La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Presentazione presso AIEA Milano, 12 Ottobre 2001 Esperienze pratiche delluso di Cobit in ambiente bancario EUROS Consulting.

PubblicatoConcetta Colonna Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Presentazione presso AIEA Milano, 12 Ottobre 2001 Esperienze pratiche delluso di Cobit in ambiente bancario EUROS Consulting."— Transcript della presentazione:

1 Presentazione presso AIEA Milano, 12 Ottobre 2001 Esperienze pratiche delluso di Cobit in ambiente bancario EUROS Consulting

2 EUROS Consulting e la sicurezza Consulenza Club sul Computer Crime SecurityNet Antiriciclaggio Prodotti e formazione sulla sicurezza EUROS e lauditing dei sistemi informativi u Approccio metodologico u Liste di controllo (anche automatizzate) n Banca con automazione in proprio n Banca in outsourcing n Centro di outsourcing u Test specifici (test di penetrazione del sito Internet) u Comparazione (questionario sulla sicurezza dellABI) Comparazione u Formazione del personale

3 La metodologia CobiT (Control OBjectives for Information and related Technology) u Standard generalmente applicabile e accettato 1 per una buona pratica dellInformation Technology u Sviluppata da ISACA u Caratteristiche del progetto CobiT n pragmatico n rispondente alle esigenze aziendali n indipendente dalla piattaforma tecnica di IT adottata n riferimento a standard di qualità internazionali (ITSEC, TCSEC, ISO9000) 1 Termine usato in relazione ai General Accepted Accountig Principles (Principi di riferimento professionale della revisione nel mondo anglosassone)

4 Schema di riferimento u Classificazione dei domini e dei processi dove si applicano gli obiettivi di controllo di alto livello u Formulazione dei requisiti di business relativi alle informazioni di quel dominio u Individuazione delle risorse coinvolte in via principale dallobiettivo di controllo (più di 300 obiettivi di controllo di dettaglio)

5 u Auditors u Utenti u Managers Destinatari Risorse IT Dati Applicazioni Tecnologia Risorse umane Infrastrutture Fiducia Qualità Sicurezza Criteri delle informazioni Domini Processi Attività u Consigliare la Direzione sui controlli interni u Ottenere la garanzia di sicurezza e controllo sui processi u Supporto al bilanciamento tra rischi e investimenti nei controlli

6 CobiT: i domini dellIT

7 CobiT: summary table

8 u Gli obiettivi di controllo di alto livello e quelli di dettaglio sono verificati: n Ottenendo la conoscenza mediante interviste al Management e allo staff su l struttura organizzativa, ruoli e responsabilità l politiche/procedure, leggi/regolamenti l misure di controllo in uso n Valutazione dei controlli n Valutazione della conformità n Definizione del rischio CobiT: Linee guida di audit

9 CobiT: novità della terza edizione u Adeguamento di alcuni obiettivi di controllo u Introduzione delle Management Guidelines n Balanced Business Scorecard n Maturity Model

10 Applicazione della metodologia CobiT: progetti di miglioramento e sviluppo della funzione di ICT Auditing Esempio 1 (Automazione in proprio) u Benchmark n Riferimento questionario ABI n Ruolo dellICT Auditing u Illustrazione della metodologia CobiT u Individuazione dei processi e analisi degli obiettivi di controllo Individuazione dei processi e analisi degli obiettivi di controllo n Sicurezza dei sistemi - Controllo degli accessi. Auditing RACF. Verifica matrice degli accessi Sicurezza dei sistemi n Gestione della configurazione Gestione della configurazione u Analisi dellapplicazione n Questionario controllo accessi applicazioni Questionario controllo accessi applicazioni

11 Applicazione della metodologia CobiT: progetti di miglioramento e sviluppo della funzione di ICT Auditing Esempio 2 (Outsourcing dei sistemi informativi) Prima fase (outsourcing completo verso polo di outsourcing) u Illustrazione della metodologia CobiT u Analisi Cobit delle procedure di interfaccia con outsourcer n 17 processi utilizzati n analisi specifica (anche CobiT) del contratto Seconda fase (outsourcing fm, am e tlc con diversi fornitori) u Individuazione dei processi e analisi degli obiettivi di controllo n Gestione dei fornitori n Installare e collaudare i sistemi n Assicurare la continuità del servizio n Assistere e consigliare gli utenti n Gestire i problemi e gli incidenti n ………. u Convergenza con analisi rischi operativi (ABI) n Indicatori di performance u Manuale su Web di ICT Auditing Manuale su Web di ICT Auditing

12 Applicazione della metodologia CobiT: progetti di miglioramento e sviluppo della funzione di ICT Auditing Esempio 3 (Outsourcing dei sistemi informativi) u Illustrazione della metodologia CobiT u Analisi dello stato aziendale dei processi CobiT u Selezione dei processi (esigenze azienda e indicazioni Bankit) n Gestione dei fornitori l analisi specifica (anche CobiT) del contratto n Garantire la sicurezza dei sistemi l checklist personalizzata da CobiT checklist personalizzata da CobiT n …………...

13 In sintesi u Applicazione di una metodologia standard u Rispetto delle disposizioni dellOrgano di Vigilanza e di legge u Adattamento a tutte le configurazioni gestionali dellinformatica aziendale

14 Fine presentazione Esperienze pratiche delluso di Cobit in ambiente bancario

15 Comparazione

16 Pianificazione e organizzazione u In questo dominio rientrano le strategie e le tattiche e ci si occupa principalmente dellidentificazione della via attraverso la quale lIT può meglio contribuire al perseguimento degli obiettivi aziendali u Inoltre per realizzare la visione strategica è necessario pianificare, comunicare e gestire le diverse prospettive. u Infine deve essere costituita una adeguata organizzazione come pure una infrastruttura tecnologica

17 Pianificazione e organizzazione: i processi u Definire un piano strategico per lIT u Definire larchitettura dei dati u Definire lindirizzo tecnologico u Definire lorganizzazione IT e le sue relazioni u Gestire gli investimenti nell IT u Comunicare gli indirizzi e gli obiettivi del management u Gestire le risorse umane u Assicurare la conformità a leggi e norme esterne u Valutare i rischi u Gestire i progetti u Gestire la qualità

18 Acquisizione e implementazione u Per realizzare la strategia informatica, le soluzioni tecniche debbono essere individuate, sviluppate o acquisite come pure implementate e integrate nei processi aziendali u Inoltre le modifiche e la manutenzione ai sistemi esistenti sono considerate in questo dominio

19 u Identificare le soluzioni automatizzate u Acquisire e manutenere il software applicativo u Acquisire e manutenere le infrastrutture tecnologiche u Sviluppare e manutenere le procedure u Installare e collaudare i sistemi u Gestire le modifiche Acquisizione e implementazione: i processi

20 Erogazione e supporto u In questo dominio si considera il rilascio del servizio richiesto, le attività considerate spaziano dalla tradizionale Sala macchine agli aspetti di sicurezza e continuità, alla formazione, ai processi di assistenza

21 u Definire e gestire i livelli di servizio u Gestire i fornitori u Gestire le prestazioni e le potenzialità delle risorse (tecniche) u Garantire la continuità del servizio u Garantire la sicurezza dei sistemi u Identificare e attribuire i costi u Formare e addestrare gli utenti u Assistere e supportare gli utenti IT u Gestire la configurazione u Gestire i problemi e gli incidenti u Gestire i dati u Gestire le infrastrutture u Gestire le attività operative Erogazione e supporto: i processi

22 Monitoraggio u Tutti i processi informatici hanno bisogno di essere regolarmente e periodicamente valutati sotto laspetto della qualità e del soddisfacimento dei requisiti di controllo

23 Monitoraggio: i processi u Monitorare i processi u Valutare ladeguatezza del controllo interno u Ottenere valutazioni indipendenti u Assicurarsi un audit indipendente

24 Risorse u Dati n interni/esterni, strutturati/non strutturati, grafici, ecc. u Applicazioni n sistemi comprensivi di procedure manuali/automatizzate u Tecnologie n hardware, sistemi operativi, DBMS, networking, multimedia,... u Infrastrutture n CED u Risorse umane n conoscenze/professionalità da pianificare/organizzare per acquisire/fornire/gestire/governare il S.I. e i servizi relativi

25 Requisiti aziendali per le informazioni u Efficacia u Efficienza u Riservatezza u Integrità u Disponibilità u Conformità u Affidabilità delle informazioni

26 Gestire la configurazione u Possibili rischi n Non è possibile individuare un oggetto perché non è nota la sua libreria ufficiale n Utilizzo non conforme di un oggetto (versione) n Utilizzo di un oggetto non coerente con lambiente (versione) n Modifica di un oggetto non autorizzata n Gestione di un oggetto dipendente dallautore n Ridondanza delle copie con possibile utilizzo errato n Ridondanza delle copie con possibile eccessivo consumo di risorse

27 Gestire la configurazione u Evidenze richieste n Standard n Inventario hw n Inventario sw base n Inventario/topologia rete n Inventario ambienti operativi n Inventario applicazioni

28 Analisi degli obiettivi di controllo u Elencazione degli obiettivi di controllo di dettaglio u Per ciascun obiettivo di dettaglio - descrizione dei rischi - verifiche effettuate - descrizione dei controlli - individuazione dei punti di forza/debolezza - piano di miglioramento u Storicizzazione dellesito dellanalisi per successivi confronti

29 Garantire la sicurezza dei sistemi: gli obiettivi di controllo di dettaglio u Autenticazione e accesso u Sicurezza dellaccesso ai dati on line u Gestione profilo utente Gestione profilo utente u Gestione della revisione dei profili utente u Classificazione dei dati u Identificazione centralizzata e gestione degli accessi corretti u Rapporti relativi alle attività di sicurezza e alle violazioni u Trattamento degli incidenti u Riconferma (re-accreditation) u Chiavi pubbliche di crittografia u Sicurezza dei moduli crittografici (criptographic modules) u Gestione delle chiavi di crittografia u Prevenzione e scoperta dei virus u ………..

30 Obiettivi di controllo di dettaglio: la gestione del profilo utente u DS5.3 - Gestione profilo utente n La Direzione dovrebbe stabilire una procedura per assicurare unazione tempestiva relativamente alla richiesta, definizione, emissione, chiusura di profili utente. Una procedura formalmente approvata dovrebbe essere inclusa per concedere i privilegi di accesso ai dati ed ai sistemi proprietari. u DS5.4 - Gestione della revisione dei profili utente n La Direzione dovrebbe avere un processo di controllo in atto per rivedere e confermare periodicamente gli accessi corretti.

31 Questionario controllo accesso applicazioni u Informazioni anagrafiche sullapplicazione u Dimensioni dellapplicazione u Caratteristiche: decentramento e circolarità u Controllo abilitazioni u Funzionalità operative u Ambito territoriale e autonomie u Password u Registrazione accessi u Sensitività, parametri delle sessioni, reportistica

32 Contenuti del manuale di ICT Auditing u Rischio n Evento pregiudizievole n Risk driver n Categoria di rischio n Esposizione assoluta u Obiettivo di controllo n Verifiche di 1° e 2° livello (da linee guida di audit) 4 Strutture organizzative interessate 4 Norme esistenti 4 Periodicità 4 Tipo verificatore u Situazione rilevata n Adeguamenti u Indicatori predittivi

Scaricare ppt "Presentazione presso AIEA Milano, 12 Ottobre 2001 Esperienze pratiche delluso di Cobit in ambiente bancario EUROS Consulting."

Presentazioni simili

Seminario: La nuova frontiera della sicurezza: i sistemi di gestione

Seminario: "La nuova frontiera della sicurezza: i sistemi di gestione"
Forum PACObIT 4.1 AIEA Roma 21.5.2007 Leonardo Nobile 1 AIEA Associazione Italiana Information Systems Auditor ISACA Milan Chapter C OBI T ® 4.1 Leonardo.

Forum PACObIT 4.1 AIEA Roma Leonardo Nobile 1 AIEA Associazione Italiana Information Systems Auditor ISACA Milan Chapter C OBI T ® 4.1 Leonardo.
CENTRO RETE QUALITA' UMBRA

CENTRO RETE QUALITA' UMBRA
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
L’EVOLUZIONE DEL RUOLO DELL’INTERNAL AUDITING IN BANCA

L’EVOLUZIONE DEL RUOLO DELL’INTERNAL AUDITING IN BANCA
La progettazione secondo la norma internazionale ISO 9001

La progettazione secondo la norma internazionale ISO 9001
A cura del PROGETTO QUALITA Ministero dellIstruzione, dellUniversità e della Ricerca Ufficio Scolastico Regionale per la Campania Direzione Generale VERSO.

A cura del PROGETTO QUALITA Ministero dellIstruzione, dellUniversità e della Ricerca Ufficio Scolastico Regionale per la Campania Direzione Generale VERSO.
Q REQUISITO ISO 9000:2000 Esigenza o aspettativa che può essere

Q REQUISITO ISO 9000:2000 Esigenza o aspettativa che può essere
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:

Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
ValutaPASSI Gruppo Tecnico PASSI Nazionale Centro Nazionale di Epidemiologia, Sorveglianza e Promozione della Salute (ISS) Incontro Coordinamento Nazionale,

ValutaPASSI Gruppo Tecnico PASSI Nazionale Centro Nazionale di Epidemiologia, Sorveglianza e Promozione della Salute (ISS) Incontro Coordinamento Nazionale,
AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.

AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.
IL PROCESSO DI REVISIONE AZIENDALE

IL PROCESSO DI REVISIONE AZIENDALE
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.

Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
CNIPA 10 maggio 2006 1 Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.

CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.
Claudia Gistri Area Ambiente e Sicurezza CERTIQUALITY S.R.L. IL SISTEMA DI EMISSION TRADING PER I GAS AD EFFETTO SERRA Milano, 8 Marzo 2005 La verifica.

Claudia Gistri Area Ambiente e Sicurezza CERTIQUALITY S.R.L. IL SISTEMA DI EMISSION TRADING PER I GAS AD EFFETTO SERRA Milano, 8 Marzo 2005 La verifica.
MILLEGPG uno strumento per migliorare e migliorarsi

MILLEGPG uno strumento per migliorare e migliorarsi
PROGETTO:Verona Aziende Sicure 2006 Verona, 23 marzo 2007 APPALTI E MANUTENZIONE Teoria e pratica.

PROGETTO:Verona Aziende Sicure 2006 Verona, 23 marzo 2007 APPALTI E MANUTENZIONE Teoria e pratica.
GESTIONE DEI SISTEMI INFORMATIVI IN AZIENDA

GESTIONE DEI SISTEMI INFORMATIVI IN AZIENDA
SISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING. OUTSOURCING La complessità delle tecnologie, levoluzione complessa, la necessità di semplificare lorganizzazione.

SISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING. OUTSOURCING La complessità delle tecnologie, levoluzione complessa, la necessità di semplificare lorganizzazione.

Presentazioni simili

Annunci Google