Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoConcetta Colonna Modificato 11 anni fa
1
Presentazione presso AIEA Milano, 12 Ottobre 2001 Esperienze pratiche delluso di Cobit in ambiente bancario EUROS Consulting
2
EUROS Consulting e la sicurezza Consulenza Club sul Computer Crime SecurityNet Antiriciclaggio Prodotti e formazione sulla sicurezza EUROS e lauditing dei sistemi informativi u Approccio metodologico u Liste di controllo (anche automatizzate) n Banca con automazione in proprio n Banca in outsourcing n Centro di outsourcing u Test specifici (test di penetrazione del sito Internet) u Comparazione (questionario sulla sicurezza dellABI) Comparazione u Formazione del personale
3
La metodologia CobiT (Control OBjectives for Information and related Technology) u Standard generalmente applicabile e accettato 1 per una buona pratica dellInformation Technology u Sviluppata da ISACA u Caratteristiche del progetto CobiT n pragmatico n rispondente alle esigenze aziendali n indipendente dalla piattaforma tecnica di IT adottata n riferimento a standard di qualità internazionali (ITSEC, TCSEC, ISO9000) 1 Termine usato in relazione ai General Accepted Accountig Principles (Principi di riferimento professionale della revisione nel mondo anglosassone)
4
Schema di riferimento u Classificazione dei domini e dei processi dove si applicano gli obiettivi di controllo di alto livello u Formulazione dei requisiti di business relativi alle informazioni di quel dominio u Individuazione delle risorse coinvolte in via principale dallobiettivo di controllo (più di 300 obiettivi di controllo di dettaglio)
5
u Auditors u Utenti u Managers Destinatari Risorse IT Dati Applicazioni Tecnologia Risorse umane Infrastrutture Fiducia Qualità Sicurezza Criteri delle informazioni Domini Processi Attività u Consigliare la Direzione sui controlli interni u Ottenere la garanzia di sicurezza e controllo sui processi u Supporto al bilanciamento tra rischi e investimenti nei controlli
6
CobiT: i domini dellIT
7
CobiT: summary table
8
u Gli obiettivi di controllo di alto livello e quelli di dettaglio sono verificati: n Ottenendo la conoscenza mediante interviste al Management e allo staff su l struttura organizzativa, ruoli e responsabilità l politiche/procedure, leggi/regolamenti l misure di controllo in uso n Valutazione dei controlli n Valutazione della conformità n Definizione del rischio CobiT: Linee guida di audit
9
CobiT: novità della terza edizione u Adeguamento di alcuni obiettivi di controllo u Introduzione delle Management Guidelines n Balanced Business Scorecard n Maturity Model
10
Applicazione della metodologia CobiT: progetti di miglioramento e sviluppo della funzione di ICT Auditing Esempio 1 (Automazione in proprio) u Benchmark n Riferimento questionario ABI n Ruolo dellICT Auditing u Illustrazione della metodologia CobiT u Individuazione dei processi e analisi degli obiettivi di controllo Individuazione dei processi e analisi degli obiettivi di controllo n Sicurezza dei sistemi - Controllo degli accessi. Auditing RACF. Verifica matrice degli accessi Sicurezza dei sistemi n Gestione della configurazione Gestione della configurazione u Analisi dellapplicazione n Questionario controllo accessi applicazioni Questionario controllo accessi applicazioni
11
Applicazione della metodologia CobiT: progetti di miglioramento e sviluppo della funzione di ICT Auditing Esempio 2 (Outsourcing dei sistemi informativi) Prima fase (outsourcing completo verso polo di outsourcing) u Illustrazione della metodologia CobiT u Analisi Cobit delle procedure di interfaccia con outsourcer n 17 processi utilizzati n analisi specifica (anche CobiT) del contratto Seconda fase (outsourcing fm, am e tlc con diversi fornitori) u Individuazione dei processi e analisi degli obiettivi di controllo n Gestione dei fornitori n Installare e collaudare i sistemi n Assicurare la continuità del servizio n Assistere e consigliare gli utenti n Gestire i problemi e gli incidenti n ………. u Convergenza con analisi rischi operativi (ABI) n Indicatori di performance u Manuale su Web di ICT Auditing Manuale su Web di ICT Auditing
12
Applicazione della metodologia CobiT: progetti di miglioramento e sviluppo della funzione di ICT Auditing Esempio 3 (Outsourcing dei sistemi informativi) u Illustrazione della metodologia CobiT u Analisi dello stato aziendale dei processi CobiT u Selezione dei processi (esigenze azienda e indicazioni Bankit) n Gestione dei fornitori l analisi specifica (anche CobiT) del contratto n Garantire la sicurezza dei sistemi l checklist personalizzata da CobiT checklist personalizzata da CobiT n …………...
13
In sintesi u Applicazione di una metodologia standard u Rispetto delle disposizioni dellOrgano di Vigilanza e di legge u Adattamento a tutte le configurazioni gestionali dellinformatica aziendale
14
Fine presentazione Esperienze pratiche delluso di Cobit in ambiente bancario
15
Comparazione
16
Pianificazione e organizzazione u In questo dominio rientrano le strategie e le tattiche e ci si occupa principalmente dellidentificazione della via attraverso la quale lIT può meglio contribuire al perseguimento degli obiettivi aziendali u Inoltre per realizzare la visione strategica è necessario pianificare, comunicare e gestire le diverse prospettive. u Infine deve essere costituita una adeguata organizzazione come pure una infrastruttura tecnologica
17
Pianificazione e organizzazione: i processi u Definire un piano strategico per lIT u Definire larchitettura dei dati u Definire lindirizzo tecnologico u Definire lorganizzazione IT e le sue relazioni u Gestire gli investimenti nell IT u Comunicare gli indirizzi e gli obiettivi del management u Gestire le risorse umane u Assicurare la conformità a leggi e norme esterne u Valutare i rischi u Gestire i progetti u Gestire la qualità
18
Acquisizione e implementazione u Per realizzare la strategia informatica, le soluzioni tecniche debbono essere individuate, sviluppate o acquisite come pure implementate e integrate nei processi aziendali u Inoltre le modifiche e la manutenzione ai sistemi esistenti sono considerate in questo dominio
19
u Identificare le soluzioni automatizzate u Acquisire e manutenere il software applicativo u Acquisire e manutenere le infrastrutture tecnologiche u Sviluppare e manutenere le procedure u Installare e collaudare i sistemi u Gestire le modifiche Acquisizione e implementazione: i processi
20
Erogazione e supporto u In questo dominio si considera il rilascio del servizio richiesto, le attività considerate spaziano dalla tradizionale Sala macchine agli aspetti di sicurezza e continuità, alla formazione, ai processi di assistenza
21
u Definire e gestire i livelli di servizio u Gestire i fornitori u Gestire le prestazioni e le potenzialità delle risorse (tecniche) u Garantire la continuità del servizio u Garantire la sicurezza dei sistemi u Identificare e attribuire i costi u Formare e addestrare gli utenti u Assistere e supportare gli utenti IT u Gestire la configurazione u Gestire i problemi e gli incidenti u Gestire i dati u Gestire le infrastrutture u Gestire le attività operative Erogazione e supporto: i processi
22
Monitoraggio u Tutti i processi informatici hanno bisogno di essere regolarmente e periodicamente valutati sotto laspetto della qualità e del soddisfacimento dei requisiti di controllo
23
Monitoraggio: i processi u Monitorare i processi u Valutare ladeguatezza del controllo interno u Ottenere valutazioni indipendenti u Assicurarsi un audit indipendente
24
Risorse u Dati n interni/esterni, strutturati/non strutturati, grafici, ecc. u Applicazioni n sistemi comprensivi di procedure manuali/automatizzate u Tecnologie n hardware, sistemi operativi, DBMS, networking, multimedia,... u Infrastrutture n CED u Risorse umane n conoscenze/professionalità da pianificare/organizzare per acquisire/fornire/gestire/governare il S.I. e i servizi relativi
25
Requisiti aziendali per le informazioni u Efficacia u Efficienza u Riservatezza u Integrità u Disponibilità u Conformità u Affidabilità delle informazioni
26
Gestire la configurazione u Possibili rischi n Non è possibile individuare un oggetto perché non è nota la sua libreria ufficiale n Utilizzo non conforme di un oggetto (versione) n Utilizzo di un oggetto non coerente con lambiente (versione) n Modifica di un oggetto non autorizzata n Gestione di un oggetto dipendente dallautore n Ridondanza delle copie con possibile utilizzo errato n Ridondanza delle copie con possibile eccessivo consumo di risorse
27
Gestire la configurazione u Evidenze richieste n Standard n Inventario hw n Inventario sw base n Inventario/topologia rete n Inventario ambienti operativi n Inventario applicazioni
28
Analisi degli obiettivi di controllo u Elencazione degli obiettivi di controllo di dettaglio u Per ciascun obiettivo di dettaglio - descrizione dei rischi - verifiche effettuate - descrizione dei controlli - individuazione dei punti di forza/debolezza - piano di miglioramento u Storicizzazione dellesito dellanalisi per successivi confronti
29
Garantire la sicurezza dei sistemi: gli obiettivi di controllo di dettaglio u Autenticazione e accesso u Sicurezza dellaccesso ai dati on line u Gestione profilo utente Gestione profilo utente u Gestione della revisione dei profili utente u Classificazione dei dati u Identificazione centralizzata e gestione degli accessi corretti u Rapporti relativi alle attività di sicurezza e alle violazioni u Trattamento degli incidenti u Riconferma (re-accreditation) u Chiavi pubbliche di crittografia u Sicurezza dei moduli crittografici (criptographic modules) u Gestione delle chiavi di crittografia u Prevenzione e scoperta dei virus u ………..
30
Obiettivi di controllo di dettaglio: la gestione del profilo utente u DS5.3 - Gestione profilo utente n La Direzione dovrebbe stabilire una procedura per assicurare unazione tempestiva relativamente alla richiesta, definizione, emissione, chiusura di profili utente. Una procedura formalmente approvata dovrebbe essere inclusa per concedere i privilegi di accesso ai dati ed ai sistemi proprietari. u DS5.4 - Gestione della revisione dei profili utente n La Direzione dovrebbe avere un processo di controllo in atto per rivedere e confermare periodicamente gli accessi corretti.
31
Questionario controllo accesso applicazioni u Informazioni anagrafiche sullapplicazione u Dimensioni dellapplicazione u Caratteristiche: decentramento e circolarità u Controllo abilitazioni u Funzionalità operative u Ambito territoriale e autonomie u Password u Registrazione accessi u Sensitività, parametri delle sessioni, reportistica
32
Contenuti del manuale di ICT Auditing u Rischio n Evento pregiudizievole n Risk driver n Categoria di rischio n Esposizione assoluta u Obiettivo di controllo n Verifiche di 1° e 2° livello (da linee guida di audit) 4 Strutture organizzative interessate 4 Norme esistenti 4 Periodicità 4 Tipo verificatore u Situazione rilevata n Adeguamenti u Indicatori predittivi
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.