Nella prima puntata abbiamo visto, sulla base di "IT Control Objectives for Sarbanes-Oxley, 2° edizione" (pdf, 890K) cos’è la Sarbanes-Oxley e quali adempimenti comporta per il management e gli auditor. In questa puntata analizziamo il framework di controllo di COSO. Nella altre puntate vedremo che rapporto c’è tra COSO e COBIT e come COBIT possa essere utilizzato per la conformità ai requisiti SOX.

COSO

Ci baseremo, principalmente, sui paragrafi "COSO Defined" e "Applying COSO to IT" del documento di ISACA.
La SEC, organo di controllo della borsa USA, ha esplicitamente indicato l'Internal Control — Integrated Framework (pdf, 195 B) di COSO (Committee of Sponsoring Organizations of the Treadway Commission) come modello di riferimento per l’assessment di cui si è parlato nella scorsa puntata.
In pratica per garantire la conformità ai requisiti della Sarbanes-Oxley occorre dimostrare che l’IT gestisce le cinque componenti previste dal modello di controllo COSO:

1. Control environment
2. Risk assessment
3. Control activities
4. Information and communication
5. Monitoring

Nel seguito sono indicati gli obiettivi di controllo IT di alto livello per ciascuna componente di COSO; gli obiettivi di controllo IT di dettaglio sono presenti in appendice del documento ISACA.

Control Environment

I punti di attenzione sono:

• l’IT è spesso erroneamente considerato come qualcosa di separato dal business e di conseguenza lo si considera un ambiente di controllo separato;
• l’IT è complesso non solo in relazione alle componenti tecnologiche ma anche per le modalità per mezzo delle quali tali componenti si integrano nel sistema di controllo globale dell’azienda;
• l’IT può introdurre ulteriori rischi o aumentare i rischi già esistenti il che richiede attività di controllo nuove o rafforzate;
• l’IT richiede skill specializzati
• l’IT può richiedere che anche le terze parti siano affidabili se queste sono coinvolte in processi critici;
• l’individuazione dell’ownership dei controlli IT può essere difficoltosa specie per I controlli applicativi.

Risk Assessment

Il risk assessment può essere effettuato a livello di intera organizzazione (entity level) o di specifico processo o business unit (activity level).
Per quel che riguarda l’entity level:

• deve esserci un sottocomitato IT all’interno dello steering committee al fine di:
• supervisionare i piani strategici  per I controlli IT e garantire la coerenza con il piano globale di conformità alla Sarbanes-Oxley
• fare l’assessment dei rischi IT

Per quell che riguarda l’activity level, deve esserci un assessment dei rischi  all’interno

• della metodologia di sviluppo dei sistemi informativi;
• del processo di changement sia dei programmi che delle infrastrutture

Control Activities

Si tratta delle politiche, procedure e prassi che sono utilizzate per garantire il raggiungimento degli obiettivi di business e la gestione dei rischi.
COSO individual due tipi di attività di controllo:

1. general control
2. application control

I primi comprendono:

• Data center operation controls
• System software controls
• Access security controls
• Application system development and maintenance controls

Gli application control sono embedded nei programme software e volti a prevenire o intercettare le transazioni non autorizzate. Ulteriori informazioni su tali tipi di controlli sono disponibili nella appendice D del documento di ISACA.

Information and Communication

Si tratta di determinare quali informazioni sono necessarie per raggiungere gli obiettivi aziendali e delle modalità con cui comunicare queste informazioni  nei tempi necessari.
Le informazioni devono essere:

• appropriate
• tempestive
• aggiornate
• accurate
• accessibili

Monitoring

Ci sono due tipi di monitoring:

1. continuous monitoring
2. separate evaluations.

Per l’entity level occorre:

• un continuous monitoring centralizzato delle operation relative ai sistemi informativi
• un monitoring centralizzato della security
• IT internal audit reviews

Per l’activity level, occorre:

• dentificazione e gestione dei difetti ed errori
• monitoring locale degli aspetti di sicurezza dei sistemi informativi
• supervisione locale del personale IT

Fine seconda parte
Leggi la prima parte

IsacaRoma link

COSO Enterprise Risk Management Framework

Chi è Agatino Grillo?

Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA.
Altri articoli pubblicati per IsacaRoma Newsletter

• Security ed information gathering – intervista a Carlo Pelliccioni di OWASP
• ENISA: Interview with Jani Arnell on Emerging Risks
• SOX, COSO e COBIT – parte prima
  
• ENISA: Intervista al dott. Louis Marinos, Risk Management Senior Expert
• ENISA: Interview with Dr Louis Marinos, Senior Expert on Risk Management
• Intervista all’ing. Carlo Notari, presidente del PMI Northern Italy Chapter (PMI-NIC)
• Intervista Alberto Revelli Technical Director di OWASP Italy ed autore di sqlninja
• Codice sicuro: intervista a Paolo Perego, thesp0nge, ideatore di OWASP Orizon
• Wikipedia: la voce "IT governance"
• Application security: intervista ad Antonio Parata di OWASP
• Wikipedia: la voce "IS auditing"
• IIA – sesta guida GTAG: "Managing and Auditing IT Vulnerabilities"
• ISACA: Standard, direttive e procedure – l’analisi dei rischi (24-09-2006)
• ISACA: Standard, direttive e procedure – prima parte (23-09-2006)
• Intervista a Ross Anderson (02-11-2005)
• Lezioni di IS Auditing  (03-01-2006)
• Conversazione con Simon Singh (28-10-2005)
• COSO Enterprise Risk Management Framework (12-09-2006)
• Bruce Schneier: domande e risposte (01-11-2005)