Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

Transcript

1 Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security Jonathan Brera Venezia Mestre, 26 Ottobre

2 Agenda Introduzione La protezione delle informazioni in ambito aziendale Il ruolo del Chief Information Security Officer Le prime fasi del CISO Key messages Q&A 2

3 Introduzione Il network KPMG in Italia KPMG Advisory S.p.A. Servizi di consulenza direzionale professionisti Servizi di revisione e organizzazione contabile professionisti KPMG S.p.A. KPMG Fides Servizi di Amministrazione S.p.A. Servizi amministrativi alle imprese 180 professionisti Servizi di forensic accounting e supporto alla revisione interna 30 professionisti KPMG Audit S.p.A. Nolan, Norton Italia S.r.l. Servizi di consulenza strategica IT 60 professionisti non solo società di audit Servizi legali e fiscali rivolti alle imprese, di natura amministrativa/societaria e straordinaria 330 professionisti KStudio Associato 3

4 Introduzione KPMG Advisory Con oltre professionisti e 11 sedi, KPMG Advisory è oggi il leader di mercato in Italia tra le Big Four KPMG Advisory è una realtà profondamente compenetrata ed attiva all interno del tessuto economico nazionale Terziarizzazione dei processi produttivi, internazionalizzazione, innovazione tecnologica, cambiamento organizzativo: KPMG Advisory è il partner di riferimento delle imprese Padova Aosta Milano Torino Verona Bologna Genova Firenze Roma Napoli Palermo 4

5 Introduzione I servizi di consulenza di KPMG Advisory Servizi Business Performance Services IT Advisory Transaction & Restructuring Financial Risk Management Risk & Compliance Forensic Restructuring Accounting Advisory Services Corporate Finance Food & Beverage Settore tessile e moda Retail Consumer & Industrial Markets Automotive Farmaceutico Energy Transportation Media Istituzioni pubbliche nazionali Istituzioni pubbliche locali Public Sector & Infrastructures Enti territoriali Aziende sanitarie Financial Sector Istituzioni Bancarie e Finanziarie Assicurazioni Real Estate 5

6 Introduzione La value proposition di IT Advisory IT Strategy and Performance Security and IT Risk & Compliance IT Solutions IT Strategy and Plan IT Architecture & Innovation Strategic Sourcing IT Governance and Organization Post Merger Integration IT Attestation & Compliance Information Protection & Business Resilience IT Audit IT Risk Management Identity & Access Management IT Due Diligence Business Intelligence & Performance Management ERP Solutions Business Process Management Platform Collaboration & Knowledge Management Multimedia Integrated Platform IT Project Advisory 6

7 La protezione delle informazioni in ambito aziendale Il contesto operativo attuale GENERAL ECONOMIC CONTEXT Economical crisis Budget constraints Internal conflicts BYOD CULTURAL CONTEXT Social networks use Complexity LEGAL CONTEXT Large Office Automation Cloud solutions TECHNOLOGICAL CONTEXT Big Data Management Digitalization trend New tech. and connections Mobile devices 7

8 La protezione delle informazioni in ambito aziendale Data & information: critical resource and critical areas Autenticità ed affidabilità dei dati e delle informazioni Utilizzo improprio di devices Accessi non autorizzati Utilizzo delle informazioni non conforme alle normative vigenti DATA & INFORMATION Gestione inaccurata delle informazioni Limitato governo degli aspetti di sicurezza per i servizi esternalizzati Hacking Insider threat Careless talking 8

9 La protezione delle informazioni in ambito aziendale Le maggiori cause di incidenti legate alle informazioni Riferimento: by KPMG International 9

10 La protezione delle informazioni in ambito aziendale La protezione delle informazioni Sicurezza STRATEGIA BUSINESS Sicurezza PERSONE La sicurezza delle informazioni è strettamente connessa a tutti gli aspetti legati: IT Sicurezza PROCESSI e ORGANIZZAZIONE Sicurezza TECNOLOGIA - al business - all infrastruttura tecnologica Inoltre rappresenta un requisito necessario a tutti i livelli di ogni organizzazione. Sicurezza INFRASTRUTTURE 10

11 Il ruolo del CISO Ruoli e responsabilità della sicurezza delle informazioni AD ICT Direzione 1 Sicurezza 2 Direzione 3. CISO Chief Information Securit Officer Governance Operation perché riguardante aspetti.. Tecnologici Fisici Organizzativi e procedurali Culturali 11

12 Il ruolo del CISO Il CISO Al fine di stabilire un collegamento diretto e costante tra le strategie di Security e gli obiettivi aziendali le leading practice definiscono un modello organizzativo che attribuisce al CISO specifiche responsabilità in tema di sicurezza, quali: La definizione ed il mantenimento di un sistema di gestione della sicurezza delle informazioni (ISMS) La definizione di una strategia di sicurezza delle informazioni in linea con il business aziendale Il miglioramento dell efficacia e dell efficienza della funzione aziendale di sicurezza tramite training del personale predisposizione di documentazione formale e automatizzazione dei processi La raccolta e l analisi dei dati relativi alle prestazioni e alla conformità in materia di sicurezza delle informazioni La ricerca e la definizione dei requisiti di sicurezza e l individuazione di potenziali minacce Lo sviluppo di policy e procedure di sicurezza Possibili driver per creazione CISO Imposizione normativa Imposizione da iniziative di assurance Percezione di valore per il business del ruolo Accadimento di incidenti 12

13 Le prime fasi del CISO Cosa fare? Approccio strutturato che evidenzia la necessità di considerare i seguenti elementi Strategie aziendali e delle iniziative ritenute chiave / critiche Programmi evolutivi tecnologici Appetito al rischio aziendale Risorse allocate Risultati attesi Il punto di partenza sono le strategie di business e poi, in derivazione, quelle dei sistemi IT. Source: 13

14 Le prime fasi del CISO quali processi? pur avendo chiari gli obiettivi e le priorità su quali processi deve essere coinvolto il CISO? il CISO non è coinvolto solamente nell ambito del processo DS07 (Manage information Security). ma è anche informato in molti altri processi di tutti i domini (Evaluate, Direct and Monitor incluso) Matrici RACI fortemente coinvolto nei processi di determinazioni dei framework (e.g. nel processo AP001 Define the management framework for IT) e almeno consultato nella definizione delle strategie 14

15 Le prime fasi del CISO L approccio proposto ed il COBIT 5 for Security Una volta determinati gli obiettivi di sicurezza degli stakeholders è necessario adottare un approccio ciclico per l indirizzamento ed il governo degli aspetti di sicurezza delle informazioni Diverse caratteristiche delle attività individuate Necessità di ottenere immediatamente risultati e committment Plan Act Do Source: Check 15

16 Le prime fasi del CISO Dove siamo le dimensioni di analisi La seconda fase dell approccio ciclico proposto prevede la determinazione della situazione iniziale Le dimensioni da analizzare secondo il COBIT sono identificabili negli elementi Enabler del modello E.g. 1. Che livello di strutturazione dei processi aziendali? 2. Quali aree di sicurezza sono indirizzate con tali processi? E.g. 1. Quanto è radicata in ambito aziendale l attenzione alla protezione delle informazioni? 2. Quanto è importante la sicurezza nel settore di riferimento? E.g. 1. Sono state infividuate le informazioni chiave ed i loro requirement di sicurezza? 2. È definito un approccio per l assett management? E.g. 1. Quali specifiche competenze sono disponibili in azienda? 2. Quanto sono formate le persone in termini di protezione delle informazioni 16

17 Le prime fasi del CISO Le dimensioni di analisi Sulla base di tale modello olistico, l approccio proposto prevede un primo quick assessment, mediante checklist strutturate per la valutazione dei 7 elementi abilitatori Processes Organisational Structures Culture, Ethics and Behaviour Principles, policies and framework Information Services, infrastructures and applications People, skills and competences 17

18 Le prime fasi del CISO e l avvio delle attività Oltre ad un possibile approccio per la determinazione della situazione iniziale, COBIT 5 for Information Security offre altresì ulteriori spunti interessanti da tenere in considerazione all attuazione delle eventuali azioni di miglioramento individuate: Correlazione a benefici di business - Associare ad ogni iniziativa i benefici attesi e le misure correlate - Utilizzo degli Enablers a supporto per spiegare meglio gli impatti Ottenimento di committment dalle fasi iniziali delle risorse chiave - Identificazione dei soggetti chiave per il committment di progetto - Allineamento del framework di sicurezza ai framework gestiti da altre funzioni aziendali (risk management, audit, legal ) Identificazione di Pain Points e trigger events - Risultati di attività di verifica - Incidenti e problemi - Modifiche del contesto normativo del settore 18

19 Q&A Riferimenti Jonathan Brera Manager Information Risk Management KPMG Advisory S.p.A. Tel.: