L’information security e la governance Eugenio Marogna 17 maggio 2002 L’information security e la governance

Corporate Governance “Enhancing the return on capital through increased accountability” (Corporate Governance: www.corpgov.net ) “… un modello organizzativo chiaro e ben definito, con adeguate ripartizioni di responsabilità e poteri e con un corretto equilibrio tra gestione e controllo” (Borsa Italiana: Codice di Autodisciplina. Stefano Preda)

Responsabilità e controlli Responsabilità dell’azienda Responsabilità degli amministratori Organismi di Vigilanza Controlli Interni Comitati di Controllo

Audit e protezione del valore We cannot solve the problems that we have created with the same thinking that created them” (Albert Einstein) We are what we network (George Cybenko)

Ideazione del servizio Studio di progetto/ fattibilità Valida- zione studio/ progetto Approva- zione e priorizza- zione progetto Pianifi- cazione progetto Disegno requisiti funzionali architettura Codifica del software - test interno Organizzazione eroga- zione servizio e acceptance test Test esterno Vendita Avviamen- to Clienti Erogazio- ne del servizio Help Desk (1° livello) Assisten- Clienti livel- lo) za (2°

Avviamen- to Clienti Help Desk (1° livello) Vendita Erogazio- ne del servizio Assisten- za Clienti (2° livel- lo) Studio di progetto/ fattibilità - Disegno requisiti funzionali - Disegno architettura - Codifica del software - test interno - Organizzazione eroga- zione servizio e acceptance test Approva- zione e assegnazione priorità Valida- zione studio/ progetto Test esterno Ideazione del servizio Pianifi- cazione progetto

Management System & Sicurezza visione integrata Strumento di management per la condivisione degli obiettivi a tutti i livelli dalla vision alla sua applicazione puntuale all’interno dell’azienda, attribuendo le responsabilità e controllando l’andamento dei risultati, in modo analitico

Un parallelo ISO 9000 BS 7799 Vision 2000 Principi Generali di Sicurezza 675/96 Manuale della Qualità Linea Guida per l’erogazione dei servizi Politiche di Sicurezza per il Sistema Informativo 675/96 Linee guida: analisi dei rischi -----------> censimento macrodati piani per la sicurezza ------> gestione degli incidenti business continuity ….. Linee guida: riesame del contratto gestione delle anomalie gestione dei rilasci sistema di reporting ….. 675/96 675/96

Statement Of Applicability

Un esempio pratico: il rapporto di audit Incontro del …. L'attività di audit svolta ha inoltre individuato una serie di cause del problema di seguito elencate come non conformità (con riferimento agli standard adottati[1] dall'azienda): [1] ISO = ISO 9000 ; BS = BS7799 Rif. ISO 4.1 BS 4.2.2.2 Definizione delle responsabilità nella gestione del fornitore Requisiti di sicurezza nei contratti con le terze parti Descrizione (NC. A015) Non sono definite le interfacce con i fornitori Evidenze (allegato 1) Non sono state definite contrattualmente le reciproche figure di riferimento; la comunicazione relativa al … è stata inviata dal fornitore a un destinatario fisico anziché a una casella centrale di raccolta messaggi. Rif. ISO 4.6 BS 4.6.7.1 Gestione del contratto con il fornitore Accordi per lo scambio di informazioni e software Descrizione (NC. A016) Gli elementi del contratto forniti all’Audit non contengono i tempi e le modalità con cui possono essere apportate modifiche su …. da parte del fornitore. La comunicazione via e-mail e la relativa … sono avvenute contestualmente