Curso Cobit Curitiba

Cobit

Aproveitando COBIT para Implementar Segurança da Informação

Na entrega de serviços de TI de consultoria de segurança para grandes empresas na Austrália, particularmente na área da saúde, utilidade e grandes setores do governo, Informações Systems Group tem usado a Organização Internacional para as normas de Normalização (ISO) extensivamente, por exemplo ISO 27001 para segurança e ISO 20000 para gerenciamento de serviços de TI. Ao aconselhar os clientes sobre a melhor forma de aplicar as normas, a questão que tem surgido de forma consistente é, “Até que ponto a aplicação destas normas devem ser tomadas?”
As normas ISO são bons em que eles se aplicam um consistente e internacionalmente acordados definição; No entanto, o Grupo de Sistemas de Informação queria uma maneira de ser capaz de descrever a seus clientes o quanto eles devem tomar a aplicação dos controles detalhados dentro desses padrões. As normas ISO tendem a ser binário na sua aplicação; empresas ou cumprir, ou não cumprir, com as declarações pormenorizadas de nível de controle. As normas ISO também não são bons em que liga a realização desses controlos de volta para um quadro com foco em negócios que podem responder “Por que? ” A um nível que um executivo pode compreender e apoiar.
A consultoria empreendeu um compromisso para avaliar a qualidade da execução do seu cliente de ISO 27001. Neste caso, representava aproximadamente 100 funcionários de uma força de trabalho de 2500, por isso inicialmente adoptado uma abordagem pragmática para a aplicação das normas, que deixou algumas lacunas quando aferido contra uma aplicação técnica rigorosa da norma ISO 27001.

O quadro de governação COBIT seriam usados ​​com as técnicas de avaliação de processo associados para criar um modelo de maturidade como a vara de medição.

Na sequência da revisão, a consultoria foi questionado sobre como ele iria abordar estas lacunas e por que isso iria trazer benefícios para a empresa. ISO 27001 diz respeito ao domínio da segurança, e embora seja importante, é apenas uma das muitas empresas modernas áreas que precisam ser abordadas. O cliente tinha identificado que ele também queria abordar o Information Technology Infrastructure Library (ITIL), e tinha uma iniciativa de controle de acesso existente que tinha um bom patrocínio. Por último, a divisão de auditoria interna do cliente usado COBIT e foi um patrocinador significativo para a implementação da ISO 27001. Por conseguinte, havia um desejo de entender como todas estas iniciativas concorrentes poderiam trabalhar juntos praticamente.
Para enfrentar esse desafio, a consultoria determinou que um passo importante seria a obtenção de uma avaliação do estado atual da governança de TI usando um, vara de medição com foco em negócios não-técnica que era independente das várias estruturas de controle concorrentes que tinha sido convidado a integrar . Depois de alguma discussão dentro da empresa de consultoria, foi acordado que o quadro de governação COBIT seriam usados ​​com as técnicas de avaliação de processo associados para criar um modelo de maturidade como a vara de medição. Esta iniciativa começou em 2009 e prorrogado até 2011, com a implementação se estende para além de 2011 até o final de 2012. Assim, o desenvolvimento do enquadramento foi baseado em COBIT 4.1, como COBIT 5 foi lançado em Abril de 2012. Uma vez que este exemplo de caso, COBIT 5 foi lançado e oferece uma abordagem otimizada para coordenar vários padrões.
No caso em apreço, uma série de briefings executivos que estabelecem o programa de implementação foi desenvolvido e, através de uma sequência de discussões, formulado uma abordagem que o cliente achou que poderia trazer benefícios para o seu negócio. Um gerente de projeto da empresa foi contratado para trabalhar com a equipe do consultor de quatro ao espaço para fora, em pormenor, as tarefas e produtos a serem desenvolvidos.
A decisão foi tomada para começar com a segurança da informação inicialmente para entender os vários modelos de implementação que eram comumente em uso. Muitos destes modelos foram bastante detalhado e endereçado a segurança em relação às exigências da tecnologia, geralmente levando a programas muito caros de trabalho para implementar a segurança que foram focado em tecnologia, ao invés de focada business-.
Houve o uso de outros modelos, incluindo a limitação do âmbito de unidades de negócios individuais sensíveis ou considerando a abrangência em termos dos processos de negócio da empresa.
Após compartilhar esses modelos com o cliente, descobriu-se que o apetite da empresa de segurança alinhado com a visão centrada no processo. No entanto, a consultoria precisava de uma maneira para empurrar para baixo a segurança em unidades de negócio e de segurança endereço no nível do dispositivo. Neste ponto, a consultoria olhou ao ITIL para alguma orientação e começou a pensar em segurança como um processo dentro de ITIL.
A consultoria desenvolveu o modelo de governança de TI mostrado na figura 1 para descrever os fundamentos teóricos da abordagem. O modelo começa com o COBIT 4.1 Maturidade Atribuído Tabela 1 e termina com COBIT 4.1 usando a RACI (Responsável, responsável, consultado e informado) controla processo embedment. Entre estas duas técnicas COBIT, a consultoria implementou o quadro de controlo para ISO 27001 e partes relevantes do ITIL para fornecer um sistema de segurança de informações operacionais, como mostrado na figura 2 .

Figura 1-Informação de Segurança Modelo

Ver gráfico Grande

Figura 2-Security Information Architecture Programa

Ver Grande Graphic

A integração do modelo de maturidade de governança de TI, COBIT 4.1, ISO 27001 e ITIL foi alcançada com um nível de processo dentro dos padrões e estruturas, em vez de em um nível objetivo de controle. Processos de ITIL-chave para gerenciamento de mudanças e gerenciamento de liberação foram mapeados para o modelo de processo ISO 27001 e, em seguida, apresentado dentro de uma estrutura de gestão do programa EPM convencional para geração de relatórios e gerenciamento contínuo. Todo conceito de segurança, construir ou tipo de dispositivo que tinha uma dimensão alteração associado a ele foi identificado dentro desse modelo utilizando um conceito semelhante ao 20 SANS Critical Segurança Controla duas processo. Finalmente, todas as alterações foram rastreados de volta para o sistema de gerenciamento de mudanças da ITIL (CMS ou CMDB) para gerir a rastreabilidade dos itens de configuração chave relacionados com a segurança.
Porque o sistema começou e terminou com COBIT, a consultoria efetivamente empregado COBIT como um “container” ou “wrapper ” para permitir que ele para integrar e aplicar várias normas concorrentes dentro da empresa / cliente. A consultoria encontrei este para ser uma abordagem muito mais construtivo do que tentar conciliar normas a um nível de controle detalhado. A segurança da informação a nível da unidade de negócios está centrado em torno e executadas usando acordos de segurança da informação (similar a acordos de nível operacional [OLAs] em ITIL), mas usando o conteúdo da ISO 27001. O sistema de gestão de segurança da informação (ISMS) reforça a segurança da informação acordos com os gerentes das unidades de negócios, que por sua vez impulsiona a aplicação de controles de segurança detalhadas e coleta de provas. Deste modo, as actividades detalhadas de segurança da informação são devolvidas aos gestores, em vez de gestão centralmente dentro de um sistema de gestão.
Este uso do COBIT para coordenar vários padrões é otimizado dentro COBIT 5. Consulte as COBIT 5 Princípios dentro COBIT 5 para informações de segurança 3 . Este plano do cliente na revisão dos quadros implementados é que o framework COBIT 5 será usado para introduzir novos conceitos para a gestão da segurança da informação, conforme estabelecido no COBIT 5 de Segurança da Informação .
Uma das principais vantagens desta abordagem top-down para projetar as iniciativas de governança de TI é que ela permite a organização para enfrentar o processo de controles embedment detalhada de uma forma ponderada e garantir que ele está alinhado com o apetite de risco do negócio. Com o SGSI globais em vigor, controles e programas de educação de apoio pode ser adicionado a uma taxa que a empresa pode absorver.
Atualmente, um dos principais desafios que limitam a utilização e implementação de um SGSI é a incapacidade de integrar vários programas em todo os sistemas da empresa. Com os sistemas de gerenciamento de serviços ITIL cada vez mais generalizada, a capacidade de automatizar lado de TI dos sistemas de segurança de informação está agora prontamente disponível para as organizações.
Nos controles empresariais lado, gerenciamento de projeto e programa (PPM) e de governança, risco e controle (GRC) software ligado a soluções de fluxo de trabalho da empresa fornecer uma plataforma para gerenciar a implantação de programas de segurança da informação ea avaliação regular e de relatórios de controles e coleta de provas . Uma visão típica dos componentes do programa se parece com o que é mostrado na figura 3 . O fórum de segurança é o órgão que analisa relatórios de SGSI e direciona o foco das iniciativas para gerenciar todos os aspectos da postura de segurança da organização e resposta às ameaças de segurança da informação.

Figura 3-Information Security elementos do programa

Para este cliente, a consultoria realizou um projeto detalhado do SGSI operacionais e uma especificação foi desenvolvida para a implementação. A solução foi construído em um sistema de gerenciamento de documentos, abrigando as políticas detalhadas e um calendário para o estabelecimento do programa de avaliações, treinamento e relatórios.
Este foi um ponto de partida inicial para este cliente já que outros sistemas ISO usado este sistema também. Na experiência do consultoria, o SGSI pode ser construído em cima do ITIL detalhada ou aplicativo de gerenciamento de ciclo de vida (ALM) sistemas e integrado usando uma ferramenta de relatório de painel semelhantes aos disponíveis com ferramentas empresariais, como SAP ou Oracle planejamento de recursos empresariais (ERP) aplicações, ferramentas de PPM, ou gerenciamento de documentos da empresa (EDM) ferramentas. Todas estas ferramentas geralmente incorporam tecnologias de fluxo de trabalho corporativo que permitem ligações em ITIL ou ALM tecnologias e atividades de licenciamento seja atribuída e atribuída ao pessoal dentro da empresa.

Conclusão

A força do framework COBIT é o seu quadro com foco em negócios e ferramentas pragmáticas para o alinhamento da política de baixo para detalhado controles embedment. Ao utilizar COBIT, a empresa foi capaz de fornecer respostas para as perguntas de como e por que as organizações devem proteger as informações dentro da empresa, alinhando o custo dos controlos para o risco percebido em um nível de processos de negócios, em vez de com base em controles técnicos.

Nota do Autor

Este caso de estudo foi desenvolvido com base numa situação real no cliente Austrália. O nome da organização e algumas outras informações de identificação foram removidos. Todo o material é de propriedade da Informação Systems Group Pty Limited ou usada com permissão.

 

Fonte: http://www.isaca.org

 

Leave a Reply