compliance, governance e sicurezza nell’ict: tre … · 2015-03-07 · compliance, governance e...
TRANSCRIPT
![Page 1: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/1.jpg)
COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA?
COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA?
13 Dicembre 2012
![Page 2: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/2.jpg)
Saipem 2
Agenda
Il contesto
Il percorso
![Page 3: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/3.jpg)
Saipem 3
Il contesto
Il percorso
Agenda
![Page 4: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/4.jpg)
Saipem 4
Saipem Highlights Leading Global EP(I)C General Contractor
High quality player onshore and in niches offshore
Drilling
Key local employer and investorin strategic markets
Revenues (2011) 12.6 B€Backlog (June 30th, 2012) 20.3 B€
Employees 44,300 Engineers & Project Managers > 7,000
Operating in more than 70 countries,more than 50 permanent establishments,employees from 127 nationalities
Distinctive ‘frontier focus’ inOil & Gas industries
Full service EP(I)C provider
Most modern, technologicallyadvanced offshore construction fleet
Engineering & Construction
![Page 5: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/5.jpg)
Saipem 5
Milan
Engineering CentresYards & Main Logistic BasesOther Main Areas and Rep. Offices
Fano
Chennai
Paris
Global Presence with a Multilocal Emphasis
(°) October 31st, 2012
Rome
Human Resources 44,297 employees of 127 nationalities (°)
EP(I)C Hubs
![Page 6: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/6.jpg)
Saipem
Two Global Business Units
• Oil & Gas Production• Gas Processing, LNG, GTL, GTS • Import/Export Terminals• Pipelines and Oil & Gas Transportation
Systems• Refineries, Heavy Oils Conversion,
Chemical Plants
Sealines Subsea Field Development Fixed Facilities Floaters Subsea Services via Remote Technologies
Engineering and Construction
Drilling
Offshore high quality niche player & Onshore frontier focus
6
![Page 7: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/7.jpg)
Saipem
Castoro Sei
Field Development / SURFLifting and DLB
Ultra-Heavy Lifting & deepwater pipelaying
Saipem 7000
Pipelaying
S355
Semac 1
Saipem FDS
Castoro 7
Castoro 2
Castoro Otto
Saipem 3000
Castorone
Saipem FDS 2
(Under construction)
Castoro 10
7
Saipem Assets: Offshore Construction VesselsSaipem offshore fleet exceeds 40 units
![Page 8: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/8.jpg)
Saipem 8
Saipem 12000 (W.D.: 12.000 ft)Angola
Saipem 10000 (W.D.: 10.000 ft)Mozambique
Scarabeo 5 (W.D.: 6.500 ft)Norway – North Sea
Deep Water Units
Perro Negro 8 (W.D.: 350 ft)Italy
Perro Negro 7 (W.D.: 375 ft)Saudi Arabia
Perro Negro 6 (W.D.: 350 ft)Angola
Jack Up Units
Scarabeo 9 (W.D.:12.000 ft)Cuba
Scarabeo 8 (W.D.: 10.000 ft)Norway – North Sea
Selected Drilling AssetsFrom a total of 24 wholly-owned offshore units and almost 100 onshore rigs
5824– Helioportable Rig –Ecuador/Perù
5898 – 1500 HP Desert Enviroment –Algeria/Arabia
5946 – 3000 HP Winterized Rig Kashagan Field - Kazakhstan
Onshore Units
![Page 9: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/9.jpg)
Saipem 9
Infrastruttura Saipem
Infrastruttura Windows
Infrastruttura WAN
![Page 10: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/10.jpg)
Saipem 10
Il contesto
Il percorso
Agenda
![Page 11: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/11.jpg)
Saipem
Compliance ICT
2006/2007
2012/2013
Sarbanes-Oxley Act
General Computer Controls (GCC)Framework: COSOScope: Saipem SpAFinancial Information
IT General Controls(ITGC)Framework: COBITScope: Saipem SpA + selected OperatingCompaniesFinancial Information
L.262/05
ISO27001 Saipem ModelFramework: ISO27001Scope: Saipem GroupAll Company Information
ISO27001
ICT System of ControlFrameworks: COBIT, COSO, ISO27001Scope: Saipem GroupAll Company Information
ISoC
2008/2011
11
![Page 12: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/12.jpg)
Saipem
Compliance ICT
2006/2007Sarbanes-Oxley ActSarbanes-Oxley Act
General Computer Controls (GCC)Framework: COSOScope: Saipem SpAFinancial Information
IT General Controls(ITGC)Framework: COBITScope: Saipem SpA + selected OperatingCompaniesFinancial Information
L.262/05L.262/05
12
![Page 13: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/13.jpg)
Saipem
Nuovo Perimetro
Revisione Matrice
Verifica del Disegno
Monitoraggio di
OperativitàGestione Carenze
Monitoraggio SOX/262: processo e modello organizzativo
COSO
Sarbanes-Oxley Act
Matrice dei Controlli Rischio Controllo Procedura di test
• SOX: da Eni• 262: da Saipem
Corporate IT Compliance• IT Risk Owner
• Referente di Attuazione del Monitoraggio• Team di Supporto/Monitoraggio
Local IT Operations• IT Control Owner
• Local IT Manager/IT Coordinator
Modello Organizzativo
Matrice dei Controlli
L.262/2005
COBIT
13
![Page 14: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/14.jpg)
Saipem
Compliance ICT
2006/2007Sarbanes-Oxley Act
General Computer Controls (GCC)Framework: COSOScope: Saipem SpAFinancial Information
IT General Controls(ITGC)Framework: COBITScope: Saipem SpA + selected OperatingCompaniesFinancial Information
L.262/05
ISO27001 Saipem ModelFramework: ISO27001Scope: Saipem GroupAll Company Information
ISO27001ISO27001
2008/2011
14
![Page 15: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/15.jpg)
Saipem 15
ObiettiviAdottare un sistema comune di gestione della sicurezza delle
informazioni e dei relativi processi ICT
Migliorare il livello di protezione di dati/informazioni contro minacce
interne/esterne e garantirne l'integrità, la disponibilità e la riservatezza
Creare una cultura aziendale condivisa in merito alla sicurezza ICT e volta
all’ottimizzazione dei processi
Matrice dei Controlli– Modello Saipem ISO27001Matrice dei Controlli– Modello Saipem ISO27001
Annex A ISO27001
Requisiti di Business
Progetto ISO27001
Lo Standard ISO27001 come framework
![Page 16: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/16.jpg)
Saipem
Invio Matrice Interviste Valutazione
controlliIdentificazione
gapCondivisione
risultatiRemediation
Plan
16
ISO27001: processo e modello organizzativo
Corporate IT Compliance• IT Lead Auditor
• IT Auditors• Team di Supporto/Monitoraggio
Remediation Plan
Local IT Operations• Local IT Manager/IT Coordinator
Modello Organizzativo
Matrice dei Controlli– Modello Saipem ISO27001Matrice dei Controlli– Modello Saipem ISO27001
ASSESSMENT
Chiusura gapTest
(disegno/operatività)Implementazione
ActionCondivisione Action
PlanProposta Action
Plan
MONITORAGGIO
Coordinamento e Supporto “attivo”
~ 200 “contatti” mensili con Local IT Manager
20 Videoconferenze/mese 80 call conference/mese 100 email/mese
![Page 17: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/17.jpg)
Saipem 17
Gli assessment ISO27001 (1/2)
Assessment ISO27001 eseguiti
Società Saipem
28 Assessments eseguiti 69 interviste effettutate 2952 controlli testati (2393 valutati) 38 Server Rooms visitate (~16,000
postazioni di lavoro) ~1300 applicativi censiti 154 procedure & 461 documenti
raccolti e analizzati 1135 gap identificati:
616 gap chiusi (test disegno/operatività)
228 gap aperti 145 gap in attesa Linee Guida
Corporate 98 test di operatività in corso 48 test di operativa pianificati
![Page 18: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/18.jpg)
Saipem 18
Gli assessment ISO27001 (2/2)
Risultati Assessment
2012
A.5 - Security Policy A.6 - Organization of Information Security A.8 - Human Resources SecurityA.9 - Physical and Environmental SecurityA.14 - Disaster Recovery and Service Continuity ManagementA.15 - Compliance
A.7 - Asset Management A.10 - Communications and Operations Management A.11 - Access ControlsA.12 - Information Systems Acquisition, Development and MaintenanceA.13 - Information Security Incident Management
![Page 19: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/19.jpg)
Saipem
Compliance ICT
2006/2007
2012/2013
Sarbanes-Oxley Act
General Computer Controls (GCC)Framework: COSOScope: Saipem SpAFinancial Information
IT General Controls(ITGC)Framework: COBITScope: Saipem SpA + selected OperatingCompaniesFinancial Information
L.262/05
ISO27001 Saipem ModelFramework: ISO27001Scope: Saipem GroupAll Company Information
ISO27001
ICT System of ControlFrameworks: COBIT, COSO, ISO27001Scope: Saipem GroupAll Company Information
ISoCISoC
2008/2011
19
![Page 20: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/20.jpg)
Saipem 20
Il nuovo modello di Governance: L’Organizzazione
Organizzazione IT Dept.Organizzazione IT Dept.
2012
2006
![Page 21: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/21.jpg)
Saipem 21
Il nuovo modello di Governance: ISoC
MATRICE DEI CONTROLLI
ISoC
Matrice dei Controlli
SOX Matrice dei Controlli
262
Matrice dei Controlli
ISO27001
IRESICT Regulations and
Standards
Assessment•IT Lead Auditor
• IT Auditors
Gestione•IT Risk Owner
• Referente di Attuazione del Monitoraggio
• Team di Supporto e Monitoraggio
Implementazione di un Information Security Management System
(certificazione ISO27001)
![Page 22: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/22.jpg)
Saipem
ISoC: Le Procedure
Revisione Corpo Procedurale ICTRevisione Corpo Procedurale ICT
Processo di gestione
1. Pianificazione annuale2. Assegnazione di un owner per ogni procedura3. Monitoraggio di attuazione del piano (con KPI)
OBIETTIVO: Assicurare la Compliance a norme e Standard nazionali e internazionali
applicabli all’ICT e ai requisiti di business
ATTIVITÀ
AssessmentISO27001
Requisiti ICT e di business
Contesto legislativo e
StandardDRIVER
Modello Corporate STD Corporate Standard
Procedure
• Policy• Controlli• Segregation of Duties• Vincoli
WI Local Work InstructionWI Local Work InstructionWI Local Work Instruction
WI Local Work Instruction
• Processi• Ruoli e responsabilità
• Verifica Compliance a STD• Supporto all’implementazione
22
![Page 23: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/23.jpg)
Saipem 23
Modello di Gestione Rischio-PaeseModello di Gestione Rischio-Paese
ISoC: la Gestione del Rischio (1/2)
Electronic Data Classification & Risk Analysis ProgramRisk Analysis
Objective: Opportunity to know & mitigate or accept
remaining risk• Understand Risk remaining (Low, Medium or
High) Survey responded to by ICT (Security)
Manager Locally identified security threats analyzed
Data Classification
Objective: Opportunity to manage data and protection
measures according to its valueENI Approach:
Understand Value of data (Low, Medium orHigh)
![Page 24: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/24.jpg)
Saipem 24
Modello di Gestione Rischio-PaeseModello di Gestione Rischio-Paese
ISoC: la Gestione del Rischio (2/2)
Definizione Misure Minime Di Sicurezza nell’IT nei paesi a rischio
R
Disaster Recovery Plan
< ...
Disaster Recovery Plan
Piano di Sicurezza IT: servizi e asset critici + misure preventive per salvaguardarli
Piano di Crisi IT: azioni in caso di crisi socio-politica
> ...
![Page 25: COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE … · 2015-03-07 · COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA? 13 Dicembre 2012. Saipem 2](https://reader031.vdocumenti.com/reader031/viewer/2022013022/5f9e6d35ba38fe468c0636c0/html5/thumbnails/25.jpg)