Presentazione presso AIEA Milano, 12 Ottobre 2001 Esperienze pratiche delluso di Cobit in ambiente bancario EUROS Consulting.

Slides:



Advertisements
Presentazioni simili
Seminario: "La nuova frontiera della sicurezza: i sistemi di gestione"
Advertisements

Forum PACObIT 4.1 AIEA Roma Leonardo Nobile 1 AIEA Associazione Italiana Information Systems Auditor ISACA Milan Chapter C OBI T ® 4.1 Leonardo.
CENTRO RETE QUALITA' UMBRA
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
L’EVOLUZIONE DEL RUOLO DELL’INTERNAL AUDITING IN BANCA
La progettazione secondo la norma internazionale ISO 9001
A cura del PROGETTO QUALITA Ministero dellIstruzione, dellUniversità e della Ricerca Ufficio Scolastico Regionale per la Campania Direzione Generale VERSO.
Q REQUISITO ISO 9000:2000 Esigenza o aspettativa che può essere
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
ValutaPASSI Gruppo Tecnico PASSI Nazionale Centro Nazionale di Epidemiologia, Sorveglianza e Promozione della Salute (ISS) Incontro Coordinamento Nazionale,
AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.
IL PROCESSO DI REVISIONE AZIENDALE
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.
Claudia Gistri Area Ambiente e Sicurezza CERTIQUALITY S.R.L. IL SISTEMA DI EMISSION TRADING PER I GAS AD EFFETTO SERRA Milano, 8 Marzo 2005 La verifica.
MILLEGPG uno strumento per migliorare e migliorarsi
PROGETTO:Verona Aziende Sicure 2006 Verona, 23 marzo 2007 APPALTI E MANUTENZIONE Teoria e pratica.
GESTIONE DEI SISTEMI INFORMATIVI IN AZIENDA
SISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING. OUTSOURCING La complessità delle tecnologie, levoluzione complessa, la necessità di semplificare lorganizzazione.
IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.
Provveditorato agli Studi di Palermo
LA CERTIFICAZIONE SECONDO LA NORMA VISION 2000
Area: la gestione dei progetti complessi
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
Non limitarsi a descrivere le risorse disponibili senza descriverne il processo di definizione delle esigenze, di reperimento e di valutazione Non limitarsi.
Roberto Boggio Direttore Generale Call Center Services S.r.l.
Control and Risk Self Assessment – CRSA. Il caso Telecom.
05/02/2014 Versione:1.0 RUO-FCRSI Progetti formativi di Sicurezza ICT Piani di Sicurezza ICT – Formazione a supporto.
1Milano, 3 Novembre 2004Assemblea Nazionale FISM WORKSHOP La certificazione dei requisiti di qualità per le Società Medico-Scientifiche Presentazione del.
POLO (vecchio modello)
Convegno ANUIT Milano 19 Aprile 1999-Rev.A TEI/DSP A. Fabrizio CONFERENZA NAZIONALE ADEGUAMENTO INFORMATICO ANNO 2000 (ROMA GIUGNO 1999) PROGRAMMA.
Dir. Information Technology
Gaetano Santucci Centro Nazionale per l’Informatica
Chief Information Office/ SRTLC Luglio 2008 Progetto di sperimentazione Telelavoro Chief Information Office Progetto di sperimentazione Telelavoro Chief.
Elaborato F.S. Di Somma V. PROGETTO QUALITA VERSO IL…. MANUALE DELLA QUALITA A.S. 2006/2007 F. S. QUALITA DI SOMMA V.
ORSS Web 2012.
La progettazione di un sistema informatico
SAM - Guida all'autoformazione dei Rivenditori - edizione Aprile 2004
29 aprile 2005 Presentazione Integrazione di Competenze 1.
Enterprise resource planning
ECDL per TUTTI con I Simpson Azzurra & Silvia.
RDN - Radio Data Network Protojet Office Una Soluzione Professionale.
Ogni cosa che facciamo influisce sull’ambiente
Mercato Privati - RU MERCATO PRIVATI Referente AR Aprile 2014.
Esternalizzazione dell’ICT nella PA
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Sistemi di Gestione per la Qualità
Università di Macerata - P. Cioni1 Economia delle aziende di assicurazione La Circolare Isvap n. 577/D: “Disposizioni in materia di sistema dei controlli.
Esperienza presso un Servizio di Ingegneria Clinica Manutenzione delle apparecchiature elettromedicali   Buongiorno a tutti! Sono Elena Favaretto, sono.
L’Amministrazione Finanziaria
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Qualità nei laboratori di ricerca e albo laboratori altamente specializzati Workshop, Genova 08 novembre 2002 G.B. Rossi: Qualità e miglioramento nei laboratori.
Venezia - 8 marzo Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.
Master MATITCiclo di vita del Sistema Informativo1 CICLO DI VITA DEL SISTEMA INFORMATIVO.
TECNOLOGIE DELL’INFORMAZIONE E DELLA COMUNICAZIONE PER LE AZIENDE Materiale di supporto alla didattica.
Le norme ISO 9000 ed il Manuale della Qualità
Città, Giorno Mese Anno: 14-pt. Comic Sans MS Corsivo XXIV Convegno Nazionale AIEA Area Controlli Interni Servizio Audit ICT Efficientamento degli strumenti.
FITEL Telecomunicazioni Soluzioni per tecnologie informatiche e telecomunicazioni.
Presentazione Servizi. Di Cosa Ci Occupiamo Hera02 cura per le Aziende i seguenti tre assetti: 1 – I servizi di Telecomunicazioni: Connessione Dati verso.
ECDL European Computer Driving Licence
Studio Crotti Consulenti di direzione e servizi integrati Studio Crotti – Via A. Moro, 5 – Capriate S.G. – Bergamo - Italy Tel. e Fax.:
LE FIGURE PROFESSIONALI DELL'INFORMATICA
MODELLI DI GESTIONE PECULIARI ALLE ATTIVITA’ DEI LABORATORI NAZIONALI DEL GRANSASSO Ing. DOMENICO BARONE – RGA - Milano Convegno Nazionale: “I Sistemi.
SISTEMA QUALITA’ PER LA GESTIONE IN SICUREZZA DEL SERVIZIO DI O.T.I. XIV CONGRESSO NAZIONALE S.I.M.S.I. Napoli 29/30 SETTEMBRE – 1 OTTOBRE 2000.
Attori Enterprise risk management
Revisione Aziendale Lezione del Il Sistema di controllo interno.
Management e Certificazione della Qualità Prof. Alessandro Ruggieri.
Applicazione del sistema di qualità 1 L’auditor prende atto dello stato di funzionamento e manutenzione delle infrastrutture, ma non è necessario che richieda.
Tecniche di Gestione della Qualità Prof. Alessandro Ruggieri Prof. Enrico Mosconi A.A
Transcript della presentazione:

Presentazione presso AIEA Milano, 12 Ottobre 2001 Esperienze pratiche delluso di Cobit in ambiente bancario EUROS Consulting

EUROS Consulting e la sicurezza Consulenza Club sul Computer Crime SecurityNet Antiriciclaggio Prodotti e formazione sulla sicurezza EUROS e lauditing dei sistemi informativi u Approccio metodologico u Liste di controllo (anche automatizzate) n Banca con automazione in proprio n Banca in outsourcing n Centro di outsourcing u Test specifici (test di penetrazione del sito Internet) u Comparazione (questionario sulla sicurezza dellABI) Comparazione u Formazione del personale

La metodologia CobiT (Control OBjectives for Information and related Technology) u Standard generalmente applicabile e accettato 1 per una buona pratica dellInformation Technology u Sviluppata da ISACA u Caratteristiche del progetto CobiT n pragmatico n rispondente alle esigenze aziendali n indipendente dalla piattaforma tecnica di IT adottata n riferimento a standard di qualità internazionali (ITSEC, TCSEC, ISO9000) 1 Termine usato in relazione ai General Accepted Accountig Principles (Principi di riferimento professionale della revisione nel mondo anglosassone)

Schema di riferimento u Classificazione dei domini e dei processi dove si applicano gli obiettivi di controllo di alto livello u Formulazione dei requisiti di business relativi alle informazioni di quel dominio u Individuazione delle risorse coinvolte in via principale dallobiettivo di controllo (più di 300 obiettivi di controllo di dettaglio)

u Auditors u Utenti u Managers Destinatari Risorse IT Dati Applicazioni Tecnologia Risorse umane Infrastrutture Fiducia Qualità Sicurezza Criteri delle informazioni Domini Processi Attività u Consigliare la Direzione sui controlli interni u Ottenere la garanzia di sicurezza e controllo sui processi u Supporto al bilanciamento tra rischi e investimenti nei controlli

CobiT: i domini dellIT

CobiT: summary table

u Gli obiettivi di controllo di alto livello e quelli di dettaglio sono verificati: n Ottenendo la conoscenza mediante interviste al Management e allo staff su l struttura organizzativa, ruoli e responsabilità l politiche/procedure, leggi/regolamenti l misure di controllo in uso n Valutazione dei controlli n Valutazione della conformità n Definizione del rischio CobiT: Linee guida di audit

CobiT: novità della terza edizione u Adeguamento di alcuni obiettivi di controllo u Introduzione delle Management Guidelines n Balanced Business Scorecard n Maturity Model

Applicazione della metodologia CobiT: progetti di miglioramento e sviluppo della funzione di ICT Auditing Esempio 1 (Automazione in proprio) u Benchmark n Riferimento questionario ABI n Ruolo dellICT Auditing u Illustrazione della metodologia CobiT u Individuazione dei processi e analisi degli obiettivi di controllo Individuazione dei processi e analisi degli obiettivi di controllo n Sicurezza dei sistemi - Controllo degli accessi. Auditing RACF. Verifica matrice degli accessi Sicurezza dei sistemi n Gestione della configurazione Gestione della configurazione u Analisi dellapplicazione n Questionario controllo accessi applicazioni Questionario controllo accessi applicazioni

Applicazione della metodologia CobiT: progetti di miglioramento e sviluppo della funzione di ICT Auditing Esempio 2 (Outsourcing dei sistemi informativi) Prima fase (outsourcing completo verso polo di outsourcing) u Illustrazione della metodologia CobiT u Analisi Cobit delle procedure di interfaccia con outsourcer n 17 processi utilizzati n analisi specifica (anche CobiT) del contratto Seconda fase (outsourcing fm, am e tlc con diversi fornitori) u Individuazione dei processi e analisi degli obiettivi di controllo n Gestione dei fornitori n Installare e collaudare i sistemi n Assicurare la continuità del servizio n Assistere e consigliare gli utenti n Gestire i problemi e gli incidenti n ………. u Convergenza con analisi rischi operativi (ABI) n Indicatori di performance u Manuale su Web di ICT Auditing Manuale su Web di ICT Auditing

Applicazione della metodologia CobiT: progetti di miglioramento e sviluppo della funzione di ICT Auditing Esempio 3 (Outsourcing dei sistemi informativi) u Illustrazione della metodologia CobiT u Analisi dello stato aziendale dei processi CobiT u Selezione dei processi (esigenze azienda e indicazioni Bankit) n Gestione dei fornitori l analisi specifica (anche CobiT) del contratto n Garantire la sicurezza dei sistemi l checklist personalizzata da CobiT checklist personalizzata da CobiT n …………...

In sintesi u Applicazione di una metodologia standard u Rispetto delle disposizioni dellOrgano di Vigilanza e di legge u Adattamento a tutte le configurazioni gestionali dellinformatica aziendale

Fine presentazione Esperienze pratiche delluso di Cobit in ambiente bancario

Comparazione

Pianificazione e organizzazione u In questo dominio rientrano le strategie e le tattiche e ci si occupa principalmente dellidentificazione della via attraverso la quale lIT può meglio contribuire al perseguimento degli obiettivi aziendali u Inoltre per realizzare la visione strategica è necessario pianificare, comunicare e gestire le diverse prospettive. u Infine deve essere costituita una adeguata organizzazione come pure una infrastruttura tecnologica

Pianificazione e organizzazione: i processi u Definire un piano strategico per lIT u Definire larchitettura dei dati u Definire lindirizzo tecnologico u Definire lorganizzazione IT e le sue relazioni u Gestire gli investimenti nell IT u Comunicare gli indirizzi e gli obiettivi del management u Gestire le risorse umane u Assicurare la conformità a leggi e norme esterne u Valutare i rischi u Gestire i progetti u Gestire la qualità

Acquisizione e implementazione u Per realizzare la strategia informatica, le soluzioni tecniche debbono essere individuate, sviluppate o acquisite come pure implementate e integrate nei processi aziendali u Inoltre le modifiche e la manutenzione ai sistemi esistenti sono considerate in questo dominio

u Identificare le soluzioni automatizzate u Acquisire e manutenere il software applicativo u Acquisire e manutenere le infrastrutture tecnologiche u Sviluppare e manutenere le procedure u Installare e collaudare i sistemi u Gestire le modifiche Acquisizione e implementazione: i processi

Erogazione e supporto u In questo dominio si considera il rilascio del servizio richiesto, le attività considerate spaziano dalla tradizionale Sala macchine agli aspetti di sicurezza e continuità, alla formazione, ai processi di assistenza

u Definire e gestire i livelli di servizio u Gestire i fornitori u Gestire le prestazioni e le potenzialità delle risorse (tecniche) u Garantire la continuità del servizio u Garantire la sicurezza dei sistemi u Identificare e attribuire i costi u Formare e addestrare gli utenti u Assistere e supportare gli utenti IT u Gestire la configurazione u Gestire i problemi e gli incidenti u Gestire i dati u Gestire le infrastrutture u Gestire le attività operative Erogazione e supporto: i processi

Monitoraggio u Tutti i processi informatici hanno bisogno di essere regolarmente e periodicamente valutati sotto laspetto della qualità e del soddisfacimento dei requisiti di controllo

Monitoraggio: i processi u Monitorare i processi u Valutare ladeguatezza del controllo interno u Ottenere valutazioni indipendenti u Assicurarsi un audit indipendente

Risorse u Dati n interni/esterni, strutturati/non strutturati, grafici, ecc. u Applicazioni n sistemi comprensivi di procedure manuali/automatizzate u Tecnologie n hardware, sistemi operativi, DBMS, networking, multimedia,... u Infrastrutture n CED u Risorse umane n conoscenze/professionalità da pianificare/organizzare per acquisire/fornire/gestire/governare il S.I. e i servizi relativi

Requisiti aziendali per le informazioni u Efficacia u Efficienza u Riservatezza u Integrità u Disponibilità u Conformità u Affidabilità delle informazioni

Gestire la configurazione u Possibili rischi n Non è possibile individuare un oggetto perché non è nota la sua libreria ufficiale n Utilizzo non conforme di un oggetto (versione) n Utilizzo di un oggetto non coerente con lambiente (versione) n Modifica di un oggetto non autorizzata n Gestione di un oggetto dipendente dallautore n Ridondanza delle copie con possibile utilizzo errato n Ridondanza delle copie con possibile eccessivo consumo di risorse

Gestire la configurazione u Evidenze richieste n Standard n Inventario hw n Inventario sw base n Inventario/topologia rete n Inventario ambienti operativi n Inventario applicazioni

Analisi degli obiettivi di controllo u Elencazione degli obiettivi di controllo di dettaglio u Per ciascun obiettivo di dettaglio - descrizione dei rischi - verifiche effettuate - descrizione dei controlli - individuazione dei punti di forza/debolezza - piano di miglioramento u Storicizzazione dellesito dellanalisi per successivi confronti

Garantire la sicurezza dei sistemi: gli obiettivi di controllo di dettaglio u Autenticazione e accesso u Sicurezza dellaccesso ai dati on line u Gestione profilo utente Gestione profilo utente u Gestione della revisione dei profili utente u Classificazione dei dati u Identificazione centralizzata e gestione degli accessi corretti u Rapporti relativi alle attività di sicurezza e alle violazioni u Trattamento degli incidenti u Riconferma (re-accreditation) u Chiavi pubbliche di crittografia u Sicurezza dei moduli crittografici (criptographic modules) u Gestione delle chiavi di crittografia u Prevenzione e scoperta dei virus u ………..

Obiettivi di controllo di dettaglio: la gestione del profilo utente u DS5.3 - Gestione profilo utente n La Direzione dovrebbe stabilire una procedura per assicurare unazione tempestiva relativamente alla richiesta, definizione, emissione, chiusura di profili utente. Una procedura formalmente approvata dovrebbe essere inclusa per concedere i privilegi di accesso ai dati ed ai sistemi proprietari. u DS5.4 - Gestione della revisione dei profili utente n La Direzione dovrebbe avere un processo di controllo in atto per rivedere e confermare periodicamente gli accessi corretti.

Questionario controllo accesso applicazioni u Informazioni anagrafiche sullapplicazione u Dimensioni dellapplicazione u Caratteristiche: decentramento e circolarità u Controllo abilitazioni u Funzionalità operative u Ambito territoriale e autonomie u Password u Registrazione accessi u Sensitività, parametri delle sessioni, reportistica

Contenuti del manuale di ICT Auditing u Rischio n Evento pregiudizievole n Risk driver n Categoria di rischio n Esposizione assoluta u Obiettivo di controllo n Verifiche di 1° e 2° livello (da linee guida di audit) 4 Strutture organizzative interessate 4 Norme esistenti 4 Periodicità 4 Tipo verificatore u Situazione rilevata n Adeguamenti u Indicatori predittivi

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.