IT Governance

23.6.2014 - udine - ISACA VENICE Chapter
1
IT Governance - Andrea Pontoni ©
IT Governance
per la e Sicurezza delle informazioni
Andrea Pontoni – Luca Moroni
Udine, 23 giugno 2014

2
IT Governance – Udine 23 05 2014
Sponsor e
sostenitori di
ISACA VENICE
Chapter
Con il
patrocinio di

3
Andrea Pontoni
Responsabile funzione di Group IT Audit in Assicurazioni Generali
Tra i fondatori di ISACA VENICE di cui è Tesoriere / Web master e
responsabile per la formazione COBIT 5.
Laureato Informatica presso l’università d Udine. Certificato CISA, COBIT
5.0 Foundation Trainer, ITIL Foundation

4
Luca Moroni
Coordinatore di gruppi di Approfondimento per ISACA VENICE Chapter e
quest'anno del gruppo di approfondimento “Sicurezza Cibernetica
Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est”.
Laureato in Informatica a Milano, Certificato CISA e ITIL V3 + Certificazioni
di settore
Si occupa di selezionare per i clienti le aziende fornitrici di tecnologie
informatiche in base alle loro competenze specifiche.

5
ABSTRACT
• La Sicurezza delle informazioni e l’emergente problematica della
Cybersecurity sono temi che necessitano di un approccio strutturato
anche nelle piccole e medie aziende.
• E’ necessario irrobustire le difese integrando la sicurezza IT con un
approccio olistico che consideri gli aspetti di governance, management
e compliance.
• Nell'incontro verranno presentati alcuni strumenti che permettono alle
azienda di attuare un approccio strutturato ai temi della sicurezza,
anche attraverso l’utilizzo di best practice quali COBIT 5, di una
certificazione dell’azienda ISO27001 o della certificazione dei
responsabili della sicurezza quali CISM, CRISK, Lead auditor /
Implementer ISO 27001.

6
Con 115.000 soci costituenti in 180 Paesi, ISACA (www.isaca.org) è un fornitore leader a
livello globale di conoscenze, certificazioni, comunità, raccomandazioni e - formazione
per la sicurezza e l'audit di sistemi informativi , governance e il management dell'IT nelle
organizzazioni e la conformità e i rischi relativi all'IT - .
Fondata nel 1969, ISACA è un'organizzazione indipendente senza scopo di lucro che ospita
conferenze internazionali, pubblica il periodico ISACA® Journal e sviluppa standard
internazionali per l'audit e il controllo di sistemi informativi, che aiutano i costituenti ad
assicurare la fiducia nei sistemi informativi e a trarne valore. Promuove l'avanzamento di
abilità e conoscenze IT e lo certifica mediante i marchi di reputazione mondiale Certified
Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®),
Certified in the Governance of Enterprise IT® (CGEIT®) e Certified in Risk and Information
Systems Control (CRISC).
ISACA provvede all'aggiornamento costante di COBIT®, che aiuta i professionisti IT e i
leader di organizzazioni nell'adempimento delle proprie responsabilità di governance e
management IT, in particolare nelle aree di audit, sicurezza, rischio e controllo,
procurando valore alle aziende.
Oltre 115.000 membri in 180 paesi
200 capitoli in 80 diversi paesi
CERTIFICATI CISA 109.000, CISM 25.000, CGEIT 6000; CRISC 17.000
ISACA Journal, infiniti libri e pubblicazioni

7
ISACA VENICE CHAPTER è un’associazione non profit
con lo SCOPO di fornire ai soci locali di ISACA eventi formativi relativamente ai temi di IT
GOVERNANCE, IT SECURITY, IT ASSURANCE
Attraverso
la condivisione di esperienze professionali con i professionisti dell’IT del Nord Est
dell’Italia al fine di fornire gli appropriati strumenti per affrontare le sfide dell’IT: l’IT risk, i
processi IT, e le loro iterazioni con la corporate governance, il corporate management, i
rischi aziendali e i processi aziendali
l’organizzazione di attività formative, promozione delle certificazioni ISACA, di un
networking professionale e della consapevolezza nelle comunità IT locali delle professioni
di auditor e di responsabili dell’IT nelle comunità accademiche e dell’impresa.

8
BOARD
• BREGOLIN MAURO – QSA CISA CRISC COBIT5F; Professional Services Director, KIMA
• D’ORSI ROBERTO – Consultant, Lecturer at University of Venice
• MARIANI ELENA - CISA, Organization an Development Director, Bassilichi
• NARDUZZO ORILLO – CISA CISM CGEIT CRISC CCSA COBIT5F e TR; IT Audit Manager;
Banca Popolare di Vicenza
• PEDERIVA ANDREA – CISA COBIT5F e TR; Internal Audit Director; SAVE
• PONTONI ANDREA – CISA, COBIT5F e TR, IT Audit Manager, Assicurazioni Generali
• RAMPAZZO ATTILIO – CISA, CRISC, COBIT5F e TR, SGSI and ISMS Auditor,
ISO27001LA; ISO20000A, ITIL-F; Security Senior Auditor ; Almaviva
• SALVATO MARCO – CISA CISM CGEIT CRISC, COBIT5F-TR ITIL-F, PRINCE2; IT
Security Manager; Generali Business Solutions
• SARTORI PIERLUIGI – CISM CGEIT CRISC, CISSP, MBCI; Security Manager; Informatica
Trentina
• SOLDAN FERDINANDO –CISM CRISC CISA COBIT5F, Compliance Director; Bassilichi

9
E’ ormai un dovere necessario per le aziende:
•Mantenere i RISCHI legati alla gestione delle informazioni a un livello
accettabile al fine di PROTEGGERE LE INFORMAZIONI contro la
divulgazione non autorizzata, modifiche non autorizzate o involontarie,
e possibili intrusioni;
•GARANTIRE che i servizi e i sistemi siano sempre DISPONIBILI agli
utilizzatori (interni ed esterni), assicurando la soddisfazione dell’utente
nell’utilizzo dei servizi forniti dall’IT.
•RISPETTARE il crescente numero di LEGGI E REGOLAMENTI,
nonché i requisiti contrattuali e le politiche interne in materia di
sicurezza delle informazioni e dei sistemi, e fornire trasparenza sul
livello di conformità.
•Ottenere TUTTO quanto sopra, CONTENENDO
contemporaneamente IL COSTO dei servizi IT e della protezione della
tecnologia.
La sfida della Sicurezza IT nelle aziende
9

10
COME
Enterprise IT Governance
Approccio strutturato alla sicurezza

11
IT GOVERNANCE

12

13

14
COBIT 5 aiuta le organizzazioni a ottenere dall'IT il valore ottimale,
conservando l'equilibrio tra l’ottenimento dei benefici attesi e
l'ottimizzazione dei livelli di rischio e di impiego delle risorse.
COBIT 5 consente di governare e gestire l'informazione e la
relativa tecnologia in modo olistico per l'intera organizzazione,
comprendendo tutte le aree di responsabilità funzionali e
aziendali, tenendo conto degli interessi correlati all'IT degli
stakeholder interni ed esterni.
IT GOVERNANCE PER COBIT
14

15
Governance IT
COBIT4.0/4.1
Management
COBIT3
Controllo
COBIT2
Audit
COBIT1
2005/720001998
Evoluzionedell'ambito
1996 2012
Val IT 2.0
(2008)
Risk IT
(2009)
EVOLUZIONE DI COBIT

16
Il principale prodotto "ombrello" di COBIT 5
Comprende un executive summary e la descrizione completa di
tutti i componenti dell'infrastruttura COBIT 5.
I cinque principi COBIT 5
I sette attivatori COBIT 5, più
un'introduzione alla guida all'implementazione sviluppata da
ISACA (COBIT 5 Implementazione)
Un'introduzione al programma di valutazione COBIT (non
specifica per COBIT 5) e all'approccio alla capacità di processo
adottato da ISACA per COBIT
INFRASTRUTTURA DI COBIT

17
GAMMA DI PRODOTTI COBIT

18
ALBERO PROCESSI COBIT

19
ALBERO PROCESSI COBIT
Il modello di riferimento dei processi COBIT 5 suddivide le
pratiche e le attività dell'organizzazione correlate all'IT in
due aree principali, governance e management, dove il
management è ulteriormente suddiviso in domini di
processi:
• Il dominio della GOVERNANCE comprende cinque
processi; per ciascuno di essi sono definite le
pratiche di valutazione, direzione e monitoraggio
(EDM).
• I quattro domini del MANAGEMENT sono allineati
alle aree di responsabilità della pianificazione, della
costruzione, dell'esecuzione e del monitoraggio
(PBRM).

20
ESEMPIO

21
COBIT 5 for Information Security

22
ISO 27000

23
LO STANDARD ISO 27000
Sistema di Gestione per la Sicurezza delle
Informazioni (SGSI o ISMS)
- Applicabile ad organizzazioni di ogni dimensione
- Ambito definibile a piacimento
- Approccio ciclico (PDCA)
- Orientata ai processi
- Costituisce un framework completo
- Dice cosa fare ma non come farlo
- Volta al miglioramento continuo
- E’ un riferimento universale e certificabile

24
Storia ISO27000

25
ISO/IEC 27002:2013 ISO/IEC 27001:2013
Guida Requisiti
Fornisce i requisiti
per definire,
realizzare, gestire,
monitorare,
riesaminare,
mantenere e
migliorare un SGSI
documentato
Fornisce
raccomandazioni
e consigli sulla
implementazione dei
controlli di sicurezza
delle informazioni
ISO 27000 oggi

26
Famiglia ISO/IEC 27000
Requisiti Linee Guida Linee Guida di Settore
27001:2013
ISMS requirements 27000:2014
ISMS Overview and vocabulary
27006:2011
Requirements for audit and
certification bodies
27002:2013
Code of practice for ISMS
27003:2010
ISMS implementation guidance
27004:2009 ISMS
Measurements
27005:2011 Information
Security Risk Management
27007 :2011 ISMS
auditing guidelines
TR 27008:2011
Guidance for auditors on ISMS
controls
27010:2012 ISMS
interworking and
communications
27011:2008 ISMS
guidelines for
telecommunications
27013:2012 IS
20000 and ISO 27001
27014:2013
Security Governance
TR 27015:2012
Financial/insurance services
ISO/IEC 27031:2011
ICT Business Continuity
27799:2008 ISMS
guidelines for Health
REV
REV

27
A chi si rivolge la ISO/IEC 27001:2013
ISO/IEC 27001 è indicata per qualsiasi organizzazione,
grande o piccola, in qualsiasi settore di attività o parte del
mondo. La norma è particolarmente indicata nei casi in cui
la protezione delle informazioni è critica, come nei settori
finanziario, pubblico e IT.
ISO/IEC 27001 è inoltre particolarmente efficace per le
organizzazioni che gestiscono informazioni per conto terzi,
come le società di outsourcing dell'IT e può essere
utilizzato come garanzia di protezione per le informazioni
dei propri clienti.

28
ISO/IEC 27001
•Principale standard internazionale per la gestione della
sicurezza delle informazioni
•A Dicembre 2012, più di 20000 organizzazioni nel mondo
risultavano certificate contro questa norma
•Il suo scopo è quello di proteggere la riservatezza,
l'integrità e la disponibilità delle informazioni
-‘Information security includes three main dimensions:
confidentiality, availability and integrity.’-

29
ISO/IEC 27001
• Non è una norma tecnica che fornisce un modello per
definire, implementare, operare, monitorare, rivedere,
mantenere e migliorare un ISMS (Information Security
Management System o SGSI Sistema di gestione della
Sicurezza delle Informazioni)
• La progettazione e la realizzazione di un ISMS
dell'organizzazione è influenzato dalle necessità e
obiettivi specifici, dai requisiti di sicurezza, dai processi
interni e dalle dimensioni e dalla struttura
dell'organizzazione.

30
L'approccio per processi per la gestione della sicurezza delle
informazioni presentate nella presente norma internazionale
enfatizza l'importanza di:
a)comprendere le esigenze della sicurezza delle
informazioni nell'organizzazione e la necessità di stabilire
politiche e obiettivi per la sicurezza delle informazioni;
b)la realizzazione e il funzionamento dei controlli per gestire
i rischi di sicurezza informatica di un'organizzazione nel
contesto dei rischi aziendali generali dell'organizzazione;
c)il monitoraggio e la revisione delle prestazioni e l'efficacia
del SGSI;
d)miglioramento continuo basato sulla misurazione
oggettiva.
ISO/IEC 27001

31
Approccio dell’ ISO 27001 1/2
La presente norma internazionale adotta il "-Do-Check-
Act Plan" (PDCA), che si applica a strutturare tutti
Processi dell’ISMS.

32
Approccio dell’ ISO 27001 2/2

33
Definire ISMS (PLAN)
• Definire perimetro applicazione ISMS e definire la
policy ISMS
• Definire l’approccio di valutazione del rischio
dell’organizzazione
• Identificazione dei rischi e successiva analisi e
valutazione
• Identificazione del obiettivi di controllo e dei controlli
per la gestione del rischio
• Approvazione da parte del management dei rischi
residui
• Preparare lo ‘Statement of Applicability’ - la lista dei
controlli implementati e giustificazione di quelli esclusi’

34
Implementare l’ ISMS (DO)
• Definire e implementare un piano di gestione del
rischio (risorse, responsabilità..)
• Implementare i controlli definiti nella fase precedente
• Definire un modello di valutazione dell’effettività dei
controlli implementati
• Implementare programmi di training e di
consapevolezza
• Gestire nel continuo il l’IMSM e le risorse relative
• Implementare procedure e controlli capaci di scoprire e
di dare risposta immediata agli incidenti di sicurezza

35
Monitorare l’ ISMS (Check)
• L’organizzazione deve monitorare e rivedere i controlli
• Implementare i controlli definiti nella fase precedente
• Rivedere periodicamente l’effettività dell’ISMS
• Misurare l’effettività dei controlli
• Rivedere periodicamente il risk asssessment e
assicurarsi che i cambi avvenuti nell’organizzazione,
tecnologici, di obiettivi strategici, normativi siano tenuti
in considerazione
• Condurre audit sull’ISMS periodicamente e gestire
prontamente eventuali finding

36
Migliorare l’ ISMS (ACT)
• Implementare i miglioramenti identificati nell’ISMS
• Attuare azioni correttive e preventive utilizzando ogni
informazione appresa dall’esperienze accadute
nell’impresa stessa o in organizzazioni simili
• Avere un corretto processo di comunicazione delle
problematiche di sicurezza
• Assicurare che le azioni di miglioramento attivate
raggiungano gli obiettivi attesi

37
CERTIFICAZIONI SULLA SICUREZZA

38
Certificazione Lead auditor ISO/IEC 27001
La certificazione ISO / IEC 27001 Lead Auditor è
costituita da una certificazione professionale per gli
auditor specializzati in sistemi di gestione della sicurezza
delle informazioni (ISMS) basato sulla norma ISO / IEC
27001
Gli argomenti sono i seguenti:
•Conoscenza della ISO/IEC 27001 e altri standard pertinenti;
•Tecniche di sicurezza delle informazioni;
•Metodi di valutazione e gestione del rischio;
•Elementi della normativa applicabile;
•Caratteristiche dei sistemi di gestione;
•Misurazione dell’efficacia di un sistema di gestione per la sicurezza delle
informazioni;
•Gestione e conduzione degli audit secondo gli standard pertinenti (con
esercitazioni e simulazioni)
•

39
I corsi da Lead auditor ISO/IEC 27001 sono di 40 ore e
includono l’esame. I corsi possono essere erogati in un
unico modulo di 40 ore o in due moduli di 16 ore e di 24.
Per ottenere una qualificazione accreditata ed un
certificato valido ai fini della certificazione, il corso deve
essere qualificato/registrato da un organismo di
certificazione del personale accreditato
L’esame di certificazione Lead Auditor ISO/IEC 27001 ha
durata dipendente dall’organismo di certificazione del
personale. Non sono richiesti prerequisiti per partecipare
all’esame.
Certificazione Lead auditor ISO/IEC 27001

40
Gli argomenti sono i seguenti:
• Introduzione ai sistemi di gestione e all’approccio per processi
• Presentazione del framework 27000
• Principi di sicurezza delle informazioni
• Definizione dell’ambito di un SGSI
• Sviluppo del SGSI e delle politiche di sicurezza
• Scelta e applicazione delle metodologie per la gestione del rischio
• Stesura del SoA
• Realizzazione di un framework documentale
• Progettazione e attuazione di controlli e procedure
• Sviluppo di programmi di istruzione, formazione e consapevolezza
• Gestione degli incidenti e dell’operatività di un SGSI
• Monitoraggio di un SGSI
• Sviluppo di metriche e misurazioni di efficacia
• Audit interni
• Riesami della direzione
• Attuazione del miglioramento continuo
• Preparazione per un audit di certificazione
ISO 27001 Implementer

41
Il corso preparatorio all’esame ha una durata di 4 giorni
mentre quest’ultimo può essere effettuato in un tempo
massimo di 3 ore. La frequenza del corso non è
obbligatoria per sostenere l’esame e non vi sono
prerequisiti per effettuarlo.
Deve essere fornita evidenza di formazione continua e di
attività professionale collegata alla certificazione
conseguita:10 ore di formazione e 10 ore di attività
annuale / 30 ore di formazione e 30 ore di attività
triennale
ISO 27001 Implementer

42
Grazie per l’attenzione
Andrea Pontoni
andrea.pontoni@isacavenice.org
Luca Moroni
l.moroni@viavirtuosa.it

IT Governance

Recommended

Recommended

More Related Content

What's hot

What's hot (18)

Viewers also liked

Viewers also liked (20)

Similar to IT Governance

Similar to IT Governance (20)

More from Cristiano Di Paolo

More from Cristiano Di Paolo (20)

IT Governance