Le organizzazioni di controllo di sicurezza - dummies

Le organizzazioni adottano spesso un quadro di controllo della sicurezza per facilitare i loro sforzi legali e normativi. Alcuni esempi di framework di sicurezza rilevanti includono:

• COBIT. Sviluppato dall'associazione di audit e controllo dei sistemi informatici (ISACA) e dall'IT Governance Institute (ITGI), COBIT è costituito da diverse componenti, tra cui
  • Framework. Organizza gli obiettivi di governance IT e le migliori pratiche.
  • Descrizioni dei processi. Fornisce un modello di riferimento e un linguaggio comune.
  • Obiettivi di controllo. Documenta i requisiti di gestione di alto livello per il controllo dei singoli processi IT.
  • Linee guida per la gestione. Strumenti per assegnare responsabilità, misurare le prestazioni e illustrare le relazioni tra i processi.
  • Modelli di maturità. Valutazione della maturità / capacità organizzativa e lacune nell'indirizzo.

Il framework COBIT è popolare nelle organizzazioni soggette al Sarbanes-Oxley Act.

• NIST (Istituto nazionale per gli standard e la tecnologia) Pubblicazione speciale 800-53: Controlli di sicurezza e privacy per i sistemi informativi e le organizzazioni federali. Conosciuto come NIST SP800-53, questo è un framework di controlli molto popolare e completo richiesto da tutte le agenzie governative statunitensi. Inoltre è ampiamente usato nell'industria privata.
• COSO (Comitato delle organizzazioni sponsor della Commissione Treadway). Sviluppato dall'Institute of Management Accountants (IMA), dall'American Accounting Association (AAA), dall'American Institute of Certified Public Accountants (AICPA), dall'Institute of Internal Auditors (IIA) e Financial Executives International (FEI), la struttura COSO consiste di cinque componenti:
  • Ambiente di controllo. Fornisce le basi per tutti gli altri componenti di controllo interni.
  • Valutazione del rischio. Stabilisce gli obiettivi attraverso l'identificazione e l'analisi dei rischi rilevanti e determina se qualcosa impedirà all'organizzazione di raggiungere i propri obiettivi.
  • Attività di controllo. Politiche e procedure che vengono create per garantire la conformità con le direttive di gestione. Varie attività di controllo sono discusse negli altri capitoli di questo libro.
  • Informazioni e comunicazione. Assicura adeguati sistemi di informazione e processi di comunicazione efficaci sono in atto in tutta l'organizzazione.
  • Monitoraggio. Attività che valutano le prestazioni nel tempo e identificano le carenze e le azioni correttive.
• ISO / IEC 27002 (Organizzazione internazionale per la standardizzazione / Commissione elettrotecnica internazionale). Formalmente intitolato "Tecnologia dell'informazione - Tecniche di sicurezza - Codice di condotta per la gestione della sicurezza delle informazioni", ISO / IEC 27002 documenta le migliori pratiche di sicurezza in 14 domini, come segue:
  • Politiche di sicurezza delle informazioni
  • Organizzazione della sicurezza delle informazioni < Sicurezza delle risorse umane
  • Gestione delle risorse
  • Controllo degli accessi e gestione dell'accesso utente
  • Tecnologia crittografica
  • Sicurezza fisica dei siti e delle apparecchiature dell'organizzazione
  • Sicurezza operativa
  • Comunicazioni sicure e trasferimento dei dati > Acquisizione, sviluppo e supporto di sistemi informatici
  • Sicurezza per fornitori e terze parti
  • Gestione degli incidenti di sicurezza delle informazioni
  • Aspetti di sicurezza delle informazioni sulla gestione della continuità operativa
  • Conformità
  • ITIL (Biblioteca dell'Information Technology Infrastructure).
  Una serie di best practice per la gestione dei servizi IT composta da cinque volumi, come segue:
• Strategia di servizio. Indica la gestione della strategia dei servizi IT, la gestione del portafoglio di servizi, la gestione finanziaria dei servizi IT, la gestione della domanda e la gestione delle relazioni commerciali.
  • Service Design. Indirizza il coordinamento della progettazione, la gestione del catalogo dei servizi, la gestione dei livelli di servizio, la gestione della disponibilità, la gestione della capacità, la gestione della continuità del servizio IT, il sistema di gestione della sicurezza delle informazioni e la gestione dei fornitori.
  • Transizione di servizio. Affronta pianificazione e supporto alla transizione, gestione delle modifiche, gestione dei servizi e delle configurazioni, rilascio e gestione della distribuzione, convalida e test dei servizi, valutazione dei cambiamenti e gestione della conoscenza.
  • Funzionamento del servizio. Indica la gestione degli eventi, la gestione degli incidenti, l'evasione delle richieste di assistenza, la gestione dei problemi e la gestione degli accessi.
  • Miglioramento del servizio continuo. Definisce un processo in sette fasi per iniziative di miglioramento, compresa l'identificazione della strategia, la definizione di ciò che verrà misurato, la raccolta dei dati, l'elaborazione dei dati, l'analisi delle informazioni e dei dati, la presentazione e l'utilizzo delle informazioni e l'implementazione del miglioramento.