KPMG: nuove sfide per la sicurezza delle informazioni
Inserito da Redazione il Gio, 2006-07-11 13:41
IS Audit & Control | IT Colloquia | Luglio 2006 | Rischi | Security
060711-KPMG
A colloquio con il dott. Raoul Savastano, Responsabile Servizi Sicurezza KPMG Information Risk Management
IsacaRoma: Buongiorno dott. Savastano e grazie per la disponibilità. Vorremmo prendere spunto dalla sua recente relazione “Sicurezza informativa: verso l’integrazione dei sistemi di gestione per la sicurezza” (pdf, 1021 K) al convegno di ANSSAIF su “Sicurezza e Compliance” per discutere dello stato presente della sicurezza delle informazioni e delle nuove sfide che ci aspettano. Vuole intanto presentarsi rapidamente ai nostri lettori e presentare anche la sua società ed i servizi di cui è responsabile?
Raoul Savastano: Sono associated partner di KPMG, responsabile per l’Italia dei servizi di sicurezza e privacy. Ho ottenuto la certificazione CISM (Certified Information Security Manager) e Lead Auditor Iso 27001, oltre ad essere Dottore Commercialista e Revisore dei conti.
Nell’ambito della società faccio parte del gruppo di Information Risk Management, composto da professionisti altamente qualificati in materia di audit di sistemi informativi e tematiche di Information Technology, che operano in 7 uffici dislocati sul territorio italiano. In particolare sono responsabile dei servizi di sicurezza, privacy e business continuity, sviluppati per assistere le aziende nell’identificazione di soluzioni a supporto del business che riducano i rischi associati all’introduzione di nuove tecnologie. Il nostro approccio si basa su metodologie integrate che forniscono supporto sia nelle attività di analisi e valutazione dei rischi connessi all'uso delle tecnologie informatiche che nelle verifiche sui controlli posti in essere. Tali metodologie consentono di analizzare i rischi, valutare le misure da adottare, disegnare e progettare sistemi di sicurezza, seguirne l'implementazione e controllarne l'efficacia lungo tutte le fasi del processo.
IR: Nel convegno di ANSSAIF la conclusione comune dei molti interventi è stata che serve una più stretta integrazione tra i progetti di security aziendali. È anche la sua opinione? Vuole dire qualcosa a riguardo?
RS: I nostri clienti, realtà con strutture organizzative alquanto complesse (in particolare quelle che appartengono al mondo bancario, assicurativo e TLC) richiedono soprattutto di collegare i rischi nella loro accezione più ampia ad un unico sistema di gestione, che sia il più integrato possibile all’interno della propria struttura. La gestione delle rischiosità connaturate alle informazioni è sicuramente complessa, in quanto i sistemi di protezione devono considerare le varie forme in cui il dato esiste, e questo richiede competenze in tema di sicurezza fisica, logica e organizzativa, che difficilmente sono presenti in un'unica funzione della società. Ad oggi, infatti, si è assistito alla creazione all’interno delle aziende di unità organizzative dedicate alla gestione delle singole tematiche, spesso senza un coordinamento globale, che ha quindi portato a sostenere costi aggiuntivi e generare inefficienze nell’implementazione di aspetti che richiedono la stessa impostazione, prevedono ruoli e responsabilità affini e necessitano di procedure e documentazione integrate. Ritengo quindi che sia opportuno perseguire gli obiettivi comuni aziendali attraverso l’integrazione dei modelli di analisi ed il coordinamento delle strutture organizzative al fine di cogliere le sinergie e aumentare l’efficienza interna.
IR: Passiamo al tema della “Compliance”. Da quando il Governatore della Banca D’Italia ne ha parlato, nelle sue prime considerazioni (pdf, 83 K), sembra essere diventato il tema del momento almeno per le banche. Che ne dice? È davvero stata una sorpresa? Possiamo riepilogare il contesto per chi avesse perso qualche puntata? Che si intende per “Compliance”? Riguarda solo le banche? Chi se ne deve occupare? Che impatti ha su chi si occupa di ICT Security?
RS: Il quadro di riferimento normativo per le imprese italiane negli ultimi anni è stato soggetto a un forte cambiamento. In primis, da parte del Comitato di Basilea, è stato definito un nuovo quadro di disciplina delle attività degli istituti finanziari. Questo quadro, che prende il nome di Basilea 2, innova profondamente rispetto alla precedente normativa e inciderà sulle politiche di concessione del credito e sulle strutture di governance interne degli enti finanziari stessi. La disponibilità di nuovi strumenti finanziari, associata all’applicazione da parte delle banche, a partire dal 2007, delle regole previste dall’accordo di Basilea 2, propone da un lato all’impresa italiana un nuovo modello di rapporto col sistema bancario e con il mercato finanziario, dall’altro la necessità di adozione di nuovi strumenti di gestione e governo dei rischi interni ed esterni da parte degli istituti finanziari.
Da ultimo la recente legge sulla tutela del risparmio ha introdotto innovazioni per quanto riguarda la responsabilità nella redazione dei documenti contabili delle società, ispirandosi ad alcuni principi della legislazione americana (Sarbanes-Oxley Act); in particolare la legge italiana prevede una responsabilità personale per la veridicità dei documenti e delle informazioni contabili e l’obbligo di dotarsi di adeguate procedure amministrativo/contabili, elementi peraltro che ricordano gli orientamenti del D. Lgs. 231/01.
Si può quindi concludere che il contesto legislativo sempre in evoluzione richiede necessariamente un’attenzione particolare al tema della compliance normativa e comporta pertanto per l’azienda la necessità di strutturare un adeguato ed efficiente sistema di controllo interno finalizzato ad assicurare in modo integrato il raggiungimento degli obiettivi aziendali nonché il rispetto delle normative. Ciò ha naturalmente un forte impatto anche per chi si occupa all’interno dell’azienda di Information Technology e di sicurezza in particolare, che si trova a fronteggiare da un lato le spinte da parte del business e dall’altro la necessità di essere conforme alle normative generali ma anche specifiche in termini di sicurezza quali ad esempio il Testo Unico sulla privacy o le circolari di Banca d’Italia relative alla continuità operativa.
“Le regole iniziano ad esserci, bisogna volerle e saperle applicare, e spesso le dimensioni delle società, in primis le banche, sono tali per cui il solo definire il perimetro di protezione diventa un elemento critico ”.
IR: Un altro tema attuale è quello della “Security Governance”. Cosa comprende? Chi se ne deve occupare? Quali sono i suoi tratti caratteristici?
RS: Il tema è sempre lo stesso e si esplicita in una maggiore integrazione fra le varie funzioni deputate a gestire il rischio di natura operativa, all’interno della banca (o di qualsiasi altra organizzazione con complessità strutturali e organizzative analoghe). Sicurezza, Privacy, Business Continuity, Compliance alla Legge sul risparmio o al D. Lgs. 231/01, etc hanno tutti degli aspetti in comune che devono essere gestiti con una matrice unitaria che parta dai processi dell’azienda stessa e successivamente declini sugli aspetti specifici della problematica. Solo in questo modo si può ottenere efficienza ed una reale visione integrata della gestione e dei presidi del rischio… ma siamo solo agli inizi per quanto riguarda le realtà italiane.
Spesso il solo chiedere il catalogo dei processi in azienda (e non cosa c’è dentro) comporta già un problema.
IR: Infine: l’analisi per processi come elemento caratterizzante della “Security Governance”. Come si passa da un approccio per tecnologie o piattaforme ad uno per processi? È la panacea ad ogni male? Dove è utile e dove non è necessaria?
RS: Le organizzazioni sono strutturate secondo processi intesi come insieme di attività finalizzate a soddisfare un obiettivo di business qualificabile e quantificabile, la cui successione logica è indipendente da vincoli organizzativi, di risorse umane, tecnologici. Tali processi sono composti da flussi di informazioni omogenee. Pertanto è fondamentale, ed è un elemento ad alto valore aggiunto, l’analisi e segmentazione di tali flussi informativi (processi) in sottocomponenti che li costituiscono (sottoprocessi e attività). Le attività sono un insieme strettamente correlato di azioni che vengono eseguite in sequenza temporale e logica, possibilmente senza soluzione di continuità.
La processazione ed esecuzione di tali attività viene effettuata tramite l’utilizzo di applicativi/sistemi informativi e procedure manuali. Solo attraverso l’analisi puntuale di questi strumenti si può pervenire ad un’identificazione puntuale dei rischi cui sono soggetti i singoli elementi che compongono i processi e giungere alla definizione della criticità che questi componenti stessi hanno nel corretto svolgimento del flusso di processo.
IR: KPMG e le certificazioni professionali (CISA, CISM, CISSP, CIA): investite su tali specializzazioni? Avete propri standard per l’IS Audit? Usate CobiT?
RS: Crediamo fermamente nel valore aggiunto delle certificazioni di natura professionale come elemento distintivo della qualità e del valore aggiunto che i nostri professionisti possono dare al cliente. Abbiamo dei percorsi di certificazione differenziati per i vari profili (IT audit, Security) che sono anche veicolate in funzione dell’esperienza dei nostri professionals. Ovviamente in quanto network internazionale abbiamo dei nostri standard e delle metodologie di certificazione, ma spesso utilizziamo metodologie quali il COBIT , ITIL o ISO 27001. Questo viene fatto in funzione delle necessità del cliente, piuttosto che degli obiettivi che si vogliono raggiungere.
IR: Grazie e alla prossima.
RS: Grazie a voi.
La multinazionale coordina il network globale di società di servizi professionali operanti in 144 paesi ed in 717 città con oltre 104 mila professionisti.
IsacaRoma: Buongiorno dott. Savastano e grazie per la disponibilità. Vorremmo prendere spunto dalla sua recente relazione “Sicurezza informativa: verso l’integrazione dei sistemi di gestione per la sicurezza” (pdf, 1021 K) al convegno di ANSSAIF su “Sicurezza e Compliance” per discutere dello stato presente della sicurezza delle informazioni e delle nuove sfide che ci aspettano. Vuole intanto presentarsi rapidamente ai nostri lettori e presentare anche la sua società ed i servizi di cui è responsabile?
Raoul Savastano: Sono associated partner di KPMG, responsabile per l’Italia dei servizi di sicurezza e privacy. Ho ottenuto la certificazione CISM (Certified Information Security Manager) e Lead Auditor Iso 27001, oltre ad essere Dottore Commercialista e Revisore dei conti.
Nell’ambito della società faccio parte del gruppo di Information Risk Management, composto da professionisti altamente qualificati in materia di audit di sistemi informativi e tematiche di Information Technology, che operano in 7 uffici dislocati sul territorio italiano. In particolare sono responsabile dei servizi di sicurezza, privacy e business continuity, sviluppati per assistere le aziende nell’identificazione di soluzioni a supporto del business che riducano i rischi associati all’introduzione di nuove tecnologie. Il nostro approccio si basa su metodologie integrate che forniscono supporto sia nelle attività di analisi e valutazione dei rischi connessi all'uso delle tecnologie informatiche che nelle verifiche sui controlli posti in essere. Tali metodologie consentono di analizzare i rischi, valutare le misure da adottare, disegnare e progettare sistemi di sicurezza, seguirne l'implementazione e controllarne l'efficacia lungo tutte le fasi del processo.
IR: Nel convegno di ANSSAIF la conclusione comune dei molti interventi è stata che serve una più stretta integrazione tra i progetti di security aziendali. È anche la sua opinione? Vuole dire qualcosa a riguardo?
RS: I nostri clienti, realtà con strutture organizzative alquanto complesse (in particolare quelle che appartengono al mondo bancario, assicurativo e TLC) richiedono soprattutto di collegare i rischi nella loro accezione più ampia ad un unico sistema di gestione, che sia il più integrato possibile all’interno della propria struttura. La gestione delle rischiosità connaturate alle informazioni è sicuramente complessa, in quanto i sistemi di protezione devono considerare le varie forme in cui il dato esiste, e questo richiede competenze in tema di sicurezza fisica, logica e organizzativa, che difficilmente sono presenti in un'unica funzione della società. Ad oggi, infatti, si è assistito alla creazione all’interno delle aziende di unità organizzative dedicate alla gestione delle singole tematiche, spesso senza un coordinamento globale, che ha quindi portato a sostenere costi aggiuntivi e generare inefficienze nell’implementazione di aspetti che richiedono la stessa impostazione, prevedono ruoli e responsabilità affini e necessitano di procedure e documentazione integrate. Ritengo quindi che sia opportuno perseguire gli obiettivi comuni aziendali attraverso l’integrazione dei modelli di analisi ed il coordinamento delle strutture organizzative al fine di cogliere le sinergie e aumentare l’efficienza interna.
IR: Passiamo al tema della “Compliance”. Da quando il Governatore della Banca D’Italia ne ha parlato, nelle sue prime considerazioni (pdf, 83 K), sembra essere diventato il tema del momento almeno per le banche. Che ne dice? È davvero stata una sorpresa? Possiamo riepilogare il contesto per chi avesse perso qualche puntata? Che si intende per “Compliance”? Riguarda solo le banche? Chi se ne deve occupare? Che impatti ha su chi si occupa di ICT Security?
RS: Il quadro di riferimento normativo per le imprese italiane negli ultimi anni è stato soggetto a un forte cambiamento. In primis, da parte del Comitato di Basilea, è stato definito un nuovo quadro di disciplina delle attività degli istituti finanziari. Questo quadro, che prende il nome di Basilea 2, innova profondamente rispetto alla precedente normativa e inciderà sulle politiche di concessione del credito e sulle strutture di governance interne degli enti finanziari stessi. La disponibilità di nuovi strumenti finanziari, associata all’applicazione da parte delle banche, a partire dal 2007, delle regole previste dall’accordo di Basilea 2, propone da un lato all’impresa italiana un nuovo modello di rapporto col sistema bancario e con il mercato finanziario, dall’altro la necessità di adozione di nuovi strumenti di gestione e governo dei rischi interni ed esterni da parte degli istituti finanziari.
Da ultimo la recente legge sulla tutela del risparmio ha introdotto innovazioni per quanto riguarda la responsabilità nella redazione dei documenti contabili delle società, ispirandosi ad alcuni principi della legislazione americana (Sarbanes-Oxley Act); in particolare la legge italiana prevede una responsabilità personale per la veridicità dei documenti e delle informazioni contabili e l’obbligo di dotarsi di adeguate procedure amministrativo/contabili, elementi peraltro che ricordano gli orientamenti del D. Lgs. 231/01.
Si può quindi concludere che il contesto legislativo sempre in evoluzione richiede necessariamente un’attenzione particolare al tema della compliance normativa e comporta pertanto per l’azienda la necessità di strutturare un adeguato ed efficiente sistema di controllo interno finalizzato ad assicurare in modo integrato il raggiungimento degli obiettivi aziendali nonché il rispetto delle normative. Ciò ha naturalmente un forte impatto anche per chi si occupa all’interno dell’azienda di Information Technology e di sicurezza in particolare, che si trova a fronteggiare da un lato le spinte da parte del business e dall’altro la necessità di essere conforme alle normative generali ma anche specifiche in termini di sicurezza quali ad esempio il Testo Unico sulla privacy o le circolari di Banca d’Italia relative alla continuità operativa.
“Le regole iniziano ad esserci, bisogna volerle e saperle applicare, e spesso le dimensioni delle società, in primis le banche, sono tali per cui il solo definire il perimetro di protezione diventa un elemento critico ”.
IR: Un altro tema attuale è quello della “Security Governance”. Cosa comprende? Chi se ne deve occupare? Quali sono i suoi tratti caratteristici?
RS: Il tema è sempre lo stesso e si esplicita in una maggiore integrazione fra le varie funzioni deputate a gestire il rischio di natura operativa, all’interno della banca (o di qualsiasi altra organizzazione con complessità strutturali e organizzative analoghe). Sicurezza, Privacy, Business Continuity, Compliance alla Legge sul risparmio o al D. Lgs. 231/01, etc hanno tutti degli aspetti in comune che devono essere gestiti con una matrice unitaria che parta dai processi dell’azienda stessa e successivamente declini sugli aspetti specifici della problematica. Solo in questo modo si può ottenere efficienza ed una reale visione integrata della gestione e dei presidi del rischio… ma siamo solo agli inizi per quanto riguarda le realtà italiane.
Spesso il solo chiedere il catalogo dei processi in azienda (e non cosa c’è dentro) comporta già un problema.
IR: Infine: l’analisi per processi come elemento caratterizzante della “Security Governance”. Come si passa da un approccio per tecnologie o piattaforme ad uno per processi? È la panacea ad ogni male? Dove è utile e dove non è necessaria?
RS: Le organizzazioni sono strutturate secondo processi intesi come insieme di attività finalizzate a soddisfare un obiettivo di business qualificabile e quantificabile, la cui successione logica è indipendente da vincoli organizzativi, di risorse umane, tecnologici. Tali processi sono composti da flussi di informazioni omogenee. Pertanto è fondamentale, ed è un elemento ad alto valore aggiunto, l’analisi e segmentazione di tali flussi informativi (processi) in sottocomponenti che li costituiscono (sottoprocessi e attività). Le attività sono un insieme strettamente correlato di azioni che vengono eseguite in sequenza temporale e logica, possibilmente senza soluzione di continuità.
La processazione ed esecuzione di tali attività viene effettuata tramite l’utilizzo di applicativi/sistemi informativi e procedure manuali. Solo attraverso l’analisi puntuale di questi strumenti si può pervenire ad un’identificazione puntuale dei rischi cui sono soggetti i singoli elementi che compongono i processi e giungere alla definizione della criticità che questi componenti stessi hanno nel corretto svolgimento del flusso di processo.
IR: KPMG e le certificazioni professionali (CISA, CISM, CISSP, CIA): investite su tali specializzazioni? Avete propri standard per l’IS Audit? Usate CobiT?
RS: Crediamo fermamente nel valore aggiunto delle certificazioni di natura professionale come elemento distintivo della qualità e del valore aggiunto che i nostri professionisti possono dare al cliente. Abbiamo dei percorsi di certificazione differenziati per i vari profili (IT audit, Security) che sono anche veicolate in funzione dell’esperienza dei nostri professionals. Ovviamente in quanto network internazionale abbiamo dei nostri standard e delle metodologie di certificazione, ma spesso utilizziamo metodologie quali il COBIT , ITIL o ISO 27001. Questo viene fatto in funzione delle necessità del cliente, piuttosto che degli obiettivi che si vogliono raggiungere.
IR: Grazie e alla prossima.
RS: Grazie a voi.
Chi è KPMG?
Network mondiale nella consulenza KPMG è specializzata in particolare nei servizi di revisione e advisory,. Il nome deriva dalle iniziali delle diverse società che si sono fuse ed hanno dato origine all’acronimo: la K deriva da Klynveld (olandese), la P da Peat (inglese) la M da Marwick (americano) e la G da Goerdeler (tedesco).La multinazionale coordina il network globale di società di servizi professionali operanti in 144 paesi ed in 717 città con oltre 104 mila professionisti.
» email this story | printer friendly version | 5850 reads
