La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Componenti del modello

PubblicatoEgidio Corradini Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Componenti del modello"— Transcript della presentazione:

0 Dott. Manuele Cavallari, CISA, CISM, LoCSI
"L'implementazione di un modello di sicurezza in ambito bancario: l'esperienza multinazionale di Banca Antonveneta"  Dott. Manuele Cavallari, CISA, CISM, LoCSI Responsabile IT Security Office – Consorzio Operativo Gruppo Montepaschi

1 Componenti del modello
Elementi costitutivi del modello multinazionale sono: Politiche e procedure molto articolate e puntuali Definizione chiara di ruoli, responsabilità e attività Forte commitment del management Strutture globali e regionali di supporto Coinvolgimento del Security Office nel ciclo di vita di applicazioni ed infrastrutture Approccio Risk Oriented Misurazione periodica dei risultati

2 Politiche e procedure

3 Struttura Organizzativa

4 IS policy and standards
Modello Operativo (1/3) Service Task Brief description IS policy and standards Policy Review Represent EMEA IS requirements during the development of information security policy Local Policy Governance Co-ordinate the identification of security requirements related to local legislation and regulation IT Policy Dispensation Management Co-ordinate the management of IS risks that are non-compliant with policies Security architecture and standards implementation Provide security architecture and standards to aid IT when designing a system IS Program Management Security Solutions Co-ordination Facilitate the identification and the utilisation of global and regional shared security solutions IS risk management Technology Risk Assessment Process (TRAP) delivery Identification of risks related to IT Applications, infrastructure and processes and management of their remediation Asset Classification (CIA) maintenance Facilitate the understanding of IT system value through classification according to confidentiality, integrity and availability Change control Approval Provide Change Advisory Board representation to help prevent the implementation of significant changes without adequate understanding of the IS risks Audit Issue Management and Resolution Supervise the management of audit issues that are related to information security

5 Modello operativo (2/3) Service Task Brief description
Threat and vulnerability management Internal Vulnerability Management Perform specialist scanning of IT Systems to monitor and remediate against technical IT threats and vulnerabilities External Vulnerability Management Perform specialist scanning of Internet Systems to monitor and remediate against technical IT threats and vulnerabilities Wireless scanning and remediation Perform specialist scanning to identify unapproved wireless network technology in use in the bank buildings Security Controls Monitoring Review the effectiveness of local security devices, tools and processes. Incident Detection and Management Security Event Monitoring Provide first line response for local events identified by the bank’s global security monitoring tools Security Incident Management Co-ordinate the Local Computer Incident Response Team for reported IS incidents Forensics and fraud investigation support Provide IS support and expertise during investigation where fraudulent / criminal activity is suspected Identity and access management Access Control Administration (ACA) Governance Review local IT systems access control administration processes and tools Generic high privilege account monitoring Co-ordinate the management of powerful system accounts

6 Modello Operativo (3/3) Service Task Brief description
Group Legal, regulatory and compliance Mgmt IT requirements coordination for Data Privacy and Banking secrecy Co-ordinate the identification of local legal and regulatory requirements that impact data privacy and banking secrecy Knowledge, awareness and education Security Awareness Co-ordination of staff and related 3rd parties information security training Security Advice and Guidance Provide Information Security subject matter expert consultancy

7 Strutture globali e regionali di supporto
Ricerca e Sviluppo Vulnerability Assessment Penetration Test Risk Assessment Revisione, adeguamento di Politiche e Procedure

8 Commitment del Management
La sicurezza delle informazioni come un obiettivo condiviso di tutta l’azienda Responsabilità specifiche assegnate ad ognuno degli attori dei diversi processi La responsabilità finale in termini di sicurezza è assegnata al Management e a scendere ai Business Owners La sicurezza non è una questione tecnica, relegata nell’ambito degli specialisti, la cui responsabilità deve essere condivisa a diversi livelli. ISO analizza i livelli di rischio e le contromisure da porre in essere e i BO decidono se accettare o mitigare i rischi emersi. In caso di rischi particolarmente elevati, una eventuale accettazione deve avere l’approvazione di un comitato speciale del Top Management. Sono definite puntualmente le responsabilità ed i compiti delle diverse strutture aziendali, e i BO sono incentivati a chiedere il supporto di ISO per ridurre al minimo i rischi di cui sono responsabili.

9 Security nel ciclo di vita di applicazioni ed infrastrutture
Ogni nuova applicazione e/o infrastruttura viene sottoposta al vaglio di un Risk Assessment Esatta percezione di quali rischi vengono introdotti Eventuali contromisure implementate in una fase iniziale (con costi e impatti minori) Change Board che approva il passaggio in produzione di applicazioni/infrastrutture con un rappresentante di ISO, che può esercitare il diritto di veto, qualora queste non abbiano superato i requisiti minimi o non sia stata controfirmata l’accettazione/mitigazione dei rischi rilevati da parte del BO. ISO viene coinvolto sin dalle prime fasi nei diversi progetti per poter fornire consulenza, fare le valutazioni del rischio, proporre mitigazioni e partecipa a pieno titolo in tutte le fasi del ciclo di vita di applicazioni/infrastrutture

10 Approccio Risk Oriented
L’approccio Risk Oriented consiste nel perseguire la sicurezza delle informazioni attraverso un corretto processo di gestione del rischio. È necessario perciò che sia implementato un processo continuativo di analisi del rischio per aumentare o mantenere il livello di sicurezza delle informazioni. Il processo di Risk Assessment consente di applicare, a seconda della criticità dell’asset, un set più o meno approfondito di controlli per la valutazione effettiva del rischio. Una volta definiti i livelli di rischio per i diversi asset, si definiscono le contromisure per abbattere i rischi

11 Misurazione periodica dei risultati
Ambito Attività Vulnerabilità interne rilevate interne corrette esterne rilevate esterne corrette applicative rilevate applicative corrette Penetration test svolti Vulnerabilità rilevate da PTest Vulnerabilità corrette Analisi e Gestione del Rischio Risk Assessment conclusi Mitigation effettuate/in corso Mitigation pianificate Incident Management Gestione degli incidenti di sicurezza Controllo Accessi Richieste EEP (pwd privilegiate) Altro Catalogazione asset Partecipazione/supporto negli Audit Local security policies create

12 Il modello di sicurezza del Gruppo Montepaschi
Focus nazionale di Montepaschi Elementi del modello in valutazione: Impostare e definire un set di policy di sicurezza sufficientemente articolato; Rivedere e/o definire i processi a supporto della sicurezza in maniera puntuale; Implementare un approccio basato sulla gestione del rischio su ampia scala nell’ambito del Gruppo Montepaschi.

Scaricare ppt "Componenti del modello"

Presentazioni simili

Piano di Formazione per la Riqualificazione del Personale

Piano di Formazione per la Riqualificazione del Personale
Progetto introduzione

Progetto introduzione
INTRODUZIONE ALL’ITIL Information Technology Infrastructure Library

INTRODUZIONE ALL’ITIL Information Technology Infrastructure Library
Benchmark dei modelli organizzativi della sicurezza

Benchmark dei modelli organizzativi della sicurezza
Mills Monica Galiano Specialista Sicurezza Tivoli IBM SW Group

Mills Monica Galiano Specialista Sicurezza Tivoli IBM SW Group
A. M. Tammaro Bibliocomm 2003 Linee guida per la digitalizzazione Perché ne abbiamo bisogno? Anna Maria Tammaro.

A. M. Tammaro Bibliocomm 2003 Linee guida per la digitalizzazione Perché ne abbiamo bisogno? Anna Maria Tammaro.
L’ANALISI E LA VALUTAZIONE DELL’ IMPATTO

L’ANALISI E LA VALUTAZIONE DELL’ IMPATTO
OA: nuovo modello organizzativo ed operativo delle Access Operations Area Roma, aprile 2012 PROPRIETARY & CONFIDENTIAL_FOR INTERNAL USE ONLY.

OA: nuovo modello organizzativo ed operativo delle Access Operations Area Roma, aprile 2012 PROPRIETARY & CONFIDENTIAL_FOR INTERNAL USE ONLY.
Information Technology

Information Technology
APPROFONDIMENTI SPECIALISTICI: 15.1) La valutazione dell'impatto delle politiche pubbliche e degli investimenti pubblici nella prospettiva aziendale Dr.

APPROFONDIMENTI SPECIALISTICI: 15.1) La valutazione dell'impatto delle politiche pubbliche e degli investimenti pubblici nella prospettiva aziendale Dr.
CNIPA 10 maggio 2006 1 Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.

CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.
La valutazione delle performance e delle competenze Scuola Romana di Psicologia del Lavoro e dell’Organizzazione II anno - Laboratorio di Valutazione.

La valutazione delle performance e delle competenze Scuola Romana di Psicologia del Lavoro e dell’Organizzazione II anno - Laboratorio di Valutazione.
22-11-2001 P. Capiluppi Organizzazione del Software & Computing CMS Italia I Workshop CMS Italia del Computing & Software Roma 22-23 Novembre 2001.

P. Capiluppi Organizzazione del Software & Computing CMS Italia I Workshop CMS Italia del Computing & Software Roma Novembre 2001.
Control and Risk Self Assessment – CRSA. Il caso Telecom.

Control and Risk Self Assessment – CRSA. Il caso Telecom.
05/02/2014 Versione:1.0 RUO-FCRSI Progetti formativi di Sicurezza ICT Piani di Sicurezza ICT – Formazione a supporto.

05/02/2014 Versione:1.0 RUO-FCRSI Progetti formativi di Sicurezza ICT Piani di Sicurezza ICT – Formazione a supporto.
PROGETTO “QUALITA’ ORGANIZZAZIONE E SICUREZZA”

PROGETTO “QUALITA’ ORGANIZZAZIONE E SICUREZZA”
Chief Information Office/ SRTLC Luglio 2008 Progetto di sperimentazione Telelavoro Chief Information Office Progetto di sperimentazione Telelavoro Chief.

Chief Information Office/ SRTLC Luglio 2008 Progetto di sperimentazione Telelavoro Chief Information Office Progetto di sperimentazione Telelavoro Chief.
La qualità dei controlli come strumento di mitigazione del capitale assorbito Massimiliano Forte.

La qualità dei controlli come strumento di mitigazione del capitale assorbito Massimiliano Forte.
PROGETTO SECURITY ROOM

PROGETTO SECURITY ROOM
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.

BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.

Presentazioni simili

Annunci Google