COBIT 5® – 2013 . . . ed oltre

Alberto Piamonte

Research Director AIEA MI

Sessione di Studio 15 novembre 2013 Milano

2

Argomenti

della Sessione

� Manuali disponibili ad oggi

� COBIT5 esperienze pratiche

• Come «raccontarlo»• Come usarlo

� Riconoscimenti

� Formazione

� Gruppi di Ricerca

� Q&A

3

• A che punto siamo con le pubblicazioni ?

14/11/2013 3

4

14/11/2013 4

� Framework

� Implementation

Guide

� Enabling

Processes

5

14/11/2013 5

� Information

Security

6

14/11/2013 6

� Assessment (1)

� Process

Assessment

� Assessor Guide

� Self Assessment

Guide

1 – Gli stessi manuali sono disponibili (4 ottobre 2011) anche per CobiT 4.1 – versione «ISO 15504-2»

7

14/11/2013 7

� Information

Security

8

14/11/2013 8

25 settembre 2013

� Information

Security

9

13 novembre 2013

14/11/2013 9

10

14/11/2013 10

11

COBIT5®

Product

Family

12

Pubblicazioni COBIT5 (15/11/2013)

14/11/2013 12

DocumentoPagg

SociAIEA

non soci

COBIT 5 Framework 94

COBIT 5 Enabling Processes 230 $135,00

COBIT 5 Implementation + tool kit 78 $150,00

COBIT 5 for Information Security 220 $35,00 $175,00

COBIT 5 for Assurance 318 $35,00 $175,00

COBIT 5 for Risk 216 $35,00 $175,00

COBIT Assessment Programme

COBIT Process Assessment Model (PAM): Using COBIT 5 144 $40,00

COBIT Assessor Guide: Using COBIT 5 52 $30,00 $80,00

COBIT Self-Assessment Guide: Using COBIT 5 + tool kit 24 $40,00

COBIT 5: Enabling Information 90 $135,00

COBIT Translations (?)

COBIT 5 Online (4 Q 2013 / 2014)

Vendor Management Using COBIT 5

Configuration Management Using COBIT 5 88 $55,00

Transforming Cybersecurity Using COBIT 5 190 $35,00 $60,00

Securing Mobile Devices Using COBIT 5 for Information Security 138 $75,00

Security Considerations for Cloud Computing 80 $75,00

(Appendix C. Mapping Threats and Mitigating Actions to COBIT 5 for Information Security)

Security-Considerations-Cloud-Computing-Tool-Kit

Advanced Persistent Threats: How To Manage The Risk To Your Business 132 $35,00

2094 $170,00 $1.405,00

13

Chi riconosce

COBIT5 ?Regulatory and Legislative Recognition

� USA, Canada, India, Giappone,

Brasile, Argentina, Australia,

UAE - Dubai, Colombia, Costa

Rica, Mexico, Paraguay,

Uruguay, Venezuela, Grecia,

Lithuania, Romania,

� EU riconosce il COBIT come

Framework

� Turchia

� Sud Africa

� Russia ???

� PRC ???

14

Raccontare

COBIT5 ®

15

COBIT5®

«UNIVERSAL» Framework

Perché

BeneficiBenefici

Evitare

Rischi

Evitare

Rischi

Gestione

ottimale

Risorse

Gestione

ottimale

Risorse

Interventi

Dove operare

• Processi

• Principi – Policies –Frameworks

• Sistemi

• Persone

• Organizzazione

• Informazioni disponibili

• Cultura / etica

Dove operare

• Processi

• Principi – Policies –Frameworks

• Sistemi

• Persone

• Organizzazione

• Informazioni disponibili

• Cultura / etica

Come operare

• Pratiche / Attività Base

• Consolidate e universal-mente accettate

• Riferimento ai principali Standard

• Priorità in funzione obiettivi di business

Come operare

• Pratiche / Attività Base

• Consolidate e universal-mente accettate

• Riferimento ai principali Standard

• Priorità in funzione obiettivi di business

Quando

GovernoGoverno

Pianificazione

Organizzazione

Pianificazione

Organizzazione

Impostazione

Definizione

Soluzioni IT

Impostazione

Definizione

Soluzioni IT

Erogazione Servizi SupportoErogazione Servizi Supporto

Misura e ControlloMisura e Controllo

Attori

CDACDA

BusinessBusiness

IT / ISIT / IS

ControlloControllo

. . . . . In modo strutturato e connesso. . . . .

Governance : Risk Based Approach

16

Frameworks

NIST Cybersecurity Framework

The Framework Core is not a checklist of activities to perform;

it presents key cybersecurity outcomes that are aligned with

activities known to manage cybersecurity risk. These activities

are mapped to a subset of commonly used standards and

guidelines.

BI : DISPOSIZIONI PRELIMINARI E PRINCIPI GENERALI

1. Premessa

Il sistema dei controlli interni è un elemento fondamentale del

complessivo sistema di governo delle banche; esso assicura che

l’attività aziendale sia in linea con le strategie e le politiche

aziendali ...................

La presente disciplina:

....... rappresenta la cornice generale del sistema dei controlli

aziendali

• Chech-box mentatlity

• Tactical & reactive

• Achieve point-in-time Compliance Certification

Compliance DrivenApproach

• Proactive & Holistic

• Continous Monitoring

• Proactive mentality

Risk-BasedApproach

17

Strumenti� Principi

� Enablers

� Goals

� Align

� Misura

Guide � Security

� Assessment

� Assurance

� Risk

� .....

Si

applica

Si studia

Si adatta

Guida

Implementazione

Guida

Implementazione

Governance

COBIT5®

«UNIVERSAL» Framework

Problem specific

Framework based on

COBIT5

• Info Security • Risk• Assurance

• Vendor Mgmt• Privacy EU• .....

18

COBIT 5®

�Due esempi di utilizzo

19

Esempio 1

Proposta Nuovo Regolamento

Europeo Protezione Dati

Personali

SECTION 3

RECTIFICATION AND ERASURE

Article 16

Right to rectification

The data subject shall have the right to obtain from the controller the

rectification of personal data relating to them which are inaccurate. The

data subject shall have the right to obtain completion of incomplete

personal data, including by way of supplementing a corrective statement.

È una: «Service request» che richiede una «Service capability», come ?

Area : Management - Domain : Deliver, Service and Support

DSS02 - Manage Service Requests and Incidents

Process DescriptionProvide timely and effective response to user requests and resolution of all types of incidents. Restore normal service; record and fulfill user requests; and record, investigate, diagnose, escalate and resolve incidents.

Valore aggiunto COBIT5 ……

20

DSS02 - Management Practices Description

DSS02.01 - Define incident and service

request classification schemes.Define incident and service request classification schemes and models.

DSS02.02 - Record, classify and

prioritise requests and incidents.

Identify, record and classify service requests and incidents, and assign a priority

according to business criticality and service agreements.

DSS02.03 - Verify, approve and fulfil

service requests.

Select the appropriate request procedures and verify that the service requests

fulfil defined request criteria. Obtain approval, if required, and fulfil the

requests.

DSS02.04 - Investigate, diagnose and

allocate incidents.

Identify and record incident symptoms, determine possible causes, and allocate

for resolution.

DSS02.05 - Resolve and recover from

incidents.

Document, apply and test the identified solutions or workarounds and perform

recovery actions to restore the IT-related service.

DSS02.06 - Close service requests and

incidents.Verify satisfactory incident resolution and/or request fulfilment, and close.

DSS02.07 - Track status and produce

reports.

Regularly track, analyse and report incident and request fulfilment trends to

provide information for continual improvement.

+ R

AC

I

21

.... activities

DSS02.01 - Define service request classification schemes (Output)

To Description

Internal• Incident and service request classification schemes and models

Internal• Rules for incident escalation

DSS02.01 - Activities

1. Define incident and service request classification and prioritisation schemes and criteria for problem registration, to ensure consistent

approaches for handling, informing users about and conducting trend analysis.

2. Define incident models for known errors to enable efficient and effective resolution.

3. Define service request models according to service request type to enable self-help and efficient service for standard requests.

4. Define incident escalation rules and procedures, especially for major incidents and security incidents.

5. Define incident and request knowledge sources and their use.

1. Define and communicate the nature and characteristics of potential security-related incidents so they can be easily recognised and their impact

understood to enable a commensurate response.

22

Solo per un

articolo ?

• Ci sono molte «istanze» per le quali è richiesta la capacità di erogare un servizio o gestire un incidente (DSS02)

Service Capabilities / Requests Art EU

Cancellazione automatica dati scaduti ( Art. 17) Article 17 - Right to be forgotten and to erasure - 7

Cancellazione dati su richiesta Article 17 - Right to be forgotten and to erasure

Communicate rect / erasure Artt 16 and 17 Article 13 - Rights in relation to recipients

Comunicazione relativa applicazione o meno Art 13, 15, 19

Article 12 - Procedures and mechanisms for exercising the rights of the data

subject - 2

Article 12 - Procedures and mechanisms for exercising the rights of the data

subject - 3

Confirmation Data are (are not) processed Article 15 - Right of access for the data subject

Consent withdraw Article 7 - Conditions for consent - 3

Data Breach notification to Data Subject Article 32 - Communication of a personal data breach to the data subject

Data breach notification to Supervisory Authority Article 31 - Notification of a personal data breach to the supervisory authority

Inform third parties that Personal Data are to be erased Article 17 - Right to be forgotten and to erasure

Privacy Awareness Article 37 - Tasks of the data protection officer - 1 - (b)

Restrict processing instead of erasure Article 17 - Right to be forgotten and to erasure - 4

Rettifica dati Article 16 - Right to rectification

Richiesta via informatica informazioni da parte interessato

(Art 12)

Article 12 - Procedures and mechanisms for exercising the rights of the data

subject - 1

Trasmit Copy of Data undergoing processing Article 18 - Right to data portability

…………………. …………….

23

Per le Aziende di qualsiasi dimensione ?

Dimensione

Piccola Si domanda al «Commecialista»

Media COBIT5 – DSS02

Grande COBIT5 – DSS02 +

+ ISO 15504 Capability Assessment

24

25

Uno schema

Setup

•Requisiti

•Call for tender

•Valutazione

•Shortlist

•Negoziazione

Contratto

•Accordo

•Deliverables

•Livelli di Servizio

•Metriche

•Costi

•Legale

Operations

•Avviamento

•Gestioneoperazioni

•Monitoring

Transition-out

•Phase out operativo

•Trasferimentodelle conoscenzee della gestioneoperativa al nuovofornitore

modifiche

Lo schema è utilizzabile per :

� Assegnare responsabilità

� Identificare minacce e valutare impatti associandole a relative azioni correttive

� Mappare il Processo sulla realtà aziendale

� Identificare Strumenti / Documenti di supporto (Enablers Information !)

Lo schema è utilizzabile per :

� Assegnare responsabilità

� Identificare minacce e valutare impatti associandole a relative azioni correttive

� Mappare il Processo sulla realtà aziendale

� Identificare Strumenti / Documenti di supporto (Enablers Information !)

Cambio contrattoCambio Fornitore

: life cycle !

26

Assegnare le responsabilità

27

Recent research reveals that approximately oneout of five enterprises (19 percent) does not invest sufficient effort to manage vendors and vendor-provided services effectively.

Recent research reveals that approximately oneout of five enterprises (19 percent) does not invest sufficient effort to manage vendors and vendor-provided services effectively.

Minaccia Rischio conseguente Impatto

T1 Vendor selection Financial, operational, reputational and legal/compliance

?

T2 Contract development Financial, operational and legal/compliance ?

T3 Requirements Financial, operational, reputational and legal/compliance

?

T4 Governance Financial, operational and legal/compliance ?

T5 Strategy Financial, operational and legal/compliance ?

Identificare minacce e

pesare i rischi

conseguenti

28

Per ogni minaccia

� Una o più azioni correttive

� Una indicazione agli enablers (1)

coinvolti

1 - Enablers:

1. Principles, policies and frameworks

2. Processes

3. Organizational structures

4. Culture, ethics and behaviour

5. Information

6. Services, infrastructure and applications

7. People, skills and competencies

29

Identificare minacce e valutare impatti

associandole a relative azioni correttive

Azione correttiva Minaccia T1 T2 T3 T4 T5

1 Diversify sourcing strategy to avoid overreliance or vendor lockin x

2 Establish policies and procedures for vendor management x

3 Establish a vendor management governance model x

4 Set up a vendor management organization within the enterprise x

5 Foresee requirements regarding the skills and competencies of the vendor employees x

6 Use standard documents and templates x

7 Formulate clear requirements x

8 Perform adequate vendor selection x

9 Cover all relevant life-cycle events during contract drafting x

10 Determine the adequate security and controls needed during the relationship x x

11 Set up SLAs x

12 Set up operating level agreements (OLAs) and underpinning contracts x

13 Set up appropriate vendor performance/service level monitoring and reporting x x

14 Establish a penalties and reward model with the vendor x

15 Conduct adequate vendor relationship management during the life cycle x

16 Review contracts and SLAs on a periodic basis x

17 Conduct vendor risk management x

18 Perform an evaluation of compliance with enterprise policies x

19 Perform an evaluation of vendor internal controls x

20 Plan and manage the end of the relationship x x

21 Use a vendor management system x x x x

22 Create data and hardware disposal stipulations x x

excel

31

COBIT5 «Vendor Management Framework»

Risk- Based approach ?

Cosa manca ?

Risk- Based approach ?

Cosa manca ?

Olistico !!!Olistico !!!

E gli altri enablers ?

21

3

11

4

5

1

4

Process Principles, Policies

and Frameworks

Information Services,

Infrastructure and

Applications

Organisational

Structures

Ethics, Culture and

Behaviour

People, Skills and

Competencies

34

Enabler

Information

� Call for Tender

� Vendor Contract

� Service Level Agreements

� SLAs Defined

� How to Create Successful SLAs

� SLA Common Pitfalls

� Benefits of Effective Service Level

Management

� OLAs and Underpinning Contracts

�Managing a Cloud Service Provider

� Excerpt From Security Considerations

for Cloud Computing

� Appendix A. Vendor Selection

Dashboard

� Criteri (pesati) di selezione

� Appendix B. Call for Tender Template

� Appendix C. Call for Tender Checklist

� Appendix D. Drafting the Contract:

High-level Legal Checklist for Non-

legal Stakeholders

� Appendix E. Example Contract

Template

� Appendix F. SLA Template

� Appendix G. Service Level Agreement

(SLA) Checklist

� Appendix H. Example SLA Template

� Appendix I. Example Generic SLA

� Appendix J. Example SLA Slim Version

� Appendix K. Example SLA for Back

Office and Local Area Network (LAN)

Services

� Appendix L. High-level Mapping of

COBIT 5 and ITIL V3 for Vendor

Management

Assurance Framework

14/11/2013 36

Risk Framework

FORMAZIONE & COBIT5®

Paola Galasso,

Education Commitee Coordinator

Simona Costa,

Education Committee Member

COBIT5, ITIL and ISO Training

Sessione di Studio

La Formazione AIEA in ambito COBIT5:

gli obiettivi

39

• AIEA ha scelto di investire in modo significativo sulla formazione del nuovo frameworkCOBIT, in qualità di strumento di innovazione, in grado di affrontare con flessibilità le

sfide ed i mutamenti di un mondo in rapido mutamento ed obbligato ad innovare.

• La formazione COBIT5 è stata portata su diversi livelli e verso diversi target, con diversi obiettivi e target da

raggiungere:

� Formazione di nuovi specialisti

� Aggiornamento dei professionisti già specializzati

� Creare consapevolezza delle potenzialità in azienda

al middle and top management

� Divulgazione verso tutti gli attori, inclusi coloro che

scrivono o ispirano le normative

� Personalizzazione sulle specifiche realtà aziendali

La Formazione AIEA in ambito COBIT5:

i percorsi

40

• Pertanto AIEA offre eventi formativi con contenuti, format e docenti differenziati sulla base degli obiettivi dichiarati, tra cui:

� La giornata di approfondimento dal titolo «Governance e Management IT nelle

banche, nelle aziende e nelle pubbliche amministrazioni: il modello COBIT5®

di ISACA ®» che ha rappresentato il primo appuntamento del ciclo di corsi frutto

della partnership tra AIEA ed Academy Borsa Italiana, il centro di formazione del

London Stock Exchange Group. Verrà riproposto semestralmente.

� Corsi di certificazione: Certificazione Cobit Foundation, Certificazione Cobit

Assessor, Certificazione Cobit Implementation

� Corsi di Base

� Corsi Avanzati su tematiche specialistiche: COBIT 5 Vendor Manament, COBIT

for Risk, COBIT for Security & Privacy, COBIT5 Assurance

� Corsi di Aggiornamento per professionisti già specializzati

� Corsi personalizzati su misura delle esigenze: TRAINING ON-SITE

� Incontri formativi per Enti Pubblici e Regolatori

La Formazione AIEA in

ambito COBIT5: gli eventi

formativi

41

Paola Galasso

Responsabile per la Formazione AIEA

Education Commitee Coordinator

Milan ISACA Chapter

Mob. +39 335 7350588 ||Skype paola.galasso69 || paola.galasso@aiea.it ||

galasso69@gmail.com || pgalasso@deloitte.it

4

2

Simona Costa

Education Commitee AIEA

Organizzazione corsi COBIT5 e ITIL

Milan ISACA Chapter

Mail: simona.costa@education.aiea.it || Mob. +39 347 1417697 ||Skype simona.costa

La Formazione AIEA in ambitoCOBIT5: calendario 2014• Per il nuovo anno sono in fase di definizione tutte le tipologie di evento

formativo, sia sulla sede di Milano che sulla sede di Roma e presso aziende ed

Enti che ce li stano richiedendo ad hoc

43

Gruppi di

Ricerca� Risk Management

� COBIT5 Framework per :

� BI - Nuove disposizioni di vigilanza

prudenziale per le banche

� Nuovo regolamento EU

Protezione dei Dati Personali

� Sistema di Controlli Interni a

presidio del Rischio Riciclaggio

� Outsourcing

QUESTIONS & COMMENTS

© 2013 ISACA. All rights reserved