO 27001.
  6. 6. 23.6.2014 - udine - ISACA VENICE Chapter 6 IT Governance - Andrea Pontoni © Con 115.000 soci costituenti in 180 Paesi, ISACA (www.isaca.org) è un fornitore leader a livello globale di conoscenze, certificazioni, comunità, raccomandazioni e - formazione per la sicurezza e l'audit di sistemi informativi , governance e il management dell'IT nelle organizzazioni e la conformità e i rischi relativi all'IT - . Fondata nel 1969, ISACA è un'organizzazione indipendente senza scopo di lucro che ospita conferenze internazionali, pubblica il periodico ISACA® Journal e sviluppa standard internazionali per l'audit e il controllo di sistemi informativi, che aiutano i costituenti ad assicurare la fiducia nei sistemi informativi e a trarne valore. Promuove l'avanzamento di abilità e conoscenze IT e lo certifica mediante i marchi di reputazione mondiale Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) e Certified in Risk and Information Systems Control (CRISC). ISACA provvede all'aggiornamento costante di COBIT®, che aiuta i professionisti IT e i leader di organizzazioni nell'adempimento delle proprie responsabilità di governance e management IT, in particolare nelle aree di audit, sicurezza, rischio e controllo, procurando valore alle aziende. Oltre 115.000 membri in 180 paesi 200 capitoli in 80 diversi paesi CERTIFICATI CISA 109.000, CISM 25.000, CGEIT 6000; CRISC 17.000 ISACA Journal, infiniti libri e pubblicazioni
  7. 7. 23.6.2014 - udine - ISACA VENICE Chapter 7 IT Governance - Andrea Pontoni © ISACA VENICE CHAPTER è un’associazione non profit con lo SCOPO di fornire ai soci locali di ISACA eventi formativi relativamente ai temi di IT GOVERNANCE, IT SECURITY, IT ASSURANCE Attraverso la condivisione di esperienze professionali con i professionisti dell’IT del Nord Est dell’Italia al fine di fornire gli appropriati strumenti per affrontare le sfide dell’IT: l’IT risk, i processi IT, e le loro iterazioni con la corporate governance, il corporate management, i rischi aziendali e i processi aziendali l’organizzazione di attività formative, promozione delle certificazioni ISACA, di un networking professionale e della consapevolezza nelle comunità IT locali delle professioni di auditor e di responsabili dell’IT nelle comunità accademiche e dell’impresa.
  8. 8. 23.6.2014 - udine - ISACA VENICE Chapter 8 IT Governance - Andrea Pontoni © BOARD • BREGOLIN MAURO – QSA CISA CRISC COBIT5F; Professional Services Director, KIMA • D’ORSI ROBERTO – Consultant, Lecturer at University of Venice • MARIANI ELENA - CISA, Organization an Development Director, Bassilichi • NARDUZZO ORILLO – CISA CISM CGEIT CRISC CCSA COBIT5F e TR; IT Audit Manager; Banca Popolare di Vicenza • PEDERIVA ANDREA – CISA COBIT5F e TR; Internal Audit Director; SAVE • PONTONI ANDREA – CISA, COBIT5F e TR, IT Audit Manager, Assicurazioni Generali • RAMPAZZO ATTILIO – CISA, CRISC, COBIT5F e TR, SGSI and ISMS Auditor, ISO27001LA; ISO20000A, ITIL-F; Security Senior Auditor ; Almaviva • SALVATO MARCO – CISA CISM CGEIT CRISC, COBIT5F-TR ITIL-F, PRINCE2; IT Security Manager; Generali Business Solutions • SARTORI PIERLUIGI – CISM CGEIT CRISC, CISSP, MBCI; Security Manager; Informatica Trentina • SOLDAN FERDINANDO –CISM CRISC CISA COBIT5F, Compliance Director; Bassilichi
  9. 9. 23.6.2014 - udine - ISACA VENICE Chapter 9 IT Governance - Andrea Pontoni © E’ ormai un dovere necessario per le aziende: •Mantenere i RISCHI legati alla gestione delle informazioni a un livello accettabile al fine di PROTEGGERE LE INFORMAZIONI contro la divulgazione non autorizzata, modifiche non autorizzate o involontarie, e possibili intrusioni; •GARANTIRE che i servizi e i sistemi siano sempre DISPONIBILI agli utilizzatori (interni ed esterni), assicurando la soddisfazione dell’utente nell’utilizzo dei servizi forniti dall’IT. •RISPETTARE il crescente numero di LEGGI E REGOLAMENTI, nonché i requisiti contrattuali e le politiche interne in materia di sicurezza delle informazioni e dei sistemi, e fornire trasparenza sul livello di conformità. •Ottenere TUTTO quanto sopra, CONTENENDO contemporaneamente IL COSTO dei servizi IT e della protezione della tecnologia. La sfida della Sicurezza IT nelle aziende 9
  10. 10. 23.6.2014 - udine - ISACA VENICE Chapter 10 IT Governance - Andrea Pontoni © COME Enterprise IT Governance Approccio strutturato alla sicurezza
  11. 11. 23.6.2014 - udine - ISACA VENICE Chapter 11 IT Governance - Andrea Pontoni © IT GOVERNANCE
  12. 12. 23.6.2014 - udine - ISACA VENICE Chapter 12 IT Governance - Andrea Pontoni ©
  13. 13. 23.6.2014 - udine - ISACA VENICE Chapter 13 IT Governance - Andrea Pontoni ©
  14. 14. 23.6.2014 - udine - ISACA VENICE Chapter 14 IT Governance - Andrea Pontoni © COBIT 5 aiuta le organizzazioni a ottenere dall'IT il valore ottimale, conservando l'equilibrio tra l’ottenimento dei benefici attesi e l'ottimizzazione dei livelli di rischio e di impiego delle risorse. COBIT 5 consente di governare e gestire l'informazione e la relativa tecnologia in modo olistico per l'intera organizzazione, comprendendo tutte le aree di responsabilità funzionali e aziendali, tenendo conto degli interessi correlati all'IT degli stakeholder interni ed esterni. IT GOVERNANCE PER COBIT 14
  15. 15. 23.6.2014 - udine - ISACA VENICE Chapter 15 IT Governance - Andrea Pontoni © Governance IT COBIT4.0/4.1 Management COBIT3 Controllo COBIT2 Audit COBIT1 2005/720001998 Evoluzionedell'ambito 1996 2012 Val IT 2.0 (2008) Risk IT (2009) EVOLUZIONE DI COBIT
  16. 16. 23.6.2014 - udine - ISACA VENICE Chapter 16 IT Governance - Andrea Pontoni © Il principale prodotto "ombrello" di COBIT 5 Comprende un executive summary e la descrizione completa di tutti i componenti dell'infrastruttura COBIT 5. I cinque principi COBIT 5 I sette attivatori COBIT 5, più un'introduzione alla guida all'implementazione sviluppata da ISACA (COBIT 5 Implementazione) Un'introduzione al programma di valutazione COBIT (non specifica per COBIT 5) e all'approccio alla capacità di processo adottato da ISACA per COBIT INFRASTRUTTURA DI COBIT
  17. 17. 23.6.2014 - udine - ISACA VENICE Chapter 17 IT Governance - Andrea Pontoni © GAMMA DI PRODOTTI COBIT
  18. 18. 23.6.2014 - udine - ISACA VENICE Chapter 18 IT Governance - Andrea Pontoni © ALBERO PROCESSI COBIT
  19. 19. 23.6.2014 - udine - ISACA VENICE Chapter 19 IT Governance - Andrea Pontoni © ALBERO PROCESSI COBIT Il modello di riferimento dei processi COBIT 5 suddivide le pratiche e le attività dell'organizzazione correlate all'IT in due aree principali, governance e management, dove il management è ulteriormente suddiviso in domini di processi: • Il dominio della GOVERNANCE comprende cinque processi; per ciascuno di essi sono definite le pratiche di valutazione, direzione e monitoraggio (EDM). • I quattro domini del MANAGEMENT sono allineati alle aree di responsabilità della pianificazione, della costruzione, dell'esecuzione e del monitoraggio (PBRM).
  20. 20. 23.6.2014 - udine - ISACA VENICE Chapter 20 IT Governance - Andrea Pontoni © ESEMPIO
  21. 21. 23.6.2014 - udine - ISACA VENICE Chapter 21 IT Governance - Andrea Pontoni © COBIT 5 for Information Security
  22. 22. 23.6.2014 - udine - ISACA VENICE Chapter 22 IT Governance - Andrea Pontoni © ISO 27000
  23. 23. 23.6.2014 - udine - ISACA VENICE Chapter 23 IT Governance - Andrea Pontoni © LO STANDARD ISO 27000 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS) - Applicabile ad organizzazioni di ogni dimensione - Ambito definibile a piacimento - Approccio ciclico (PDCA) - Orientata ai processi - Costituisce un framework completo - Dice cosa fare ma non come farlo - Volta al miglioramento continuo - E’ un riferimento universale e certificabile
  24. 24. 23.6.2014 - udine - ISACA VENICE Chapter 24 IT Governance - Andrea Pontoni © Storia ISO27000
  25. 25. 23.6.2014 - udine - ISACA VENICE Chapter 25 IT Governance - Andrea Pontoni © ISO/IEC 27002:2013 ISO/IEC 27001:2013 Guida Requisiti Fornisce i requisiti per definire, realizzare, gestire, monitorare, riesaminare, mantenere e migliorare un SGSI documentato Fornisce raccomandazioni e consigli sulla implementazione dei controlli di sicurezza delle informazioni ISO 27000 oggi
  26. 26. 23.6.2014 - udine - ISACA VENICE Chapter 26 IT Governance - Andrea Pontoni © Famiglia ISO/IEC 27000 Requisiti Linee Guida Linee Guida di Settore 27001:2013 ISMS requirements 27000:2014 ISMS Overview and vocabulary 27006:2011 Requirements for audit and certification bodies 27002:2013 Code of practice for ISMS 27003:2010 ISMS implementation guidance 27004:2009 ISMS Measurements 27005:2011 Information Security Risk Management 27007 :2011 ISMS auditing guidelines TR 27008:2011 Guidance for auditors on ISMS controls 27010:2012 ISMS interworking and communications 27011:2008 ISMS guidelines for telecommunications 27013:2012 IS 20000 and ISO 27001 27014:2013 Security Governance TR 27015:2012 Financial/insurance services ISO/IEC 27031:2011 ICT Business Continuity 27799:2008 ISMS guidelines for Health REV REV
  27. 27. 23.6.2014 - udine - ISACA VENICE Chapter 27 IT Governance - Andrea Pontoni © A chi si rivolge la ISO/IEC 27001:2013 ISO/IEC 27001 è indicata per qualsiasi organizzazione, grande o piccola, in qualsiasi settore di attività o parte del mondo. La norma è particolarmente indicata nei casi in cui la protezione delle informazioni è critica, come nei settori finanziario, pubblico e IT. ISO/IEC 27001 è inoltre particolarmente efficace per le organizzazioni che gestiscono informazioni per conto terzi, come le società di outsourcing dell'IT e può essere utilizzato come garanzia di protezione per le informazioni dei propri clienti.
  28. 28. 23.6.2014 - udine - ISACA VENICE Chapter 28 IT Governance - Andrea Pontoni © ISO/IEC 27001 •Principale standard internazionale per la gestione della sicurezza delle informazioni •A Dicembre 2012, più di 20000 organizzazioni nel mondo risultavano certificate contro questa norma •Il suo scopo è quello di proteggere la riservatezza, l'integrità e la disponibilità delle informazioni -‘Information security includes three main dimensions: confidentiality, availability and integrity.’-
  29. 29. 23.6.2014 - udine - ISACA VENICE Chapter 29 IT Governance - Andrea Pontoni © ISO/IEC 27001 • Non è una norma tecnica che fornisce un modello per definire, implementare, operare, monitorare, rivedere, mantenere e migliorare un ISMS (Information Security Management System o SGSI Sistema di gestione della Sicurezza delle Informazioni) • La progettazione e la realizzazione di un ISMS dell'organizzazione è influenzato dalle necessità e obiettivi specifici, dai requisiti di sicurezza, dai processi interni e dalle dimensioni e dalla struttura dell'organizzazione.
  30. 30. 23.6.2014 - udine - ISACA VENICE Chapter 30 IT Governance - Andrea Pontoni © L'approccio per processi per la gestione della sicurezza delle informazioni presentate nella presente norma internazionale enfatizza l'importanza di: a)comprendere le esigenze della sicurezza delle informazioni nell'organizzazione e la necessità di stabilire politiche e obiettivi per la sicurezza delle informazioni; b)la realizzazione e il funzionamento dei controlli per gestire i rischi di sicurezza informatica di un'organizzazione nel contesto dei rischi aziendali generali dell'organizzazione; c)il monitoraggio e la revisione delle prestazioni e l'efficacia del SGSI; d)miglioramento continuo basato sulla misurazione oggettiva. ISO/IEC 27001
  31. 31. 23.6.2014 - udine - ISACA VENICE Chapter 31 IT Governance - Andrea Pontoni © Approccio dell’ ISO 27001 1/2 La presente norma internazionale adotta il "-Do-Check- Act Plan" (PDCA), che si applica a strutturare tutti Processi dell’ISMS.
  32. 32. 23.6.2014 - udine - ISACA VENICE Chapter 32 IT Governance - Andrea Pontoni © Approccio dell’ ISO 27001 2/2
  33. 33. 23.6.2014 - udine - ISACA VENICE Chapter 33 IT Governance - Andrea Pontoni © Definire ISMS (PLAN) • Definire perimetro applicazione ISMS e definire la policy ISMS • Definire l’approccio di valutazione del rischio dell’organizzazione • Identificazione dei rischi e successiva analisi e valutazione • Identificazione del obiettivi di controllo e dei controlli per la gestione del rischio • Approvazione da parte del management dei rischi residui • Preparare lo ‘Statement of Applicability’ - la lista dei controlli implementati e giustificazione di quelli esclusi’
  34. 34. 23.6.2014 - udine - ISACA VENICE Chapter 34 IT Governance - Andrea Pontoni © Implementare l’ ISMS (DO) • Definire e implementare un piano di gestione del rischio (risorse, responsabilità..) • Implementare i controlli definiti nella fase precedente • Definire un modello di valutazione dell’effettività dei controlli implementati • Implementare programmi di training e di consapevolezza • Gestire nel continuo il l’IMSM e le risorse relative • Implementare procedure e controlli capaci di scoprire e di dare risposta immediata agli incidenti di sicurezza
  35. 35. 23.6.2014 - udine - ISACA VENICE Chapter 35 IT Governance - Andrea Pontoni © Monitorare l’ ISMS (Check) • L’organizzazione deve monitorare e rivedere i controlli • Implementare i controlli definiti nella fase precedente • Rivedere periodicamente l’effettività dell’ISMS • Misurare l’effettività dei controlli • Rivedere periodicamente il risk asssessment e assicurarsi che i cambi avvenuti nell’organizzazione, tecnologici, di obiettivi strategici, normativi siano tenuti in considerazione • Condurre audit sull’ISMS periodicamente e gestire prontamente eventuali finding
  36. 36. 23.6.2014 - udine - ISACA VENICE Chapter 36 IT Governance - Andrea Pontoni © Migliorare l’ ISMS (ACT) • Implementare i miglioramenti identificati nell’ISMS • Attuare azioni correttive e preventive utilizzando ogni informazione appresa dall’esperienze accadute nell’impresa stessa o in organizzazioni simili • Avere un corretto processo di comunicazione delle problematiche di sicurezza • Assicurare che le azioni di miglioramento attivate raggiungano gli obiettivi attesi
  37. 37. 23.6.2014 - udine - ISACA VENICE Chapter 37 IT Governance - Andrea Pontoni © CERTIFICAZIONI SULLA SICUREZZA
  38. 38. 23.6.2014 - udine - ISACA VENICE Chapter 38 IT Governance - Andrea Pontoni © Certificazione Lead auditor ISO/IEC 27001 La certificazione ISO / IEC 27001 Lead Auditor è costituita da una certificazione professionale per gli auditor specializzati in sistemi di gestione della sicurezza delle informazioni (ISMS) basato sulla norma ISO / IEC 27001 Gli argomenti sono i seguenti: •Conoscenza della ISO/IEC 27001 e altri standard pertinenti; •Tecniche di sicurezza delle informazioni; •Metodi di valutazione e gestione del rischio; •Elementi della normativa applicabile; •Caratteristiche dei sistemi di gestione; •Misurazione dell’efficacia di un sistema di gestione per la sicurezza delle informazioni; •Gestione e conduzione degli audit secondo gli standard pertinenti (con esercitazioni e simulazioni) •
  39. 39. 23.6.2014 - udine - ISACA VENICE Chapter 39 IT Governance - Andrea Pontoni © I corsi da Lead auditor ISO/IEC 27001 sono di 40 ore e includono l’esame. I corsi possono essere erogati in un unico modulo di 40 ore o in due moduli di 16 ore e di 24. Per ottenere una qualificazione accreditata ed un certificato valido ai fini della certificazione, il corso deve essere qualificato/registrato da un organismo di certificazione del personale accreditato L’esame di certificazione Lead Auditor ISO/IEC 27001 ha durata dipendente dall’organismo di certificazione del personale. Non sono richiesti prerequisiti per partecipare all’esame. Certificazione Lead auditor ISO/IEC 27001
  40. 40. 23.6.2014 - udine - ISACA VENICE Chapter 40 IT Governance - Andrea Pontoni © Gli argomenti sono i seguenti: • Introduzione ai sistemi di gestione e all’approccio per processi • Presentazione del framework 27000 • Principi di sicurezza delle informazioni • Definizione dell’ambito di un SGSI • Sviluppo del SGSI e delle politiche di sicurezza • Scelta e applicazione delle metodologie per la gestione del rischio • Stesura del SoA • Realizzazione di un framework documentale • Progettazione e attuazione di controlli e procedure • Sviluppo di programmi di istruzione, formazione e consapevolezza • Gestione degli incidenti e dell’operatività di un SGSI • Monitoraggio di un SGSI • Sviluppo di metriche e misurazioni di efficacia • Audit interni • Riesami della direzione • Attuazione del miglioramento continuo • Preparazione per un audit di certificazione ISO 27001 Implementer
  41. 41. 23.6.2014 - udine - ISACA VENICE Chapter 41 IT Governance - Andrea Pontoni © Il corso preparatorio all’esame ha una durata di 4 giorni mentre quest’ultimo può essere effettuato in un tempo massimo di 3 ore. La frequenza del corso non è obbligatoria per sostenere l’esame e non vi sono prerequisiti per effettuarlo. Deve essere fornita evidenza di formazione continua e di attività professionale collegata alla certificazione conseguita:10 ore di formazione e 10 ore di attività annuale / 30 ore di formazione e 30 ore di attività triennale ISO 27001 Implementer
  42. 42. 23.6.2014 - udine - ISACA VENICE Chapter 42 IT Governance - Andrea Pontoni © Grazie per l’attenzione Andrea Pontoni andrea.pontoni@isacavenice.org Luca Moroni l.moroni@viavirtuosa.it

×