it governance, business e modelli di riferimento
TRANSCRIPT
Best practices settoriali per l’IT e l’intera azienda
• IT Risk management
• Information Security management
• Business Continuity management
• IT Service management
Milano, 15 Aprile 2014
AICA
IT GOVERNANCE, BUSINESS E
MODELLI DI RIFERIMENTO
---------------------------------------------------------
� Standard & Best Practices settoriali
� IT Risk Management
� ISO 27001 Information Security
� ISO 22301 Business Continuity
� ISO 20000 IT Service Management
� Alcuni spunti di riflessione
Agenda
2
documento
Standard & Best Practices settoriali
Ambito Standard & Best Practices
IT Risk managementCobit5 for Risk, NIST SP 800-30, OCTAVE,
ISO 27005, etc.
Information Security ISO 27001, NIST SP 800-39, PCI DSS, CSA, etc.
Business Continuity ISO 22301, NIST SP 800-34, etc.
IT Service management ISO 20000, ITIL
IT Compliance
D.lgs. 196/03 (Privacy)
D.lgs. 231/01 (Delitti informatici, etc.)
D.lgs. 262/05 (Integrità dati bilancio quotate)
3
documento
Sistemi Gestionali ISO: aspetti comuni
High Level Structure
(«Annex SL»)
contenuti su
Information Security
ISO
27001
contenuti su
Business Continuity
ISO
22301
contenuti su
Service Management
ISO 20000
(*)
(*) ISO 20000 non ha ancora adottato HLS4
RISCHIO !!!
Agenda
5
� Standard & Best Practices settoriali
� IT Risk Management
� ISO 27001 Information Security
� ISO 22301 Business Continuity
� ISO 20000 IT Service Management
� Alcuni spunti di riflessione
Enterprise Governance & Risk Management
IT Governance & Risk Management
Information Security
CoSO - ERM
COBIT5 / PAM
ISO 22301
Governance & Management Frameworks
6
ISO 27001
Business Continuity
IT Service Mgt
ITIL/ISO 20000
IT-related Framework
IT Project Mgt
PRINCE2/PMBOK
ISO 31000
COBIT5 for RISK
6
Risk Management Framework
Fonte: ISO 31000
7
Ruoli coinvolti nel Risk Management
Fonte: NIST - Cybersecurity Framework
8
Tipologie di Rischi IT
9
IT Operations & Service Delivery Risk
• Impacts (caused by threats)
• Likelihood (probability, not necessary statistical, that the threats occur)
The risk, coming from threats, is weighted by:
Impacts Cases
Financial Financial loss, additional costs, profit loss, etc.
Processes Operational inefficiencies, resources unavailability, etc.
Compliance Lack of observation of lows, rules, recommendations, etc.
Reputational Company image, customer/supplier confidence, etc.
Strategical Delay in development plans, loss of results, etc.10
NATURAL EVENTS (earthquake, flood, storm,
lightning, snow, etc.)ENVIRONMENTAL
DISASTERS(fire, explosion, transport
accident, etc.)
TECHNICAL FAILURES (informative services or technological
issue, breakdown, blackout, etc.)
ATTACKS (theft, fraud,
sabotage, etc.)
HUMAN
ERRORS
COMPANY
MALWARE(virus, spam, etc.)
Threats (more details in the Threats Tables)
11
VULNERABILITY
THREATS
Controls to contrast the Threats
Some Control are able to contrast the
Threats (and the RISK):
their adequately implementation
reduce the “VULNERABILITY”
CONTROLS
12
Risk Scenarios (Cobit5 for RISK)
13
Top-Down & Drill-Down approach
Resource“x.y.z”
Resource“x.y.2”
Process “x.y”
Process “x.2”
Service “x”
Service “2”
Service “1”
Process “x.1”
Resource“x.y.1”
COMPANY
Top-Down approach Drill-Down approach
Threat n
Threat 2
Threat 1
Level AType of
Threats
Level BThreats
14
Risk analysis Techniques (ISO 31010)
• Brainstorming• Structured or semi-structured interview• Delphi• Check lists• Primary hazard analysis• Hazard and operability studies (HAZOP)• Hazard analysis and critical control point (HACCP)• Environmental risk assessment• Structure “What if?” (SWIFT)• Scenario analysis• Business Impact Analysis• Root cause analysis• Failure mode effect analysis• Fault tree analysis• Event tree analysis• Cause and consequence analysis• Cause-and-effect analysis• Layer protection analysis (LOPA)• Decision tree• Human reliability analysis• Bow tie analysis• Reliability centred maintenance• Sneak circuit analysis• Markov analysis• Monte Carlo simulation• Bayesian statistics and Bayes Nets• FN curves• Risk indices• Consequence/probability matrix• Cost/benefit analysis• Multi-criteria decision analysis (MCDA)
15
Criteri di scelta della Metodologia
� Modello di gestione Rischi IT sinergico con il modello “complessivo” di gestione dei Rischi Aziendali (qualora presente); la gestione dei rischi IT è parte “integrante” dei processi operativi e decisionali aziendali
� Metodologia di valutazione dei Rischi IT in funzione della tipologia di rischi da valutare e gestire
� Solidità e replicabilità nel tempo della metodologia di valutazione dei Rischi IT
� Metodologia e soluzioni a supporto allineate con lo stato di maturità delle organizzazioni (es. al crescere del livello di maturità dell’azienda, il metodo e gli strumenti di valutazione e gestione del Rischio presentano requisiti crescenti in termini di ampiezza/profondità di analisi e livello di automazione)
16
Risk management and GRC Tools
� Risk and GRC Tools: a lot of methods and tools
� Good practices: lack of surveys on existing methods and tools
� Roadmap: interoperability and integration with other methods/tools
documento
Funzionalità principali di un GRC:
� Controls/Policy mapping
� Policy distribution/training
� IT control self-assessment
� IT GRCM asset repository
� Automated GCC collection
� Remediation and exception
� Basic compliance reporting
� IT compliance dashboards
� IT risk evaluation
Dopo iniziali incertezze (es. Report Gartner 2009), si registra un ritorno
di interesse sui GRC Tools, anche in relazione alla IT Governance dei
settori regolamentati (es. Circolare 263/2013 Banca d’Italia)
17
Agenda
18
� Standard & Best Practices settoriali
� IT Risk Management
� ISO 27001 Information Security
� ISO 22301 Business Continuity
� ISO 20000 IT Service Management
� Alcuni spunti di riflessione
Information Security
Possibility to access the
data and to have the
information services when
and from where it’s
necessary
Business information
must be entire, correct,
reliable, without
alterations
Data and the business
information must not be
accessible e/o communicated
to non authorized people; with
suitable level of reservation
Respect of laws, rules,
contractual clauses,
Group rules for
information protection
and (example: Privacy,
D.lgs. 231/2001; author's
rights; etc)
Capability to collect and
evaluate evidence of the
information systems and
operations. Evidence evaluation
can ensure that the information
systems maintain data integrity
and are operating effectively
and efficiently, to achieve the
organization's goals or
objectives
Every individual who works
with an information system
should have specific
responsibilities for information
assurance.
The tasks for which a
individual is responsible are
readily measurable19
documento
Consiste nella realizzazione di un Sistema di Gestione della Sicurezza
delle Informazioni (Information Security Management Systems)
basato su:
� focalizzazione e centralità del Risk management
� implementazione di un SG con i Requisiti della ISO/IEC 27001
� applicazione dei «Control» riportati nella ISO/IEC 27002
(Code of Practices)
La Norma ISO/IEC 27001:
� Esiste da più di 20 anni, considerando le precedenti BS 17999
� È applicabile a realtà di ogni tipo e dimensione
� L’ambito (scope) di applicazione è definito a piacimento
� Dice cosa fare, non come farlo
� Approccio ciclico e miglioramento continuo
� Costituisce un framework completo e certificabile.
ISO/IEC 27001 in pillole
20
documento
A.5 Information security policies
A.6 Organization of information security
A.7 Human resource security
A.8 Asset management
A.9 Access control
A.10 Cryptography
A.11 Physical and environmental security
A.12 Operations security
A.13 Communications security
A.14 System acquisition, development and maintenance
A.15 Supplier relationships
A.16 Information security incident management
A.17 IS aspects of business continuity management
A.18 Compliance
ISO/IEC 27001:2013 Annex A
21
� Ampliamento numero Aree di Controllo (focalizzazione )
� Riduzione numero Obiettivi di Controllo (semplificazione)
� Riduzione numero Controlli (aggregazione di alcuni e inserimento di 11 Nuovi Controlli su tematiche emergenti, tra cui:
� Project Management
� Secure development and testing (secure development policy, secure system engineering principles, secure development environment, system security testing)
� Supply chain (information security policy for supplier, etc.)
ISO/IEC 27002:2013 CONTROLS
Aree di Controllo 14
Obiettivi di Controllo 35
Controlli 114
22
L : score = 4
I : score = 7
23
Livello di Rischio «associato» ai Controls
Risk Scenario:
Technical Failure
(availability)
weight
V : score = 3
V 5.1.1. 2
V 5.1.2. 2
V 6.1.1. 2
V 6.1.2. 3
V 6.1.3. 2
V 6.1.4. 2
V 6.1.5. 1
V 6.1.6. 2
V 6.1.7. 2
V 6.1.8. 2
I x L x V
RISK
=7 * 4 * 3
=
84
MAX = 323
Control priorities
Risk = 8424
Acceptable threshold
“INHERENT”
Risk“CURRENT”
Risk
“RESIDUAL”
Risk
Likelihood
Impacts
TREATMENTPLAN
Vulnerability(measures already
implemented)
• Reduction• Transfer• Removal
RISK ASSESSMENT RISK TREATMENT
Treatment Plan
Gap-analysis &
Risk assessment
checklist
25
� Sviluppo/protezione del business vs clienti
� Sviluppo di relazioni di partnership verso altre aziende
� Immagine vs esterno
� Rinforzo Compliance (es. D.lgs 231/2001, Privacy, etc.)
� Risposta ad esigenze di Controllo Interno
� Trasparenza verso il Top management
� Possibili benefici economici su polizze assicurative
(danni diretti e indiretti)
� Efficacia-efficienza delle soluzioni tecnico-organizzative
adottate per la sicurezza delle informazioni
� Coinvolgimento e Motivazione del personale
ISO/IEC 27001: Benefici principali
Verso il mercato
Interni all’azienda
26
Diffusione ISO/IEC 27001
documento
27
documento
Cloud Security Alliance – STAR certification
• The concept of the scheme is to use to the ISO/IEC 27001:2005 certification
integrated with the CSA Cloud Control Matrix (11 Control Areas) as additional
or compensating controls.
• The program will integrate with popular third-party assessment and
attestation (ISO27001 / SSAE 16 - SOC2) statements developed within the
public accounting community to avoid duplication of effort and cost.
28
documento
CSA Cloud Controls Matrix
Ph
ys
Ne
two
rk
Co
mp
ute
Sto
rag
e
Ap
p
Da
ta
Sa
aS
Pa
aS
Iaa
S
Se
rvic
e P
rov
ide
r
Te
na
nt
/ C
on
su
me
r
Application & Interface Security 4
Audit Assurance & Compliance 3
Business Continuity Management & Operational Resilience 12
Change Control & Configuration Management 5
Data Security & Information Lifecycle Management 8
Datacenter Security 9
Encryption & Key Management 4
Governance and Risk Management 12
Human Resources 12
Identity & Access Management 13
Infrastructure & Virtualization Security 12
Interoperability & Portability 5
Mobile Security 20
Security Incident Management, E-Discovery & Cloud Forensics 5
Supply Chain Management, Transparency and Accountability 9
Threat and Vulnerability Management 3
Supplier
Relationship
Control Domain Controls
Architectural Relevance
Corp
Gov
Relev.
Cloud Service Delivery
Model Applicability
29
Agenda
30
� Standard & Best Practices settoriali
� IT Risk Management
� ISO 27001 Information Security
� ISO 22301 Business Continuity
� ISO 20000 IT Service Management
� Alcuni spunti di riflessione
Business Continuity Scope
31
The purpose of Business Continuity is to
prevent and react to events whose probability
of occurrence is low, but whose impacts are
very high
Probability
Impact
Critical Events
RISK TREATMENT
BCMS IMPLEMENTATION
REACTION
CRISIS MANAGEMENT
BUSINESS CONTINUITY & DISASTER RECOVERY
Crisis
Committee
PREVENTION
documento
ISO/IEC 22301 BCM PROCESS
32
1. CONTESTO E
PERIMETRO 2.BIA & RISK
3. STRATEGIE
DI BC
4. INCIDENT RESPONSE
STRUCTURE
5. BC/DR PLAN
6. SIMULAZIONI
E RIESAMI
7. MODIFICHE
E MANTENIMENTO
BCM
Il livello degli Impatti varia col prolungarsi dell’interruzione del
processo/servizio
Gli Impatti sono classificabili in:
- Economici
- Reputazionali
- Normativi
- Gestionali
- Operativi
BIA: Impatti sul Business (per Processo/Servizio)
asse del tempo
inizio della interruzione del processo/servizio
t = 0
Valore “Risultante”
di tutte le tipologie di Impatti
approssimazione lineare
del Valore “Risultante”
Nota: considerare la “approssimazione lineare” del Valore “Risultante” di tutte le
tipologie di Impatti, consente di apprezzare una stima (approssimata) del valore
degli “Impatti per unità di tempo” (es.: perdita in €uro / per giorno di interruzione)
Valore degli Impatti
per Tipologia
33
Requisiti principali per la BC: RTO e RPO
RTO (Recovery Time Objective)
� Tempo di interruzione
massimo accettabile (in
funzione del massimo Impatto
accettabile)
tempo
Backup N
RPO (Recovery Point Objective)
� Tempo massimo accettabile tra
back-up successivi (in funzione del
massimo quantitativo di dati che è
accettabile “perdere”)
Durata dell’interruzione
Impatti
Soglia di
accettabilità
RTO
Soglia di accettabilità (dati persi)
Backup N+1
RPO
Dati persi
INCIDENTEDati immessi
34
documento
Riduzione dei tempi di ripristino
35
Valore risultante di tutte
le tipologie di Impatti
RT = Vulnerabilità attuale
Impatto “accettabile”
Impatto attuale
Approssimazione lineare
del valore Risultante
RTO
Vulnerabilità
Impatti
Misure per la riduzione del rischio
documento
BCP: misure per la riduzione dei rischi
36
Scenari di indisponibilità
di:
Esempi di Tipologie di Misure
per la gestione della Business Continuity
Sede/UfficiPiani logistici emergenza (postazioni lavoro alternative,
lavoro da remoto, etc.)
Tecnologie
Backup
Ridondanze
Sito DR
Info/Dati cartaceiConservazione copie (armadi ignifughi)
Scannerizzazione
Forniture / servizi terziRequisiti di ripristino e SLA intervento
Accordi con Fornitori alternativi
Persone
Piano sostituzioni
Piano intervento e reperibilità specialisti interni e fornitori
Piano pandemia
StakeholdersPiani integrati
Accordi condivisi e formalizzati
Diffusione ISO/IEC 22301
documento
La certificazione ISO 22301 (e la precedente BS 25999, da cui ISO 22301 è
derivata) non è molto diffusa in Italia.
Le esperienze di certificazione sono prevalentemente in ambito Telco e
Servizi.
La recente circolare 263-Bankit dedica un Capitolo specifico alla
Continuità operativa (Cap. 9), con stringenti requisiti di RTO, e richiama
l’esigenza che le Banche garantiscano la Continuità operativa dei servizi
critici affidati agli Outsourcers.
37
Agenda
38
� Standard & Best Practices settoriali
� IT Risk Management
� ISO 27001 Information Security
� ISO 22301 Business Continuity
� ISO 20000 IT Service Management
� Alcuni spunti di riflessione
Per “Service Management” si intende un approccio volto ad
ottenere il massimo risultato del Business, attraverso:
� le infrastrutture,
� l’organizzazione aziendale,
� le persone,
� i processi,
� le tecnologie,
orientando queste nella direzione di soddisfare gli impegni
contrattuali assunti dall’azienda e le aspettative dei Clienti.
39
ISO/IEC 20000 è il primo standard mondiale specificatamente
sviluppato per l’IT Service Management, derivato da ITIL.
Descrive un set integrato di processi di gestione e requisiti
per effettuare l‘erogazione dei servizi ai clienti (esterni/interni).
IT Service Management (ISO/IEC 20000)
INTERNO
6. Processi di erogazione del servizio
7. Processi relazionali8. Processi di ripristino
6.6 Gestione sicurezza
delle informazioni
6.3 Gestione della continuità e
della disponibilità del servizio
6.1 Gestione dei livelli
del servizio (SLA)
6.2 Reporting sui livelli
del servizio
6.5 Gestione della
capacità di prestazioni
6.4 Previsioni e consuntivi
dei costi per i servizi IT
8.2 Gestione degli incidenti
8.3 Gestione dei problemi
7.2 Gestione Clienti
7.3 Gestione Fornitori
9. Processi di controllo
9.1 Gestione della configurazione
9.2 Gestione dei cambiamenti
Nello schema sono indicati i capitoli della norma ISO 20000
9.3 Gestione del processo di rilascio
5. Design and transition of new or changed services
ISO/IEC 20000 Processes
40
� CATALOGO SERVIZI
� PROGETTAZIONE DEI SERVIZI
� CAPACITY MANAGEMENT
� SLA / OLA
� BUDGETING & REPORTING
� INCIDENT-PROBLEM-CHANGE-RELEASE-CONFIGURATION
� BUSINESS RELATIONSHIPS
Requisiti principali IT Service Management
41
• Miglioramento continuo della qualità dei servizi erogati vs i clienti
• Riduzione dei costi grazie al miglioramento del ROI (Return On Investments) o la riduzione del TCO (Total Cost of Ownership)
• Maggiore trasparenza dell'azione IT nei confronti del Management
• Riduzione del rischio di non soddisfare i requisiti del business con i servizi erogati
• Miglioramento delle comunicazioni e delle relazioni tra IT e business
• Capacità di supportare un tasso di cambiamento maggiore, migliorando nel contempo la capacità misurabile di raggiungere i risultati
• Adozione di processi e procedure auditabili
ISO/IEC 20000: Benefici
42
� Fornitori di servizi IT
o Outsourcer di Servizi IT
o Application Service Provider (ASP)
o Cloud Service Provider (Private & Public)
� Aziende «IT Mission Critical» nelle quali il business dipenda fortemente dai servizi IT
� Organizzazioni IT che vogliano realizzare practicesgestionali tecnico-economiche orientate alla ottimizzazione dei Servizi ai clienti interni od esterni
Aziende interessate alla ISO/IEC 20000
4343
Diffusione ISO/IEC 20000
documento
L’applicazione dello standard ITIL (da cui ISO 20000 è derivata) è
significativamente diffusa nelle aziende italiane «IT oriented» di una
dimensione significativa.
La pubblicazione di ISO 2000 nel 2011 lasciava presagire un certo interesse
da parte delle aziende, cosa che finora si è verificata solo in parte.
Il numero di certificazioni ISO 20000 in Italia è limitato ed è concentrato nei
casi nei quali il cliente (es. PA) lo richieda al fornitore di Servizi ICT.
Si sta comunque registrando, anche se molto tiepidamente, come nel caso
ISO 22301, una certa inversione di tendenza.
44
Agenda
45
� Standard & Best Practices settoriali
� IT Risk Management
� ISO 27001 Information Security
� ISO 22301 Business Continuity
� ISO 20000 IT Service Management
� Alcuni spunti di riflessione
• Centralità dell’IT Risk Management
• Conoscere le Norme e cercare di applicarne i principi generali
• Utilizzare i Code of Practices delle Norme (es. ISO 27002) per approfondimenti
• Comprendere i benefici delle certificazioni vs il mercato e vs l’interno delle aziende, in coerenza con il business e la cultura aziendale
• Sensibilizzare/Formare tutti i professional dell’ICT (non solo le staff specializzate) su tematiche di IT Governance & Security
• Comprendere che i temi trattati non sono riservati alle Grandi aziende ma interessano tutte le organizzazioni, di qualsiasi dimensione, con gli opportuni gradi di profondità
Spunti di riflessione
46
47
Sernet Group
Piazza Repubblica 30
20124 Milano
Tel. +39.02.89696835
Fax +39.02.89696834
email: [email protected]
www.sernet.it
Siro Migliavacca