it governance, business e modelli di riferimento

Best practices settoriali per l’IT e l’intera azienda

• IT Risk management

• Information Security management

• Business Continuity management

• IT Service management

Milano, 15 Aprile 2014

AICA

IT GOVERNANCE, BUSINESS E

MODELLI DI RIFERIMENTO

---------------------------------------------------------

� Standard & Best Practices settoriali

� IT Risk Management

� ISO 27001 Information Security

� ISO 22301 Business Continuity

� ISO 20000 IT Service Management

� Alcuni spunti di riflessione

Agenda

2

documento

Standard & Best Practices settoriali

Ambito Standard & Best Practices

IT Risk managementCobit5 for Risk, NIST SP 800-30, OCTAVE,

ISO 27005, etc.

Information Security ISO 27001, NIST SP 800-39, PCI DSS, CSA, etc.

Business Continuity ISO 22301, NIST SP 800-34, etc.

IT Service management ISO 20000, ITIL

IT Compliance

D.lgs. 196/03 (Privacy)

D.lgs. 231/01 (Delitti informatici, etc.)

D.lgs. 262/05 (Integrità dati bilancio quotate)

3

documento

Sistemi Gestionali ISO: aspetti comuni

High Level Structure

(«Annex SL»)

contenuti su

Information Security

ISO

27001

contenuti su

Business Continuity

ISO

22301

contenuti su

Service Management

ISO 20000

(*)

(*) ISO 20000 non ha ancora adottato HLS4

RISCHIO !!!

Agenda

5







Enterprise Governance & Risk Management

IT Governance & Risk Management


CoSO - ERM

COBIT5 / PAM

ISO 22301

Governance & Management Frameworks

6

ISO 27001

Business Continuity

IT Service Mgt

ITIL/ISO 20000

IT-related Framework

IT Project Mgt

PRINCE2/PMBOK

ISO 31000

COBIT5 for RISK

6

Risk Management Framework

Fonte: ISO 31000

7

Ruoli coinvolti nel Risk Management

Fonte: NIST - Cybersecurity Framework

8

Tipologie di Rischi IT

9

IT Operations & Service Delivery Risk

• Impacts (caused by threats)

• Likelihood (probability, not necessary statistical, that the threats occur)

The risk, coming from threats, is weighted by:

Impacts Cases

Financial Financial loss, additional costs, profit loss, etc.

Processes Operational inefficiencies, resources unavailability, etc.

Compliance Lack of observation of lows, rules, recommendations, etc.

Reputational Company image, customer/supplier confidence, etc.

Strategical Delay in development plans, loss of results, etc.10

NATURAL EVENTS (earthquake, flood, storm,

lightning, snow, etc.)ENVIRONMENTAL

DISASTERS(fire, explosion, transport

accident, etc.)

TECHNICAL FAILURES (informative services or technological

issue, breakdown, blackout, etc.)

ATTACKS (theft, fraud,

sabotage, etc.)

HUMAN

ERRORS

COMPANY

MALWARE(virus, spam, etc.)

Threats (more details in the Threats Tables)

11

VULNERABILITY

THREATS

Controls to contrast the Threats

Some Control are able to contrast the

Threats (and the RISK):

their adequately implementation

reduce the “VULNERABILITY”

CONTROLS

12

Risk Scenarios (Cobit5 for RISK)

13

Top-Down & Drill-Down approach

Resource“x.y.z”

Resource“x.y.2”

Process “x.y”

Process “x.2”

Service “x”

Service “2”

Service “1”

Process “x.1”

Resource“x.y.1”

COMPANY

Top-Down approach Drill-Down approach

Threat n

Threat 2

Threat 1

Level AType of

Threats

Level BThreats

14

Risk analysis Techniques (ISO 31010)

• Brainstorming• Structured or semi-structured interview• Delphi• Check lists• Primary hazard analysis• Hazard and operability studies (HAZOP)• Hazard analysis and critical control point (HACCP)• Environmental risk assessment• Structure “What if?” (SWIFT)• Scenario analysis• Business Impact Analysis• Root cause analysis• Failure mode effect analysis• Fault tree analysis• Event tree analysis• Cause and consequence analysis• Cause-and-effect analysis• Layer protection analysis (LOPA)• Decision tree• Human reliability analysis• Bow tie analysis• Reliability centred maintenance• Sneak circuit analysis• Markov analysis• Monte Carlo simulation• Bayesian statistics and Bayes Nets• FN curves• Risk indices• Consequence/probability matrix• Cost/benefit analysis• Multi-criteria decision analysis (MCDA)

15

Criteri di scelta della Metodologia

� Modello di gestione Rischi IT sinergico con il modello “complessivo” di gestione dei Rischi Aziendali (qualora presente); la gestione dei rischi IT è parte “integrante” dei processi operativi e decisionali aziendali

� Metodologia di valutazione dei Rischi IT in funzione della tipologia di rischi da valutare e gestire

� Solidità e replicabilità nel tempo della metodologia di valutazione dei Rischi IT

� Metodologia e soluzioni a supporto allineate con lo stato di maturità delle organizzazioni (es. al crescere del livello di maturità dell’azienda, il metodo e gli strumenti di valutazione e gestione del Rischio presentano requisiti crescenti in termini di ampiezza/profondità di analisi e livello di automazione)

16

Risk management and GRC Tools

� Risk and GRC Tools: a lot of methods and tools

� Good practices: lack of surveys on existing methods and tools

� Roadmap: interoperability and integration with other methods/tools

documento

Funzionalità principali di un GRC:

� Controls/Policy mapping

� Policy distribution/training

� IT control self-assessment

� IT GRCM asset repository

� Automated GCC collection

� Remediation and exception

� Basic compliance reporting

� IT compliance dashboards

� IT risk evaluation

Dopo iniziali incertezze (es. Report Gartner 2009), si registra un ritorno

di interesse sui GRC Tools, anche in relazione alla IT Governance dei

settori regolamentati (es. Circolare 263/2013 Banca d’Italia)

17

Agenda

18








Possibility to access the

data and to have the

information services when

and from where it’s

necessary

Business information

must be entire, correct,

reliable, without

alterations

Data and the business

information must not be

accessible e/o communicated

to non authorized people; with

suitable level of reservation

Respect of laws, rules,

contractual clauses,

Group rules for

information protection

and (example: Privacy,

D.lgs. 231/2001; author's

rights; etc)

Capability to collect and

evaluate evidence of the

information systems and

operations. Evidence evaluation

can ensure that the information

systems maintain data integrity

and are operating effectively

and efficiently, to achieve the

organization's goals or

objectives

Every individual who works

with an information system

should have specific

responsibilities for information

assurance.

The tasks for which a

individual is responsible are

readily measurable19

documento

Consiste nella realizzazione di un Sistema di Gestione della Sicurezza

delle Informazioni (Information Security Management Systems)

basato su:

� focalizzazione e centralità del Risk management

� implementazione di un SG con i Requisiti della ISO/IEC 27001

� applicazione dei «Control» riportati nella ISO/IEC 27002

(Code of Practices)

La Norma ISO/IEC 27001:

� Esiste da più di 20 anni, considerando le precedenti BS 17999

� È applicabile a realtà di ogni tipo e dimensione

� L’ambito (scope) di applicazione è definito a piacimento

� Dice cosa fare, non come farlo

� Approccio ciclico e miglioramento continuo

� Costituisce un framework completo e certificabile.

ISO/IEC 27001 in pillole

20

documento

A.5 Information security policies

A.6 Organization of information security

A.7 Human resource security

A.8 Asset management

A.9 Access control

A.10 Cryptography

A.11 Physical and environmental security

A.12 Operations security

A.13 Communications security

A.14 System acquisition, development and maintenance

A.15 Supplier relationships

A.16 Information security incident management

A.17 IS aspects of business continuity management

A.18 Compliance

ISO/IEC 27001:2013 Annex A

21

� Ampliamento numero Aree di Controllo (focalizzazione )

� Riduzione numero Obiettivi di Controllo (semplificazione)

� Riduzione numero Controlli (aggregazione di alcuni e inserimento di 11 Nuovi Controlli su tematiche emergenti, tra cui:

� Project Management

� Secure development and testing (secure development policy, secure system engineering principles, secure development environment, system security testing)

� Supply chain (information security policy for supplier, etc.)

ISO/IEC 27002:2013 CONTROLS

Aree di Controllo 14

Obiettivi di Controllo 35

Controlli 114

22

L : score = 4

I : score = 7

23

Livello di Rischio «associato» ai Controls

Risk Scenario:

Technical Failure

(availability)

weight

V : score = 3

V 5.1.1. 2

V 5.1.2. 2

V 6.1.1. 2

V 6.1.2. 3

V 6.1.3. 2

V 6.1.4. 2

V 6.1.5. 1

V 6.1.6. 2

V 6.1.7. 2

V 6.1.8. 2

I x L x V

RISK

=7 * 4 * 3

=

84

MAX = 323

Control priorities

Risk = 8424

Acceptable threshold

“INHERENT”

Risk“CURRENT”

Risk

“RESIDUAL”

Risk

Likelihood

Impacts

TREATMENTPLAN

Vulnerability(measures already

implemented)

• Reduction• Transfer• Removal

RISK ASSESSMENT RISK TREATMENT

Treatment Plan

Gap-analysis &

Risk assessment

checklist

25

� Sviluppo/protezione del business vs clienti

� Sviluppo di relazioni di partnership verso altre aziende

� Immagine vs esterno

� Rinforzo Compliance (es. D.lgs 231/2001, Privacy, etc.)

� Risposta ad esigenze di Controllo Interno

� Trasparenza verso il Top management

� Possibili benefici economici su polizze assicurative

(danni diretti e indiretti)

� Efficacia-efficienza delle soluzioni tecnico-organizzative

adottate per la sicurezza delle informazioni

� Coinvolgimento e Motivazione del personale

ISO/IEC 27001: Benefici principali

Verso il mercato

Interni all’azienda

26

Diffusione ISO/IEC 27001

documento

27

documento

Cloud Security Alliance – STAR certification

• The concept of the scheme is to use to the ISO/IEC 27001:2005 certification

integrated with the CSA Cloud Control Matrix (11 Control Areas) as additional

or compensating controls.

• The program will integrate with popular third-party assessment and

attestation (ISO27001 / SSAE 16 - SOC2) statements developed within the

public accounting community to avoid duplication of effort and cost.

28

documento

CSA Cloud Controls Matrix

Ph

ys

Ne

two

rk

Co

mp

ute

Sto

rag

e

Ap

p

Da

ta

Sa

aS

Pa

aS

Iaa

S

Se

rvic

e P

rov

ide

r

Te

na

nt

/ C

on

su

me

r

Application & Interface Security 4

Audit Assurance & Compliance 3

Business Continuity Management & Operational Resilience 12

Change Control & Configuration Management 5

Data Security & Information Lifecycle Management 8

Datacenter Security 9

Encryption & Key Management 4

Governance and Risk Management 12

Human Resources 12

Identity & Access Management 13

Infrastructure & Virtualization Security 12

Interoperability & Portability 5

Mobile Security 20

Security Incident Management, E-Discovery & Cloud Forensics 5

Supply Chain Management, Transparency and Accountability 9

Threat and Vulnerability Management 3

Supplier

Relationship

Control Domain Controls

Architectural Relevance

Corp

Gov

Relev.

Cloud Service Delivery

Model Applicability

29

Agenda

30







Business Continuity Scope

31

The purpose of Business Continuity is to

prevent and react to events whose probability

of occurrence is low, but whose impacts are

very high

Probability

Impact

Critical Events

RISK TREATMENT

BCMS IMPLEMENTATION

REACTION

CRISIS MANAGEMENT

BUSINESS CONTINUITY & DISASTER RECOVERY

Crisis

Committee

PREVENTION

documento

ISO/IEC 22301 BCM PROCESS

32

1. CONTESTO E

PERIMETRO 2.BIA & RISK

3. STRATEGIE

DI BC

4. INCIDENT RESPONSE

STRUCTURE

5. BC/DR PLAN

6. SIMULAZIONI

E RIESAMI

7. MODIFICHE

E MANTENIMENTO

BCM

Il livello degli Impatti varia col prolungarsi dell’interruzione del

processo/servizio

Gli Impatti sono classificabili in:

- Economici

- Reputazionali

- Normativi

- Gestionali

- Operativi

BIA: Impatti sul Business (per Processo/Servizio)

asse del tempo

inizio della interruzione del processo/servizio

t = 0

Valore “Risultante”

di tutte le tipologie di Impatti

approssimazione lineare

del Valore “Risultante”

Nota: considerare la “approssimazione lineare” del Valore “Risultante” di tutte le

tipologie di Impatti, consente di apprezzare una stima (approssimata) del valore

degli “Impatti per unità di tempo” (es.: perdita in €uro / per giorno di interruzione)

Valore degli Impatti

per Tipologia

33

Requisiti principali per la BC: RTO e RPO

RTO (Recovery Time Objective)

� Tempo di interruzione

massimo accettabile (in

funzione del massimo Impatto

accettabile)

tempo

Backup N

RPO (Recovery Point Objective)

� Tempo massimo accettabile tra

back-up successivi (in funzione del

massimo quantitativo di dati che è

accettabile “perdere”)

Durata dell’interruzione

Impatti

Soglia di

accettabilità

RTO

Soglia di accettabilità (dati persi)

Backup N+1

RPO

Dati persi

INCIDENTEDati immessi

34

documento

Riduzione dei tempi di ripristino

35

Valore risultante di tutte

le tipologie di Impatti

RT = Vulnerabilità attuale

Impatto “accettabile”

Impatto attuale

Approssimazione lineare

del valore Risultante

RTO

Vulnerabilità

Impatti

Misure per la riduzione del rischio

documento

BCP: misure per la riduzione dei rischi

36

Scenari di indisponibilità

di:

Esempi di Tipologie di Misure

per la gestione della Business Continuity

Sede/UfficiPiani logistici emergenza (postazioni lavoro alternative,

lavoro da remoto, etc.)

Tecnologie

Backup

Ridondanze

Sito DR

Info/Dati cartaceiConservazione copie (armadi ignifughi)

Scannerizzazione

Forniture / servizi terziRequisiti di ripristino e SLA intervento

Accordi con Fornitori alternativi

Persone

Piano sostituzioni

Piano intervento e reperibilità specialisti interni e fornitori

Piano pandemia

StakeholdersPiani integrati

Accordi condivisi e formalizzati


documento

La certificazione ISO 22301 (e la precedente BS 25999, da cui ISO 22301 è

derivata) non è molto diffusa in Italia.

Le esperienze di certificazione sono prevalentemente in ambito Telco e

Servizi.

La recente circolare 263-Bankit dedica un Capitolo specifico alla

Continuità operativa (Cap. 9), con stringenti requisiti di RTO, e richiama

l’esigenza che le Banche garantiscano la Continuità operativa dei servizi

critici affidati agli Outsourcers.

37

Agenda

38







Per “Service Management” si intende un approccio volto ad

ottenere il massimo risultato del Business, attraverso:

� le infrastrutture,

� l’organizzazione aziendale,

� le persone,

� i processi,

� le tecnologie,

orientando queste nella direzione di soddisfare gli impegni

contrattuali assunti dall’azienda e le aspettative dei Clienti.

39

ISO/IEC 20000 è il primo standard mondiale specificatamente

sviluppato per l’IT Service Management, derivato da ITIL.

Descrive un set integrato di processi di gestione e requisiti

per effettuare l‘erogazione dei servizi ai clienti (esterni/interni).

IT Service Management (ISO/IEC 20000)

INTERNO

6. Processi di erogazione del servizio

7. Processi relazionali8. Processi di ripristino

6.6 Gestione sicurezza

delle informazioni

6.3 Gestione della continuità e

della disponibilità del servizio

6.1 Gestione dei livelli

del servizio (SLA)

6.2 Reporting sui livelli

del servizio

6.5 Gestione della

capacità di prestazioni

6.4 Previsioni e consuntivi

dei costi per i servizi IT

8.2 Gestione degli incidenti

8.3 Gestione dei problemi

7.2 Gestione Clienti

7.3 Gestione Fornitori

9. Processi di controllo

9.1 Gestione della configurazione

9.2 Gestione dei cambiamenti

Nello schema sono indicati i capitoli della norma ISO 20000

9.3 Gestione del processo di rilascio

5. Design and transition of new or changed services

ISO/IEC 20000 Processes

40

� CATALOGO SERVIZI

� PROGETTAZIONE DEI SERVIZI

� CAPACITY MANAGEMENT

� SLA / OLA

� BUDGETING & REPORTING

� INCIDENT-PROBLEM-CHANGE-RELEASE-CONFIGURATION

� BUSINESS RELATIONSHIPS

Requisiti principali IT Service Management

41

• Miglioramento continuo della qualità dei servizi erogati vs i clienti

• Riduzione dei costi grazie al miglioramento del ROI (Return On Investments) o la riduzione del TCO (Total Cost of Ownership)

• Maggiore trasparenza dell'azione IT nei confronti del Management

• Riduzione del rischio di non soddisfare i requisiti del business con i servizi erogati

• Miglioramento delle comunicazioni e delle relazioni tra IT e business

• Capacità di supportare un tasso di cambiamento maggiore, migliorando nel contempo la capacità misurabile di raggiungere i risultati

• Adozione di processi e procedure auditabili

ISO/IEC 20000: Benefici

42

� Fornitori di servizi IT

o Outsourcer di Servizi IT

o Application Service Provider (ASP)

o Cloud Service Provider (Private & Public)

� Aziende «IT Mission Critical» nelle quali il business dipenda fortemente dai servizi IT

� Organizzazioni IT che vogliano realizzare practicesgestionali tecnico-economiche orientate alla ottimizzazione dei Servizi ai clienti interni od esterni

Aziende interessate alla ISO/IEC 20000

4343


documento

L’applicazione dello standard ITIL (da cui ISO 20000 è derivata) è

significativamente diffusa nelle aziende italiane «IT oriented» di una

dimensione significativa.

La pubblicazione di ISO 2000 nel 2011 lasciava presagire un certo interesse

da parte delle aziende, cosa che finora si è verificata solo in parte.

Il numero di certificazioni ISO 20000 in Italia è limitato ed è concentrato nei

casi nei quali il cliente (es. PA) lo richieda al fornitore di Servizi ICT.

Si sta comunque registrando, anche se molto tiepidamente, come nel caso

ISO 22301, una certa inversione di tendenza.

44

Agenda

45







• Centralità dell’IT Risk Management

• Conoscere le Norme e cercare di applicarne i principi generali

• Utilizzare i Code of Practices delle Norme (es. ISO 27002) per approfondimenti

• Comprendere i benefici delle certificazioni vs il mercato e vs l’interno delle aziende, in coerenza con il business e la cultura aziendale

• Sensibilizzare/Formare tutti i professional dell’ICT (non solo le staff specializzate) su tematiche di IT Governance & Security

• Comprendere che i temi trattati non sono riservati alle Grandi aziende ma interessano tutte le organizzazioni, di qualsiasi dimensione, con gli opportuni gradi di profondità

Spunti di riflessione

46

47

Sernet Group

Piazza Repubblica 30

20124 Milano

Tel. +39.02.89696835

Fax +39.02.89696834

email: [email protected]

www.sernet.it

Siro Migliavacca

it governance, business e modelli di riferimento

Documents