15 aggiornamento circ. n. 263 bankit: cobit5 per pianificare ed … · 2015-04-08 · 1 cobit5®...

1COBIT5® per pianificare ed implementare

SdS Milano, 20 giugno 2014

Un approccio metodologico originale basato su COBIT5 per l’adeguamento ai requisiti normativi

15° aggiornamento Circ. n. 263 Bankit:

COBIT5 per pianificare ed implementareF. Bulgarelli, V. Iuvara, A. Piamonte

Sessione di Studio - Milano, 20 giugno 2014



Il 2 luglio 2013 Banca d’Italia ha emanato in via definitiva il 15 °aggiornamento della Circolare n.263 del 26 dicembre 2006 “Nuove disposizioni di vigilanza prudenziale per le banche” in materia dicontrolli interni, sistema informativo e continuità operativa delle banche e dei gruppi bancari.

Il Framework COBIT5 di ISACA ha le caratteristiche che ne suggeriscono l’utilizzo sia per pianificare che per implementare le attività legate alle nuove disposizioni

3COBIT5® per pianificare ed implementare SdS Milano, 20 giugno 2014

AIEA,

l’Associazione

Italiana

Information

System

Auditors

Per i Soci :

• Partecipazione gratuita alle Sessioni di Studio. • Accessibili, in diretta o on-demand, via internet

• Convegno annuale.• Formazione

• Certificazioni CISA CISM CGEIT CRISC• COBIT5• Professionale

• Gruppi di ricerca• Banca d’Italia circ. 263 • Risk Management• Nuovo Regolamento Privacy EU• ………..• Pubblica Amministrazione CAD

• Rivista Internet• Pubblicazione online con blog e approfondimenti

• Partecipazione agevolata a eventi di interesse generale• AIEA patrocina numerosi eventi ottenendo condizioni di

favore per la partecipazione dei Soci


• Governare l’ITo Frameworks

o Costruiamo il Framework di Governance

o COBIT 5 Framework

o COBIT 5 Implementation

• La normativa BANKIT di Vigilanza Prudenziale (15° aggiornamento) e la Governance dell’IT

• Applicazione del metodoo Passo 1: rappresentazione dei requisiti normativi in forma

strutturata

o Passo 2: individuazione degli Enabler COBIT 5 rilevanti

o Passo 3: mappatura dell’Enabler Processi

o Passo 4: pesatura dei Processi / Key practice / Attività mappati

o Passo 5: aggregazione dei dati e rappresentazioni di sintesi

• Considerazioni Finali

Agenda


Governare l’IT � Significa ricercare soluzioni che abbiano un giusto equilibrio tra benefici e rischi, con una corretta gestione delle risorse

� Richiede quindi visione «end-to-end» e rinnovata capacità

di comunicare e di cooperare all’interno delle Aziende e

Pubbliche Amministrazioni

� Oggi sono disponibili Modelli – Framework e Buone

Pratiche (Good Practices) che affrontano la tematica in

modo innovativo

COBIT 5®


Di cosa c’è

bisogno ?

• L’esperienza insegna che ci vuole una visione globale nella quale l’Azienda veda nell’IT una

componente integrante del modo di fare business

( non più una componente separata con regole

specifiche e scollegate dai reali obiettivi

aziendali)

• Business ed IT devono condividere obiettivi, collaborare dividendosi i ruoli di Governo e

Gestione

Quindi :

• Sono necessari strumenti / schemi / frameworksche consentano, in generale, di capire :

– Chi / cosa / come / quando è coinvolto– Relazioni di causa -> effetto

in una visione possibilmente globale e condivisa

A classic example is the notion of utopia as described in Plato's (428-348 b.C.)

best-known work, The Republic. This means that the "ideal city" as depicted

in The Republic is not given as something to be pursued, or to present an

orientation-point for development; rather, it shows how things would have to

be connected, and how one thing would lead to another, if one would opt for

certain principles and carry them through rigorously.

7

Frameworks

NIST Cybersecurity Framework

… the Framework Core is not a checklist of activities to

perform; it presents key cybersecurity outcomes that are

aligned with activities known to manage cybersecurity

risk. These activities are mapped to a subset of commonly

used standards and guidelines.

BI 263: DISPOSIZIONI PRELIMINARI E PRINCIPI GENERALI

1. Premessa

Il sistema dei controlli interni è un elemento fondamentale

del complessivo sistema di governo delle banche; esso

assicura che l’attività aziendale sia in linea con le strategie

e le politiche aziendali ...................

La presente disciplina:

....... rappresenta la cornice generale del sistema dei

controlli aziendali• Chech-box mentatlity

• Tactical & reactive

• Achieve point-in-time ComplianceCertification

• Chech-box mentatlity

• Tactical & reactive

• Achieve point-in-time ComplianceCertification

Compliance DrivenApproach

• Proactive & Holistic

• Continous Monitoring

• Proactive mentality

• Proactive & Holistic

• Continous Monitoring

• Proactive mentality

Risk-BasedApproach

8COBIT5® per pianificare ed implementare SdS Milano , 20 giugno 2014

Costruiamo il Framework di

Governance


COBIT5® «UNIVERSAL» Framework

Perché

BeneficiBenefici

Evitare RischiEvitare Rischi

Gestione ottimale Risorse


Interventi

Dove operare

• Processi /Pratiche / Attività

• Principi – Policies –Frameworks

• Sistemi

• Persone

• Organizzazione

• Informazioni disponibili

• Cultura / etica

Dove operare

• Processi /Pratiche / Attività


• Sistemi

• Persone

• Organizzazione


• Cultura / etica

Come operare

• Pratiche / Attività Base

•Consolidate e universal-mente accettate

•Riferimento ai principali Standard

•Priorità in funzione obiettivi di business

Come operare


•Consolidate e universal-mente accettate

•Riferimento ai principali Standard

•Priorità in funzione obiettivi di business

Quando

GovernoGoverno

Pianificazione

Organizzazione

Pianificazione

Organizzazione

Impostazione

Definizione

Soluzioni IT

Impostazione

Definizione

Soluzioni IT

Erogazione Servizi SupportoErogazione Servizi Supporto

Misura e ControlloMisura e Controllo

Attori

CDACDA

BusinessBusiness

IT / ISIT / IS

ControlloControllo

Str

utt

ura

Str

utt

ura

Causa - Effetto

Strumenti• Balanced Score Cards• Capability Assessment• Implementation Guide• .....


Strumenti� Principi

� Enablers

� Goals

� Assessment

Guide all’

Implementazione� Information Security

� Assurance

� Enabler Information

� Risk

� Vendor Mgmt

Guide all’

Implementazione� Information Security

� Assurance

� Enabler Information

� Risk

� Vendor Mgmt

Governance

COBIT5® «UNIVERSAL» Framework

Problem(s) specific

Framework

• Info Security • Vendor Mgmt• Info Security • Risk• Contesto

Aziendale

• Vendor Mgmt• Privacy EU• .....

Conoscere il Contesto e le

Problematiche


● “autorizzazione”: la procedura che

verifica se un cliente o un altro soggetto interno o esterno ha il diritto di compiere

una certa azione, ad es. di trasferire fondi o accedere a dati sensibili;

● “autorizzazione”: la procedura che

verifica se un cliente o un altro soggetto interno o esterno ha il diritto di compiere

una certa azione, ad es. di trasferire fondi o accedere a dati sensibili;

COBIT5 Implementation


Perché

BeneficiBenefici

Evitare RischiEvitare Rischi



Interventi

Dove operare

• Processi


• Sistemi

• Persone

• Organizzazione


• Cultura / etica

Dove operare

• Processi


• Sistemi

• Persone

• Organizzazione


• Cultura / etica

Come operare


• Consolidate e universal-mente accettate

• Riferimento ai principali Standard

• Priorità in funzione obiettivi di business

Come operare


• Consolidate e universal-mente accettate

• Riferimento ai principali Standard

• Priorità in funzione obiettivi di business

Quando

GovernoGoverno

Pianificazione

Organizzazione

Pianificazione

Organizzazione

Impostazione

Definizione

Soluzioni IT

Impostazione

Definizione

Soluzioni IT

Erogazione Servizi SupportoErogazione Servizi Supporto

Misura e ControlloMisura e Controllo

Attori

CDACDA

BusinessBusiness

IT / ISIT / IS

ControlloControllo

1. Chi1. Chi2. Quando3. Dove 4. Come5. Perché

1122

33

44

55


COBIT5®

Implementation

• Identificare i Processi Primari• Identificare gli altri «Enablers»

o Principi /Policy

o Informazioni di cui disporre

o Processi «secondari»

o ...

• Assegnare ruoli e responsabilità• Collegare singole attività in un

più ampio contesto aziendale

• Dimostrare, «certificando» ISO 15504 la «capability» dei Processi primari

• ....

Un metodo, diverse

possibili applicazioni

normative, ad

esempio …

• Privacy EU

Strasbourg, 12 March 2014

Progress on EU data

protection reform now

irreversible following

European Parliament vote

Strasbourg, 12 March 2014

Progress on EU data

protection reform now

irreversible following

European Parliament vote


• Governare l’ITo Frameworks

o Costruiamo il Framework di Governance

o COBIT 5 Framework

o COBIT 5 Implementation

• La normativa BANKIT di Vigilanza Prudenziale (15° aggiornamento) e la Governance dell’IT

• Applicazione del metodoo Passo 1: rappresentazione dei requisiti normativi in forma

strutturata

o Passo 2: individuazione degli Enabler COBIT 5 rilevanti

o Passo 3: mappatura dell’Enabler Processi

o Passo 4: pesatura dei Processi / Key practice / Attività mappati

o Passo 5: aggregazione dei dati e rappresentazioni di sintesi

• Considerazioni Finali

Agenda

15COBIT5® per pianificare ed implementare SdS Roma, 5 Maggio 2014

Passo 1:

Requisiti

normativi

in forma

strutturata

CAPITOLO 8 - IL SISTEMA INFORMATIVO

Sezione IV - La Gestione della Sicurezza Informatica

5. La gestione dei cambiamenti

La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e

garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell’ambiente

di produzione. Il processo si svolge sotto la responsabilità di una figura o struttura aziendale con elevato

grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla

complessità e al profilo di rischio tecnologico dell’intermediario:

• la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (L’inventario aggiornato del sistema e delle risorse ICT è

funzionale anche alle attività di analisi del rischio informatico (cfr. Sezione III);

• la valutazione dell’impatto dei cambiamenti sul sistema e dei rischi correlati con le proposte di modifica;

• l’autorizzazione formale di ogni cambiamento in ambiente di produzione (Il livello autorizzativo è adeguato all’entità dei rischi emersi nell’analisi.); tale procedura comprende l’accettazione, nei casi

critici individuati nell’analisi dei rischi, nel nuovo rischio residuo;

• la pianificazione, il coordinamento e la documentazione degli interventi di modifica, prevedendo attività di collaudo e test di sicurezza, in un ambiente deputato e distinto da quello di produzione;

• il ricorso a un idoneo sistema di gestione della configurazione di sistema (hardware, software, procedure di gestione e utilizzo, modalità di interconnessione), per il controllo

dell’implementazione dei cambiamenti, inclusa la possibilità di ripristino della situazione ex ante.

Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle

policy ordinarie ma comunque adeguati alla particolare situazione. Tali modifiche sono comunque

sottoposte a tracciamento e notificate ex post all’utente responsabile.

[…]


Passo 1:

Requisiti

normativi

in forma

strutturata

CAPITOLO 8 - IL SISTEMA INFORMATIVO

Sezione IV - La Gestione della Sicurezza Informatica

5. La gesPone dei cambiamenP

La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce i l controllo

su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell’ambiente di produzione. Il processo si svolge sotto

la responsabil ità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e

prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell’intermediario:

● la predisposizione e i l costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware,

software, dati, procedure) (L’inventario aggiornato del sistema e delle risorse ICT è funzionale anche alle attività di analisi

del rischio informaPco (cfr. Sezione III);

● la valutazione dell’impaSo dei cambiamenP sul sistema e dei rischi correlaP con le proposte di modifica;

● l’autorizzazione formale di ogni cambiamento in ambiente di produzione (Il l ivello autorizzaPvo è adeguato all ’enPtà dei

rischi emersi nell’analisi.); tale procedura comprende l’accettazione, nei casi critici individuati nell’analisi dei rischi, nel

nuovo rischio residuo;

● la pianificazione, i l coordinamento e la documentazione degli intervenP di modifica, prevedendo aTvità di collaudo e

test di sicurezza, in un ambiente deputato e disPnto da quello di produzione;

● il ricorso a un idoneo sistema di gesPone della configurazione di sistema (hardware, soUware, procedure di gesPone e

util izzo, modalità di interconnessione), per i l controllo dell’implementazione dei cambiamenti, inclusa la possibil ità di

riprisPno della situazione ex ante.

Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma

comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex

post all ’utente responsabile.

NORMATIVA

Ca

pit

olo

Se

zio

ne

Pa

rag

rafo

Su

bp

ara

gra

fo

NU

ME

RO

DI

RIF

ER

IME

NT

O

8 IV 5 690

8 IV 5 691

8 IV 5 692

8 IV 5 693

8 IV 5 694

8 IV 5 695

8 IV 5 696

8 IV 5 697


Passo 2:

Identificazione

degli Enablers

(“Attivatori”)

rilevanti

COBIT 5 Enablers


5. La gesPone dei cambiamenP

La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce i l controllo

su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell’ambiente di produzione. Il processo si svolge sotto

la responsabil ità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e

prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell’intermediario:

● la predisposizione e i l costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware,



● la valutazione dell’impaSo dei cambiamenP sul sistema e dei rischi correlaP con le proposte di modifica;

● l’autorizzazione formale di ogni cambiamento in ambiente di produzione (Il l ivello autorizzaPvo è adeguato all ’enPtà dei

rischi emersi nell’analisi.); tale procedura comprende l’accettazione, nei casi critici individuati nell’analisi dei rischi, nel


● la pianificazione, i l coordinamento e la documentazione degli intervenP di modifica, prevedendo aTvità di collaudo e



util izzo, modalità di interconnessione), per i l controllo dell’implementazione dei cambiamenti, inclusa la possibil ità di





NORMATIVA

E1

- P

rin

cip

les,

Po

lici

es

an

d

E2

- P

roce

sse

s

E3

- O

rga

nis

ati

on

al

Str

uct

ure

s

E4

- C

ult

ure

, E

thic

s a

nd

E5

- I

nfo

rma

tio

n

E6

- S

erv

ice

s, I

nfr

ast

ruct

ure

E7

Pe

op

le,

Sk

ills

an

d

si si si no no no no

no si no no si no no

no si no no no no no


no si no no no si no



ENABLERS

NU

ME

RO

DI

RIF

ER

IME

NT

O

690

691

692

693

694

695

696

697


Passo 3:Mappatura dell’EnablerProcessi

COBIT 5 ProcessReferenceModel

Processi : Visione olistica

Pianificare ed Organizzare

Realizzare

Erogare

Governare

Gestire


Passo 3:Mappatura dell’EnablerProcessi

Schema di un Processo COBIT5

Pro

cess

o

Descrizione

Purpose

IT Related Goal Related Metrics

Process Goals Related Metrics

Practice

Descrizione

RACI

Input Da

Output a

Attività Dettaglio attività


BAI06 –

Change

Mgmt

Obiettivi e Obiettivi e

metriche

di

Business

Obiettivi e

metriche

del

Processo(Certificazione

ISO 15504)


Le

Buone

Pratiche


Connessioni ed attività

Per chi non si accontenta !


NU

ME

RO

DI

RIF

ER

IME

NT

O

690 5. La gesPone dei cambiamenP

691

La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT è formalmente definita e garantisce il controllo

su modifiche, sostituzioni o adeguamenti tecnologici , in particolare nell’ambiente di produzione. Il processo si svolge sotto

la responsabilità di una figura o struttura aziendale con elevato grado di indipendenza rispetto al la funzione di sviluppo e

prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico del l’intermediario:

692

● la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware,



693 ● la valutazione del l’impaSo dei cambiamenP sul sistema e dei rischi correlaP con le proposte di modifica;

694

● l’autorizzazione formale di ogni cambiamento in ambiente di produzione (Il l ivel lo autorizzaPvo è adeguato all’enPtà dei

rischi emersi nell’analisi.); tale procedura comprende l’accettazione, nei casi critici individuati nel l’analisi dei rischi, nel


695 ● la pianificazione, i l coordinamento e la documentazione degli intervenP di modifica, prevedendo aTvità di col laudo e


696


util izzo, modalità di interconnessione), per i l control lo del l’implementazione dei cambiamenti, inclusa la possibi lità di


697




NORMATIVA

E1

- P

rin

cip

les,

Po

lici

es

an

d

E2

- P

roce

sse

s

E3

- O

rga

nis

ati

on

al

Str

uct

ure

s

E4

- C

ult

ure

, E

thic

s a

nd

E5

- I

nfo

rma

tio

n

E6

- S

erv

ice

s, I

nfr

ast

ruct

ure

E7

Pe

op

le,

Sk

ills

an

d

Proc ID

AAANN

Pra

ctic

e 0

NN

Act

ivit

y A

.N








MAPPATURA CON COBIT 5

ENABLERS DETTAGLI DEL PROCESSO


NU

ME

RO

DI

RIF

ER

IME

NT

O

E1

- P

rin

cip

les,

Po

lici

es

an

d

E2

- P

roce

sse

s

E3

- O

rga

nis

ati

on

al

Str

uct

ure

s

E4

- C

ult

ure

, E

thic

s a

nd

E5

- I

nfo

rma

tio

n

E6

- S

erv

ice

s, I

nfr

ast

ruct

ure

E7

Pe

op

le,

Sk

ills

an

d

Proc ID

AAANN

Pra

ctic

e 0

NN

Act

ivit

y A

.N

690 5. La gesPone dei cambiamenP

691

La procedura di gestione dei cambiamenti delle appl icazioni e

risorse ICT è formalmente definita e garantisce i l controllo su

modifiche, sostituzioni o adeguamenti tecnologici, in particolare

nell ’ambiente di produzione. Il processo si svolge sotto la

responsabil ità di una figura o struttura aziendale con elevato

grado di indipendenza rispetto al la funzione di svi luppo e prevede,

in modo proporzionato al la complessità e al profilo di rischio

tecnologico del l’intermediario:


APO01 02 B.01 Establish roles and responsibilities

691.a APO01 02 B.06 Establish roles and responsibilities

691.bAPO01 03 B.06 Maintain the enablers of the

management system

691.c APO12 03 B.04 Maintain a risk profile

691.d APO12 03 B.06 Maintain a risk profile

691.e APO12 03 B.07 Maintain a risk profile

691.f BAI06 04 B.01 Close and document the changes

692

● la predisposizione e i l costante aggiornamento nel tempo di un

inventario o mappa del patrimonio ICT (hardware, software, dati,

procedure) (L’inventario aggiornato del sistema e delle risorse ICT

è funzionale anche al le attività di analisi del rischio informatico

(cfr. Sezione III);


APO01 06 B.03 Define information (data) and system

ownership

692.a APO12 03 B.01 Maintain a risk profile

692.bAPO13 02 B.02 Define and manage an information

security risk treatment plan

692.c BAI03 04 B.05 Procure solution components

692.d BAI09 01 B.01 Identify and record current assets

NORMATIVA

MAPPATURA CON COBIT 5

Note

ENABLERS DETTAGLI DEL PROCESSOPasso 3:

Mappatura

dell’Enabler

Processi


Chi fa cosa . . . .


COBIT5®

Implementation

Mappatura delle Accountability

Nella Circolare viene data rilevanza al concetto di

“Accountability” che viene definita come :

“accountability”: l’assegnazione della

responsabilità di un’attività o processo

aziendale, con il conseguente compito di

rispondere delle operazioni svolte e dei

risultati conseguiti, a una determinata figura

aziendale; in ambito tecnico, si intende la

garanzia di poter attribuire ciascuna

operazione a soggetti (utenti o applicazioni)

univocamente identificabili;


• 15° aggiornamento Circ. n. 263 Bankit , set di requisiti normativi:

• Numerosi• Ad alto impatto sulle strutture IT in Banca• Complesso

• Temi dominanti: analizzare e gestire il rischio IT, gestire gli aspetti di sicurezza IT in proporzione al rischio, garantire la

continuità del business - il tutto sia all'interno, sia laddove

si esternalizzino parte dei servizi

• Vantaggi del framework• Autorevole• Completo• Strutturato (ordine dei concetti)• Visione d‘Insieme

�� Ottimizzazione della pianificazione e della realizzazione

degli interventi di adeguamento alla normativa (priorità,

economie, interventi collegati, ecc. ecc.)

Considerazioni

Finali


GdR in partenza(con il medesimo approccio)


Ultime novità

COBIT5® e

pubblicazioni

pianificate

� Security Considerations for Cloud Computing toolkit

� COBIT5 – Information Enabler Relating the COSO Internal Control—Integrated Framework and COBIT

� Vendor Management Using COBIT 5 (rev. 3/2014)

� EDM Audit/Assurance Programs 1-5

� Generating Value From Big Data Analytics

� Security as a Service

Prossimamente

� APO Audit/Assurance Programs (giugno)• Gli altri entro l’anno

� NIST Cybersecurity Fmwk e COBIT5 (giugno)

� EU Cybersecurity (da giugno)

� Risk Scenarios using COBIT5

� SOX e COBIT5 (settembre)

� PCI-DSS e COBIT5 (set-ott)

� BASEL III e COBIT5 (Rischi Operativi) (dic)



Domande? Grazie per

l’attenzione

15 aggiornamento circ. n. 263 bankit: cobit5 per pianificare ed … · 2015-04-08 · 1 cobit5®...

Documents