COBIT5® – 2013 . . . ed oltre - AIEA...2013/11/15 · 12 Pubblicazioni COBIT5 (15/11/2013)...
Transcript of COBIT5® – 2013 . . . ed oltre - AIEA...2013/11/15 · 12 Pubblicazioni COBIT5 (15/11/2013)...
-
COBIT 5® – 2013 . . . ed oltre
Alberto Piamonte
Research Director AIEA MI
Sessione di Studio 15 novembre 2013 Milano
-
2
Argomenti
della Sessione
� Manuali disponibili ad oggi
� COBIT5 esperienze pratiche
• Come «raccontarlo»• Come usarlo
� Riconoscimenti
� Formazione
� Gruppi di Ricerca
� Q&A
-
3
• A che punto siamo con le pubblicazioni ?
14/11/2013 3
-
4
14/11/2013 4
� Framework
� Implementation
Guide
� Enabling
Processes
-
5
14/11/2013 5
� Information
Security
-
6
14/11/2013 6
� Assessment (1)
� Process
Assessment
� Assessor Guide
� Self Assessment
Guide
1 – Gli stessi manuali sono disponibili (4 ottobre 2011) anche per CobiT 4.1 – versione «ISO 15504-2»
-
7
14/11/2013 7
� Information
Security
-
8
14/11/2013 8
25 settembre 2013
� Information
Security
-
9
13 novembre 2013
14/11/2013 9
-
10
14/11/2013 10
-
11
COBIT5®
Product
Family
-
12
Pubblicazioni COBIT5 (15/11/2013)
14/11/2013 12
DocumentoPagg
SociAIEA
non soci
COBIT 5 Framework 94
COBIT 5 Enabling Processes 230 $135,00
COBIT 5 Implementation + tool kit 78 $150,00
COBIT 5 for Information Security 220 $35,00 $175,00
COBIT 5 for Assurance 318 $35,00 $175,00
COBIT 5 for Risk 216 $35,00 $175,00
COBIT Assessment Programme
COBIT Process Assessment Model (PAM): Using COBIT 5 144 $40,00
COBIT Assessor Guide: Using COBIT 5 52 $30,00 $80,00
COBIT Self-Assessment Guide: Using COBIT 5 + tool kit 24 $40,00
COBIT 5: Enabling Information 90 $135,00
COBIT Translations (?)
COBIT 5 Online (4 Q 2013 / 2014)
Vendor Management Using COBIT 5
Configuration Management Using COBIT 5 88 $55,00
Transforming Cybersecurity Using COBIT 5 190 $35,00 $60,00
Securing Mobile Devices Using COBIT 5 for Information Security 138 $75,00
Security Considerations for Cloud Computing 80 $75,00
(Appendix C. Mapping Threats and Mitigating Actions to COBIT 5 for Information Security)
Security-Considerations-Cloud-Computing-Tool-Kit
Advanced Persistent Threats: How To Manage The Risk To Your Business 132 $35,00
2094 $170,00 $1.405,00
-
13
Chi riconosce
COBIT5 ?Regulatory and Legislative Recognition
� USA, Canada, India, Giappone,
Brasile, Argentina, Australia,
UAE - Dubai, Colombia, Costa
Rica, Mexico, Paraguay,
Uruguay, Venezuela, Grecia,
Lithuania, Romania,
� EU riconosce il COBIT come
Framework
� Turchia
� Sud Africa
� Russia ???
� PRC ???
-
14
Raccontare
COBIT5 ®
-
15
COBIT5®
«UNIVERSAL» Framework
Perché
BeneficiBenefici
Evitare
Rischi
Evitare
Rischi
Gestione
ottimale
Risorse
Gestione
ottimale
Risorse
Interventi
Dove operare
• Processi
• Principi – Policies –Frameworks
• Sistemi
• Persone
• Organizzazione
• Informazioni disponibili
• Cultura / etica
Dove operare
• Processi
• Principi – Policies –Frameworks
• Sistemi
• Persone
• Organizzazione
• Informazioni disponibili
• Cultura / etica
Come operare
• Pratiche / Attività Base
• Consolidate e universal-mente accettate
• Riferimento ai principali Standard
• Priorità in funzione obiettivi di business
Come operare
• Pratiche / Attività Base
• Consolidate e universal-mente accettate
• Riferimento ai principali Standard
• Priorità in funzione obiettivi di business
Quando
GovernoGoverno
Pianificazione
Organizzazione
Pianificazione
Organizzazione
Impostazione
Definizione
Soluzioni IT
Impostazione
Definizione
Soluzioni IT
Erogazione Servizi SupportoErogazione Servizi Supporto
Misura e ControlloMisura e Controllo
Attori
CDACDA
BusinessBusiness
IT / ISIT / IS
ControlloControllo
. . . . . In modo strutturato e connesso. . . . .
Governance : Risk Based Approach
-
16
Frameworks
NIST Cybersecurity Framework
The Framework Core is not a checklist of activities to perform;
it presents key cybersecurity outcomes that are aligned with
activities known to manage cybersecurity risk. These activities
are mapped to a subset of commonly used standards and
guidelines.
BI : DISPOSIZIONI PRELIMINARI E PRINCIPI GENERALI
1. Premessa
Il sistema dei controlli interni è un elemento fondamentale del
complessivo sistema di governo delle banche; esso assicura che
l’attività aziendale sia in linea con le strategie e le politiche
aziendali ...................
La presente disciplina:
....... rappresenta la cornice generale del sistema dei controlli
aziendali
• Chech-box mentatlity
• Tactical & reactive
• Achieve point-in-time Compliance Certification
Compliance DrivenApproach
• Proactive & Holistic
• Continous Monitoring
• Proactive mentality
Risk-BasedApproach
-
17
Strumenti� Principi
� Enablers
� Goals
� Align
� Misura
Guide � Security
� Assessment
� Assurance
� Risk
� .....
Si
applica
Si studia
Si adatta
Guida
Implementazione
Guida
Implementazione
Governance
COBIT5®
«UNIVERSAL» Framework
Problem specific
Framework based on
COBIT5
• Info Security • Risk• Assurance
• Vendor Mgmt• Privacy EU• .....
-
18
COBIT 5®
�Due esempi di utilizzo
-
19
Esempio 1
Proposta Nuovo Regolamento
Europeo Protezione Dati
Personali
SECTION 3
RECTIFICATION AND ERASURE
Article 16
Right to rectification
The data subject shall have the right to obtain from the controller the
rectification of personal data relating to them which are inaccurate. The
data subject shall have the right to obtain completion of incomplete
personal data, including by way of supplementing a corrective statement.
È una: «Service request» che richiede una «Service capability», come ?
Area : Management - Domain : Deliver, Service and Support
DSS02 - Manage Service Requests and Incidents
Process DescriptionProvide timely and effective response to user requests and resolution of all types of incidents. Restore normal service; record and fulfill user requests; and record, investigate, diagnose, escalate and resolve incidents.
Valore aggiunto COBIT5 ……
-
20
DSS02 - Management Practices Description
DSS02.01 - Define incident and service
request classification schemes.Define incident and service request classification schemes and models.
DSS02.02 - Record, classify and
prioritise requests and incidents.
Identify, record and classify service requests and incidents, and assign a priority
according to business criticality and service agreements.
DSS02.03 - Verify, approve and fulfil
service requests.
Select the appropriate request procedures and verify that the service requests
fulfil defined request criteria. Obtain approval, if required, and fulfil the
requests.
DSS02.04 - Investigate, diagnose and
allocate incidents.
Identify and record incident symptoms, determine possible causes, and allocate
for resolution.
DSS02.05 - Resolve and recover from
incidents.
Document, apply and test the identified solutions or workarounds and perform
recovery actions to restore the IT-related service.
DSS02.06 - Close service requests and
incidents.Verify satisfactory incident resolution and/or request fulfilment, and close.
DSS02.07 - Track status and produce
reports.
Regularly track, analyse and report incident and request fulfilment trends to
provide information for continual improvement.
+ R
AC
I
-
21
.... activities
DSS02.01 - Define service request classification schemes (Output)
To Description
Internal• Incident and service request classification schemes and models
Internal• Rules for incident escalation
DSS02.01 - Activities
1. Define incident and service request classification and prioritisation schemes and criteria for problem registration, to ensure consistent
approaches for handling, informing users about and conducting trend analysis.
2. Define incident models for known errors to enable efficient and effective resolution.
3. Define service request models according to service request type to enable self-help and efficient service for standard requests.
4. Define incident escalation rules and procedures, especially for major incidents and security incidents.
5. Define incident and request knowledge sources and their use.
1. Define and communicate the nature and characteristics of potential security-related incidents so they can be easily recognised and their impact
understood to enable a commensurate response.
-
22
Solo per un
articolo ?
• Ci sono molte «istanze» per le quali è richiesta la capacità di erogare un servizio o gestire un incidente (DSS02)
Service Capabilities / Requests Art EU
Cancellazione automatica dati scaduti ( Art. 17) Article 17 - Right to be forgotten and to erasure - 7
Cancellazione dati su richiesta Article 17 - Right to be forgotten and to erasure
Communicate rect / erasure Artt 16 and 17 Article 13 - Rights in relation to recipients
Comunicazione relativa applicazione o meno Art 13, 15, 19
Article 12 - Procedures and mechanisms for exercising the rights of the data
subject - 2
Article 12 - Procedures and mechanisms for exercising the rights of the data
subject - 3
Confirmation Data are (are not) processed Article 15 - Right of access for the data subject
Consent withdraw Article 7 - Conditions for consent - 3
Data Breach notification to Data Subject Article 32 - Communication of a personal data breach to the data subject
Data breach notification to Supervisory Authority Article 31 - Notification of a personal data breach to the supervisory authority
Inform third parties that Personal Data are to be erased Article 17 - Right to be forgotten and to erasure
Privacy Awareness Article 37 - Tasks of the data protection officer - 1 - (b)
Restrict processing instead of erasure Article 17 - Right to be forgotten and to erasure - 4
Rettifica dati Article 16 - Right to rectification
Richiesta via informatica informazioni da parte interessato
(Art 12)
Article 12 - Procedures and mechanisms for exercising the rights of the data
subject - 1
Trasmit Copy of Data undergoing processing Article 18 - Right to data portability
…………………. …………….
-
23
Per le Aziende di qualsiasi dimensione ?
Dimensione
Piccola Si domanda al «Commecialista»
Media COBIT5 – DSS02
Grande COBIT5 – DSS02 +
+ ISO 15504 Capability Assessment
-
24
-
25
Uno schema
Setup
•Requisiti
•Call for tender
•Valutazione
•Shortlist
•Negoziazione
Contratto
•Accordo
•Deliverables
•Livelli di Servizio
•Metriche
•Costi
•Legale
Operations
•Avviamento
•Gestioneoperazioni
•Monitoring
Transition-out
•Phase out operativo
•Trasferimentodelle conoscenzee della gestioneoperativa al nuovofornitore
modifiche
Lo schema è utilizzabile per :
� Assegnare responsabilità
� Identificare minacce e valutare impatti associandole a relative azioni correttive
� Mappare il Processo sulla realtà aziendale
� Identificare Strumenti / Documenti di supporto (Enablers Information !)
Lo schema è utilizzabile per :
� Assegnare responsabilità
� Identificare minacce e valutare impatti associandole a relative azioni correttive
� Mappare il Processo sulla realtà aziendale
� Identificare Strumenti / Documenti di supporto (Enablers Information !)
Cambio contrattoCambio Fornitore
: life cycle !
-
26
Assegnare le responsabilità
-
27
Recent research reveals that approximately oneout of five enterprises (19 percent) does not invest sufficient effort to manage vendors and vendor-provided services effectively.
Recent research reveals that approximately oneout of five enterprises (19 percent) does not invest sufficient effort to manage vendors and vendor-provided services effectively.
Minaccia Rischio conseguente Impatto
T1 Vendor selection Financial, operational, reputational and legal/compliance
?
T2 Contract development Financial, operational and legal/compliance ?
T3 Requirements Financial, operational, reputational and legal/compliance
?
T4 Governance Financial, operational and legal/compliance ?
T5 Strategy Financial, operational and legal/compliance ?
Identificare minacce e
pesare i rischi
conseguenti
-
28
Per ogni minaccia
� Una o più azioni correttive
� Una indicazione agli enablers (1)
coinvolti
1 - Enablers:
1. Principles, policies and frameworks
2. Processes
3. Organizational structures
4. Culture, ethics and behaviour
5. Information
6. Services, infrastructure and applications
7. People, skills and competencies
-
29
Identificare minacce e valutare impatti
associandole a relative azioni correttive
Azione correttiva Minaccia T1 T2 T3 T4 T5
1 Diversify sourcing strategy to avoid overreliance or vendor lockin x
2 Establish policies and procedures for vendor management x
3 Establish a vendor management governance model x
4 Set up a vendor management organization within the enterprise x
5 Foresee requirements regarding the skills and competencies of the vendor employees x
6 Use standard documents and templates x
7 Formulate clear requirements x
8 Perform adequate vendor selection x
9 Cover all relevant life-cycle events during contract drafting x
10 Determine the adequate security and controls needed during the relationship x x
11 Set up SLAs x
12 Set up operating level agreements (OLAs) and underpinning contracts x
13 Set up appropriate vendor performance/service level monitoring and reporting x x
14 Establish a penalties and reward model with the vendor x
15 Conduct adequate vendor relationship management during the life cycle x
16 Review contracts and SLAs on a periodic basis x
17 Conduct vendor risk management x
18 Perform an evaluation of compliance with enterprise policies x
19 Perform an evaluation of vendor internal controls x
20 Plan and manage the end of the relationship x x
21 Use a vendor management system x x x x
22 Create data and hardware disposal stipulations x x
-
excel
-
31
COBIT5 «Vendor Management Framework»
-
Risk- Based approach ?
Cosa manca ?
Risk- Based approach ?
Cosa manca ?
Olistico !!!Olistico !!!
-
E gli altri enablers ?
21
3
11
4
5
1
4
Process Principles, Policies
and Frameworks
Information Services,
Infrastructure and
Applications
Organisational
Structures
Ethics, Culture and
Behaviour
People, Skills and
Competencies
-
34
Enabler
Information
� Call for Tender
� Vendor Contract
� Service Level Agreements
� SLAs Defined
� How to Create Successful SLAs
� SLA Common Pitfalls
� Benefits of Effective Service Level
Management
� OLAs and Underpinning Contracts
�Managing a Cloud Service Provider
� Excerpt From Security Considerations
for Cloud Computing
� Appendix A. Vendor Selection
Dashboard
� Criteri (pesati) di selezione
� Appendix B. Call for Tender Template
� Appendix C. Call for Tender Checklist
� Appendix D. Drafting the Contract:
High-level Legal Checklist for Non-
legal Stakeholders
� Appendix E. Example Contract
Template
� Appendix F. SLA Template
� Appendix G. Service Level Agreement
(SLA) Checklist
� Appendix H. Example SLA Template
� Appendix I. Example Generic SLA
� Appendix J. Example SLA Slim Version
� Appendix K. Example SLA for Back
Office and Local Area Network (LAN)
Services
� Appendix L. High-level Mapping of
COBIT 5 and ITIL V3 for Vendor
Management
-
Assurance Framework
-
14/11/2013 36
Risk Framework
-
FORMAZIONE & COBIT5®
Paola Galasso,
Education Commitee Coordinator
Simona Costa,
Education Committee Member
COBIT5, ITIL and ISO Training
Sessione di Studio
-
La Formazione AIEA in ambito COBIT5:
gli obiettivi
39
• AIEA ha scelto di investire in modo significativo sulla formazione del nuovo frameworkCOBIT, in qualità di strumento di innovazione, in grado di affrontare con flessibilità le
sfide ed i mutamenti di un mondo in rapido mutamento ed obbligato ad innovare.
• La formazione COBIT5 è stata portata su diversi livelli e verso diversi target, con diversi obiettivi e target da
raggiungere:
� Formazione di nuovi specialisti
� Aggiornamento dei professionisti già specializzati
� Creare consapevolezza delle potenzialità in azienda
al middle and top management
� Divulgazione verso tutti gli attori, inclusi coloro che
scrivono o ispirano le normative
� Personalizzazione sulle specifiche realtà aziendali
-
La Formazione AIEA in ambito COBIT5:
i percorsi
40
• Pertanto AIEA offre eventi formativi con contenuti, format e docenti differenziati sulla base degli obiettivi dichiarati, tra cui:
� La giornata di approfondimento dal titolo «Governance e Management IT nelle
banche, nelle aziende e nelle pubbliche amministrazioni: il modello COBIT5®
di ISACA ®» che ha rappresentato il primo appuntamento del ciclo di corsi frutto
della partnership tra AIEA ed Academy Borsa Italiana, il centro di formazione del
London Stock Exchange Group. Verrà riproposto semestralmente.
� Corsi di certificazione: Certificazione Cobit Foundation, Certificazione Cobit
Assessor, Certificazione Cobit Implementation
� Corsi di Base
� Corsi Avanzati su tematiche specialistiche: COBIT 5 Vendor Manament, COBIT
for Risk, COBIT for Security & Privacy, COBIT5 Assurance
� Corsi di Aggiornamento per professionisti già specializzati
� Corsi personalizzati su misura delle esigenze: TRAINING ON-SITE
� Incontri formativi per Enti Pubblici e Regolatori
-
La Formazione AIEA in
ambito COBIT5: gli eventi
formativi
41
-
Paola Galasso
Responsabile per la Formazione AIEA
Education Commitee Coordinator
Milan ISACA Chapter
Mob. +39 335 7350588 ||Skype paola.galasso69 || [email protected] ||
[email protected] || [email protected]
4
2
Simona Costa
Education Commitee AIEA
Organizzazione corsi COBIT5 e ITIL
Milan ISACA Chapter
Mail: [email protected] || Mob. +39 347 1417697 ||Skype simona.costa
La Formazione AIEA in ambitoCOBIT5: calendario 2014• Per il nuovo anno sono in fase di definizione tutte le tipologie di evento
formativo, sia sulla sede di Milano che sulla sede di Roma e presso aziende ed
Enti che ce li stano richiedendo ad hoc
-
43
Gruppi di
Ricerca� Risk Management
� COBIT5 Framework per :
� BI - Nuove disposizioni di vigilanza
prudenziale per le banche
� Nuovo regolamento EU
Protezione dei Dati Personali
� Sistema di Controlli Interni a
presidio del Rischio Riciclaggio
� Outsourcing
-
QUESTIONS & COMMENTS
© 2013 ISACA. All rights reserved