auditing the cloud - aiea · source: kpmg international, 2011, “clarity in the cloud - a global...
TRANSCRIPT
Auditing the Cloud
Milano
12 aprile 2012
1 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Agenda
■ Il Cloud Computing
■ KPMG Global Cloud Survey
■ Le tipologie di Cloud Computing e la rete di relazioni tra attori del Cloud Computing
■ I key risks e le sfide legate al Cloud Computing
■ L’impatto del Cloud Computing sulle Business Operations
■ La Governance nel Cloud Computing
■ Auditing the Cloud
■ I principali standard di riferimento
■ Le azioni di controllo indicate dal Garante della Privacy
■ Cloud Computing Management Audit/Assurance Program - ISACA
■ Conclusioni
■ Domande
2 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Il Cloud Computing
L’offerta di servizi di Cloud Computing sta maturando, aiutata dai rilevanti investimenti dei leader del settore e da start-up focalizzate
Il concetto di creazione di valore del Cloud Computing è semplice: gli utenti possono sfruttare un'ampia gamma di risorse, senza l'investimento di capitale o di manutenzione delle infrastrutture necessarie per costruire e mantenere questi servizi all'interno della struttura aziendale con buoni livelli di scalabilità
Cos’è il Cloud Computing? Il Cloud Computing è un insieme di tecnologie che consentono l’accesso a risorse hardware (storage, CPU, reti, server) o software (applicazioni e servizi) distribuite in remoto e configurabili ad hoc per l'utilizzo richiesto. Altre definizioni da letteratura e istituzioni: ■ Google “Applicazioni e piattaforme in hosting, costruite su di un’infrastruttura condivisa, ed erogate via
browser web” ■ IBM “Is an all-inclusive solution in which all computing resources (hardware, software, networking, storage,
and so on) are provided rapidly to users as demand dictates” ■ IDC “L’accesso avviene attraverso la rete Internet. E’ semplificato, per cui bastano skill IT elementari per
l’utilizzo. La fornitura dei servizi è automatica (self-service, real time). Il prezzo è tipicamente contenuto e basato sull’utilizzo. Le interfacce di integrazione si basano sugli standard dei Web Services. Si tratta tipicamente di servizi one-to-many, ma costituti da moduli configurabili dall’utente”
■ Amazon e Oracle “Cloud computing is about a platform, on which to run a wide variety of applications and tools. It must
be virtualized and elastic, including both hardware and software”
3 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Da una survey globale condotta da KPMG su 15 paesi tra febbraio e aprile 2011, su un campione di 806 clienti e 123 provider, emerge come il nuovo paradigma chiede agli executive di guardare a vecchi problemi in una nuova luce e di creare nuove opportunità
KPMG Global Cloud Survey
Which of the following best describes the impact of cloud on your business model?
1%
12%
35%
50%
32%
39%
32%
0 10 20 30 40 50 60
Other
No significant impact
It will accelerate time to market
It will reduce costs
It will provide management with greater transparency on transactions
It will change our interaction with customers and suppliers
It will fundamentally change our business model
How important are strategic factors in driving your organization’s adoption of a cloud environment (*)?
Multiple response allowed. Source: KPMG International, 2011, “Clarity in the Cloud - A global study of the business adoption of Cloud”
2%
3%
19%
44%
33%
0 10 20 30 40 50
Extremely unimportant
Unimportant
Neither important nor unimportant
Important
Extremely important
Figures may not add up to 100% due to rounding. Source: KPMG International, 2011, “Clarity in the Cloud - A global study of the business adoption of Cloud” (*) Strategic factors (e.g. business process transformation, linkage to business partners, speed to market, focus on core competencies)
4 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Le tipologie di Cloud Computing
I servizi Cloud possono essere classificati per:
■ Tipologia di soluzione
Software as a Services (SaaS)
Capacità di utilizzare le applicazioni del provider di servizi operanti su un’infrastruttura Cloud. Le applicazioni sono accessibili da differenti dispositivi client, mediante interfaccia
Capacità di rilasciare, su un’infrastruttura Cloud, applicazioni sviluppate dal cliente o acquistate usando linguaggi e strumenti di programmazioni supportati dal service provider
Platform as a Services (PaaS)
Capacità di fornire strumenti di elaborazione, di archiviazione e di connettività e altre risorse informatiche fondamentali, permettendo al cliente di rilasciare e utilizzare software arbitrari, che possono includere sistemi operativi e applicazioni
Infrastructure as a Services (IaaS)
Public Cloud
Modello di Cloud Computing che prevede
l’utilizzo di software o hardware di terze parti
mediante connessione alla rete internet
Hybrid Cloud
Modello di Cloud Computing che prevede la
presenza di molteplici fornitori interni ed esterni
per l’utilizzo dell’infrastruttura IT
Community of Cloud
Modello di Cloud Computing che prevede la
condivisione dell’infrastrutture IT da
parte più organizzazioni in modo da permettere un
controllo sui dati e maggiore efficienza
Private Cloud
Modello di Cloud Computing che consiste
nella gestione dell’infrastruttura IT interna
basata sulla virtualizzazione per avere un maggior controllo sui
dati
■ Tipologia di infrastruttura
5 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
La rete di relazioni tra attori del Cloud Computing
Una soluzione di Cloud Computing prevede la contemporanea presenza di molteplici attori che usufruiscono, erogano, gestiscono e controllano i servizi offerti
Il modello identificato dal NIST, all’interno del gruppo di lavoro ITLCCP (Information Technology Laboratory Cloud Computing Program), evidenzia le relazioni tra tutti i soggetti presenti in modo da indirizzare opportunamente le attività da attivare
Cloud Consumer
Cloud Auditor
Cloud Provider Cloud Broker
(An entity that manages the use, performance and delivery of Cloud services,
and negotiates relationships between
Cloud Providers and Cloud Consumers)
Cloud Carrier
Information Technology Laboratory Cloud Computing Program
Security Audit
Privacy Audit
Performance Audit
Pri
vacy
Sec
urity
Service Layer
Resource Abstractionand Control Layer
Physical Resource Layer
Hardware
Facility
SaaS
PaaS
IaaS
Cloud Service
Management
BusinessSupport
Provisioning/Configuration
Portability/Interoperability
ServiceIntermediation
ServiceAggregation
ServiceArbitrage
6 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
I key risks e le sfide legate al Cloud Computing
La dinamicità tipica del contesto di Cloud Computing può comportare una situazione di forte esposizione al rischio da parte dell’organizzazione: si rende pertanto necessario tener conto di una molteplicità di fattori che devono essere correttamente presidiati mediante un’adeguata organizzazione e gestione degli stessi
Perdita dei dati
Non compliance normativa
Compromissione dei dati
Inaccessibilità/ indisponibilità del
servizio
Effetto Lock-In
Interruzione di continuità operativa
Non compliance a standard di settore
Protezione delle informazioni
Gestione dei rischi
Monitoraggio e controllo
7 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
I key risks e le sfide legate al Cloud Computing
Oltre all’aspetto tecnologico, l’adozione del Cloud Computing richiede un attento esame dei potenziali rischi operativi connessi e delle sfide sottese
Da una survey globale condotta da KPMG emerge quanto gli aspetti legati alla Sicurezza costituiscano una delle sfide principali in uno scenario di adozione di soluzioni cloud
Other
Dissatisfaction with offerings/pricing by vendors
Lack of customization opportunities
Difficulty making a business case for adopting a cloud environment
Not sure the promise of a cloud environment can be realized
Lack of confidence in ability of cloud vendors to perform
Response time
Regulatory compliance
Measuring ROI
Availability
Loss of control over data with respect to customers
Difficulty integrating cloud with existing systems
Performance
Security
2%
8%
9%
12%
13%
13%
13%
14%
15%
15%
16%
18%
20%
29%
44%
0 10 20 30 40 50
IT governance
What do you believe are the top challengers or concerns your organization faces in adopting a cloud environment?
Multiple responses allowed. Source: KPMG International, 2011, “Clarity in the Cloud - A global study of the business adoption of Cloud”
8 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
L’impatto del Cloud Computing sulle Business Operations
L'adozione di una soluzione Cloud ha un forte impatto sull’IT, ma non solo. Anche le attività business-critical ne
sono impattate
Quali sono quindi le principali sfide per le organizzazioni che intendono adottare una soluzione Cloud?
Business Operations
Financial Management and Tax
Security and Privacy
Operational
Regulatory and Compliance
Data & Technology
Vendor Management
Source: KPMG International, 2011, “Clarity in the Cloud - A global study of the business adoption of Cloud”
9 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
■ Movement from CapEx to OpEx model impacts existing budgeting, forecasting and reporting processes
■ CapEx to OpEx model and changes in the character and source of service impacts tax considerations
■ Outdated tax laws and regulations create uncertainty when characterizing the various cloud transactions
■ Cloud ROI and cost/benefit analysis are complicated by need for knowledge of existing cost of delivery and future use of service
■ Cloud adoption introduces rapid change in the organization
■ Cloud sourcing may impact existing organizational roles and could require new skills or make others redundant
■ Business resiliency/disaster recovery needs and plans will change and require updating
L’impatto del Cloud Computing sulle Business Operations
La gestione appropriata delle soluzioni di Cloud Computing consente un adeguato presidio dei possibili rischi derivanti dalle stesse
■ Data may be stored in cloud without proper customer segregation allowing possible accidental or malicious disclosure to third parties and/or in a legal jurisdiction where the rights of data subject are not protected
■ Loss of governance of critical areas, e.g., vulnerability management, infrastructure hardening, or physical security
■ Weak logical access controls due to cloud vendor’s IAM immaturity Business
Operations
Security and
Privacy
Regulatory and
Compliance Data &
Technology
Vendor Management
Operational
Financial Management
and Tax
Source: KPMG International, 2011, “Clarity in the Cloud - A global study of the business adoption of Cloud”
10 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
■ Lack of visibility into the Cloud Service Providers (CSPs) operations inhibits analysis of its compliance with pertinent laws and regulations
■ Complexity of records management/records retention creates challenges
■ Lack of industry standards and certifications for cloud providers creates risks
L’impatto del Cloud Computing sulle Business Operations
■ Risk of creating independent silos of information perpetuate the problem of data integrity, quality, and insight
■ Business can bypass the IT function to implement technology solutions, posing challenges for IT governance
■ Cloud delivery models dramatically change how IT delivers technology services to support business requirements
■ Cloud adoption opens the four Data Center walls to external IT Services providers, creating new risks ■ Lack of clarity of ownership responsibilities between
cloud vendor and user company
■ No prevalent standards for vendor interoperability
■ Extensive reliance on CSPs
Business Operations
Security and
Privacy
Data & Technology
Regulatory and
Compliance
Financial Management
and Tax
Vendor Management
Operational
La gestione appropriata delle soluzioni di Cloud Computing consente un adeguato presidio dei possibili rischi derivanti dalle stesse
Source: KPMG International, 2011, “Clarity in the Cloud - A global study of the business adoption of Cloud”
11 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
La Governance nel Cloud Computing
Una corretta Governance degli aspetti critici delle soluzioni di Cloud Computing consente un allineamento al business focus e tiene in considerazione i principali IT Issues
La dinamicità del contesto Cloud e la gestione degli aspetti ad esso correlati – dall’aspetto tecnologico, agli aspetti di gestione dei rischi e delle sfide – comportano l’esigenza di prestare particolare attenzione al presidio della soluzione di Cloud Computing individuata
Come assicurarsi che la soluzione di Cloud Computing risponda in maniera adeguata alle esigenze di Business?
La governance della soluzione Cloud diventa un driver fondamentale: occorre allineare l’applicazione delle soluzioni individuate con gli obiettivi aziendali di business
In aggiunta, vanno correttamente indirizzate le tematiche IT: IT Security; Local Regulation and Compliance; Data Retention; Business Continuity; …
12 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
La Governance nel Cloud Computing
Corporate Governance
IS Governance
IT Governance
Business
Information Systems
■ Strategie e orientamento
■ Cultura e organizzazione
■ Politiche
■ Processi
■ Rischi
■ Misure
■ Controllo e gestione dei rischi ■ Compliance alle normative ■ Misurazione delle performance ■ Creazione di valore
L’ IS Governance individua una serie di elementi che consentono alle aziende di:
■ Allineare gli obiettivi dei sistemi informativi con quelli di business
■ Implementare controlli in linea con le normative esterne
■ Gestire i rischi
■ Misurare le performance rispetto agli obiettivi
■ Infrastrutture
■ Architetture
■ Applicazioni
13 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
La Governance nel Cloud Computing
L’obiettivo principale della governance delle soluzioni di Cloud Computing richiede la gestione di tutti quegli aspetti che potrebbero potenzialmente generare un rischio per l’organizzazione
A tal fine, occorre definire e implementare:
■ un framework di policy e procedure finalizzate all’indirizzamento degli IT Issues presi in considerazione
■ un appropriato sistema di monitoraggio e controllo, basato su requisiti e indicatori di performance adeguatamente selezionati in funzione del target objective dell’organizzazione in merito alle soluzioni di Cloud Computing adottate
Come garantire una corretta governance della soluzione Cloud?
LocalRegulation
and Compliance
CLOUD COMPUTING
IT & Business
Alignmnnt
Alignmentwith
Business focus
IT Security
Data Protection
Business Continuity
Legal & Fiscal
constraints
IS Governance
14 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Auditing the Cloud
L’IS Auditing consiste in un processo di verifica, sistematico e documentato, relativo alla conformità dei sistemi informativi di un’azienda o organizzazione rispetto a quanto previsto da norme, regolamenti o politiche interne
Attraverso l’attività di Audit, un’organizzazione ha la possibilità di verificare la corretta implementazione e il rispetto del Sistema di Governance
15 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Alcuni Framework adattabili al Cloud
I principali standard di riferimento
L’attualità delle tematiche di Cloud Computing, la dinamicità tipica del contesto Cloud, nonché l’eterogeneità degli effetti introdotti dalle soluzioni di Cloud Computing ha destato l’interesse di notevoli fonti autorevoli in materia
ISO 2700x
ISO/IEC 2700x è la famiglia di standard internazionali che delineano il Sistema di Gestione della Sicurezza delle Informazioni. Fa parte della famiglia ISO 2700x, la norma ISO/IEC 27001, che determina i requisiti in ambito di impostazione e gestione di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI – ISMS): obiettivo dello standard è quindi quello di fornire i requisiti per la definizione, l’implementazione, il monitoraggio ed il miglioramento continuo di un SGSI
Si tratta di una delle certificazioni più importanti per la realtà aziendale, poiché le informazioni rappresentano un vero e proprio patrimonio la cui gestione diventa strategica per la tutela e lo sviluppo dell‘azienda
COBIT
Framework sviluppato da ISACA come riferimento per i controlli di governance dei processi IT, COBIT (Control Objectives for Information and related Technology) definisce inoltre uno strumento per la valutazione della maturità del controllo
I controlli e i processi declinati all’interno del framework COBIT costituiscono una base per implementare una struttura di governance a supporto dei servizi di Cloud Computing
Sono disponibili mappature con NIST Special Publication (SP) 800-53, ISO 17799, ITIL, Capability Maturity Model Integration (CMMI) and Project Management Body of Knowledge (PMBOK)
IT Governance
ResourceManagement
16 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Alcuni Framework per il Cloud
I principali standard di riferimento
Cloud Controls Matrix
Distribuito da CSA (Cloud Security Alliance) nel mese di aprile 2010, è un framework adottato come baseline per specifici controlli legati al cloud, specificamente progettato per fornire i principi fondamentali di sicurezza per guidare e assistere i fornitori di ed i potenziali clienti nella valutazione complessiva dei rischi per la sicurezza di un CSP. La matrice CSA è composta da controlli che derivano da: HIPAA, ISO/IEC 27001/27002, COBIT, PCI e NIST
NIST SP 800-14x
Tra la serie di pubblicazioni del National Institute of Standards and Technology (NIST), vi è la serie 800 – 14x, che ha l’obiettivo di indirizzare tematiche inerenti gli aspetti tecnologici dell’Information Security, in modo similare a ISO e COBIT
Afferiscono quindi a tale area anche pubblicazioni “Cloud oriented”, in particolare: ■ SP 800-144: Guidelines on Security and Privacy in Public Cloud Computing ■ SP 800-145: The NIST Definition of Cloud Computing ■ SP 800-146: Cloud Computing Synopsis and Recommendations (ancora DRAFT)
ENISA
European Network and Information Security Agency (ENISA) è un’agenzia dell’EU dedicata allo studio e divulgazione della cultura della Sicurezza delle Informazioni
Nel Novembre 2009, ENISA ha pubblicato il report “Cloud Computing - Benefits, Risks and Recommendations for Information Security”, che definisce una moltitudine di rischi nel cloud, coprendo tutte le tipologie di servizio e di modello di deployments delle varie soluzioni offerte
17 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Le azioni di controllo indicate dal Garante della Privacy
Ponderare prioritariamente rischi e benefici dei servizi offerti
Effettuare una verifica in ordine all’affidabilità del fornitore
Privilegiare i servizi che favoriscono la portabilità dei dati
per evitare rischi legati al lock-in
Informarsi su dove risiederanno, concretamente, i dati
(in modo da stabilire la giurisdizione e la legge applicabile)
Attenzione alle clausole contrattuali (valutando l’idoneità delle condizioni
contrattuali per l’erogazione del servizio)
Verificare le politiche di persistenza dei dati legate alla loro
conservazione
Assicurarsi la disponibilità dei dati in caso di necessità
Selezionare i dati da inserire nella Cloud
(coerentemente con le misure di sicurezza necessarie)
Non perdere di vista i dati (identificare il ciclo di vita del dato
implementato dal fornitore)
Esigere e adottare opportune cautele per tutelare la confidenzialità dei dati
Formare adeguatamente il personale mediante specifici
interventi formativi
Nel documento “Cloud Computing: indicazioni per l’utilizzo consapevole dei servizi”, emesso dal Garante della Privacy, sono indicate una serie di azioni di controllo da attuare precedentemente all’avvio di un progetto di Cloud Computing
18 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Objective
The Cloud Computing audit/assurance review will:
■ Provide stakeholders with an assessment of the effectiveness of the Cloud Computing service provider’s internal controls and security
■ Identify internal control deficiencies within the customer organization and its interface with the service provider
■ Provide audit stakeholders with an assessment of the quality of and their ability to rely on the service provider’s attestations regarding internal controls
The Cloud Computing audit/assurance review is not designed to replace or focus on audits that provide assurance of specific application processes and excludes assurance of an application’s functionality and suitability
Scope
The review will focus on:
■ The governance affecting Cloud Computing
■ The contractual compliance between the service provider and customer
■ Control issues specific to Cloud Computing
The ISACA
Approach
1 Planning and Scoping
the Audit
2 Governing the
Cloud
3 Operating in the
Cloud
Il documento “IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud”, pubblicato da ISACA, fornisce ai soggetti interessati (Cloud User) le linee guida per l’audit della propria soluzione Cloud e della gestione del rapporto con il Cloud Service Provider
Fonte: Cloud Computing Management Audit/Assurance Program – ISACA © 2011 ISACA. All rights reserved.
Cloud Computing Management Audit/Assurance Program – ISACA
19 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
1 Planning and Scoping
the Audit
2 Governing the Cloud
3 Operating in
the Cloud
1.1 Define the audit/assurance objectives
1.2 Define the boundaries of review
1.3 Identify and document the risk
1.4 Define the change process
1.5 Define assignment success
1.6 Define the audit/assurance resources required
1.7 Define deliverables
1.8 Communications
2.1 Governance and Enterprise Risk Management
2.2 Legal and Electronic Discovery
2.3 Compliance and Audit
2.4 Portability and Interoperability
3.1 Incident Response, Notification and Remediation
3.2 Application Security
3.3 Data Security and Integrity
3.4 Identity and Access Management
3.5 Virtualization
The COBIT cross-reference provides the audit and assurance professional with the ability to refer to the specific COBIT control objective that supports the audit/assurance step
Multiple cross-references are not uncommon
The audit/assurance program is organized in a manner to facilitate an evaluation through a structure parallel to the development process. COBIT provides in-depth control objectives and suggested control practices at each level
COBIT Cross-
reference
Fonte: Cloud Computing Management Audit/Assurance Program – ISACA © 2011 ISACA. All rights reserved.
Cloud Computing Management Audit/Assurance Program – ISACA
20 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
1. Planning and Scoping the Audit
2. Governing the Cloud
3. Operating in the Cloud
Audit/Assurance Program Step
Audit/Assurance Objective Rif. COBIT
The audit/assurance objectives are high level and describe the overall audit goals
The review must have a defined scope. Understand the core business process and its alignment with IT, in its noncloud form and current or future cloud implementation
The risk assessment is necessary to evaluate where audit resources should be focused. In most enterprises, audit resources are not available for all processes. The risk-based approach assures utilization of audit resources in the most effective manner
N/A
Cloud Computing Management Audit/Assurance Program – ISACA
1.1 Define the audit/assurance objectives
1.2 Define the boundaries of review
1.3 Identify and document
risks
21 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
1.4 Define the change process
1.5 Define assignment
success 1.6 Define the
audit/assurance resources required
The initial audit approach is based on the reviewer’s understanding of the operating environment and associated risks. As further research and analysis are performed, changes to the scope and approach may result
The success factors need to be identified. Communication among the IT audit/assurance team, other assurance teams and the enterprise is essential
The audit/assurance resources required for a successful review need to be defined. (Refer to the Minimum Audit Skills section in section V.)
Cloud Computing Management Audit/Assurance Program – ISACA
1. Planning and Scoping the Audit
2. Governing the Cloud
3. Operating in the Cloud
Audit/Assurance Program Step
Rif. COBIT
N/A
Audit/Assurance Objective
22 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
The deliverable is not limited to the final report. Communication between the audit/assurance teams and the process owner about the number, format, timing and nature of deliverables is essential to assignment success
The audit/assurance process must be clearly communicated to the customer/client
Cloud Computing Management Audit/Assurance Program – ISACA
1. Planning and Scoping the Audit
2. Governing the Cloud
3. Operating in the Cloud
Audit/Assurance Program Step
Rif. COBIT
1.7 Define deliverables
1.8 Communications
N/A
Audit/Assurance Objective
23 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
2.1 Governance and Enterprise Risk Management 2.1.1 Governance
2.1.2 Enterprise Risk Management
Governance functions are established to ensure effective and sustainable management processes that result in transparency of business decisions, clear lines of responsibility, information security in alignment with regulatory and customer organization standards, and accountability
Risk management practices are implemented to evaluate inherent risks within the Cloud Computing model, identify appropriate control mechanisms, and ensure that residual risk is within acceptable levels
■ ME1 ■ ME2 ■ ME4 ■ PO4 ■ DS1 ■ DS2 ■ DS5
■ PO9 ■ ME4 ■ DS1 ■ DS2
1. Planning and Scoping the Audit
2. Governing the Cloud
3. Operating in the Cloud
Audit/Assurance Program Step
Rif. COBIT
Cloud Computing Management Audit/Assurance Program – ISACA
Audit/Assurance Objective
24 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
2.1 Governance and Enterprise Risk Management 2.1.3 Information Risk
Management
2.1.4 Third-party Management
A process to manage information risk exists and is integrated into the organization’s overall ERM framework. Information risk management information and metrics are available for the information security function to manage risks within the risk tolerance of the data owner
The customer recognizes the outsourced relationship with the service provider. The customer understands its responsibilities for controls, and the service provider has provided assurances of sustainability of those controls
■ PO9 ■ DS5 ■ ME4
■ DS2 ■ DS4 ■ ME2 ■ ME3
1. Planning and Scoping the Audit
2. Governing the Cloud
3. Operating in the Cloud
Audit/Assurance Program Step
Rif. COBIT
Cloud Computing Management Audit/Assurance Program – ISACA
Audit/Assurance Objective
25 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
2.2 Legal and Electronic Discovery 2.2.1 Contractual
Obligations
2.2.2 Legal Compliance
The service provider and customer establish bilateral agreements and procedures to ensure contractual obligations are satisfied, and these obligations address the compliance requirements of both the customer and service provider
Legal issues relating to functional, jurisdictional and contractual requirements are addressed to protect both parties, and these issues are documented, approved and monitored
■ DS1 ■ DS2 ■ ME2 ■ ME3
■ DS1 ■ ME3
1. Planning and Scoping the Audit
2. Governing the Cloud
3. Operating in the Cloud
Audit/Assurance Program Step
Rif. COBIT
Cloud Computing Management Audit/Assurance Program – ISACA
Audit/Assurance Objective
26 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
2.3 Compliance and Audit 2.3.1 Right to Audit
2.3.2 Auditability
2.3.3 Compliance Scope
The right to audit is clearly defined and satisfies the assurance requirements of the customer’s board of directors, audit charter, external auditors and any regulators having jurisdiction over the customer
The service provider’s operating environment should be subject to audit to satisfy the customer’s audit charter, compliance requirements and good practice controls without restriction
The use of Cloud Computing does not invalidate or violate any customer compliance agreement
■ ME2 ■ ME3
■ DS2 ■ ME2 ■ ME3
■ ME3
1. Planning and Scoping the Audit
2. Governing the Cloud
3. Operating in the Cloud
Audit/Assurance Program Step
Rif. COBIT
Cloud Computing Management Audit/Assurance Program – ISACA
Audit/Assurance Objective
27 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
2.3.4 ISO 27001 Certification
2.4 Portability and Interoperability 2.4.1 Service Transition
Planning
Service provider security assurance is provided through ISO27001 Certification
Planning for the migration of data, such as formats and access, is essential to reducing operational and financial risks at the end of the contract. The transition of services should be considered at the beginning of contract negotiations
1. Planning and Scoping the Audit
2. Governing the Cloud
3. Operating in the Cloud
Audit/Assurance Program Step
Rif. COBIT
Cloud Computing Management Audit/Assurance Program – ISACA
■ DS5 ■ ME2 ■ ME3 ■ PO2 ■ PO4
Audit/Assurance Objective
28 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Incident notifications, responses, and remediation are documented, timely, address the risk of the incident, escalated as necessary and are formally closed
Applications are developed with an understanding of the interdependencies inherent in cloud applications, requiring a risk analysis and design of configuration management and provisioning process that will withstand changing application architectures
3.1 Incident Response, Notification and Remediation 3.1.1 Incident Response
3.1.2 Service Provider Issue Monitoring
3.1.3 Customer Issue Monitoring
3.2 Application Security 3.2.1 Application Security
Architecture
1. Planning and Scoping the Audit
2. Governing the Cloud
3. Operating in the Cloud
Audit/Assurance Program Step
Rif. COBIT
Cloud Computing Management Audit/Assurance Program – ISACA
■ DS1 ■ DS2 ■ DS5 ■ DS8
■ AI2 ■ DS5 ■ DS9
Audit/Assurance Objective
29 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Compliance requirements are an integral component of the design and implementation of the application security architecture
Use of development tools, application management libraries and other software are evaluated to ensure their use will not negatively impact the security of applications
For SaaS implementations, the application outsourced to the cloud contains the appropriate functionality and processing controls required by the customer’s control policies within the processing scope (financial, operational, etc.)
3.2.2 Compliance
3.2.3 Tools and Services
3.2.4 Application Functionality
1. Planning and Scoping the Audit
2. Governing the Cloud
3. Operating in the Cloud
Audit/Assurance Program Step
Rif. COBIT
Cloud Computing Management Audit/Assurance Program – ISACA
■ AI2 ■ ME3
■ AI2 ■ AI3 ■ DS5 ■ DS9
■ ME2
Audit/Assurance Objective
30 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Data are securely transmitted and maintained to prevent unauthorized access and modification
Encryption keys are securely protected against unauthorized access, separation of duties exists between the key managers and the hosting organization, and the keys are recoverable
3.3 Data Security and Integrity 3.3.1 Encryption
3.3.2 Key Management
1. Planning and Scoping the Audit
2. Governing the Cloud
3. Operating in the Cloud
Audit/Assurance Program Step
Rif. COBIT
Cloud Computing Management Audit/Assurance Program – ISACA
■ AI7 ■ DS5 ■ DS11 ■ DS4 ■ DS5
Audit/Assurance Objective
31 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Identity processes assure only authorized users have access to the data and resources, user activities can be audited and analyzed, and the customer has control over access management
Virtualization operating systems are hardened to prevent cross-contamination with other customer environments
3.4 Identity and Access Management 3.4.1 Identity and Access
Management
3.5 Virtualization 3.5.1 Virtualization
1. Planning and Scoping the Audit
2. Governing the Cloud
3. Operating in the Cloud
Audit/Assurance Program Step
Rif. COBIT
Cloud Computing Management Audit/Assurance Program – ISACA
■ DS5 ■ PO3
■ DS2 ■ DS5
Audit/Assurance Objective
32 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Conclusioni
■ L’adozione delle soluzioni Cloud rappresenta una significativa evoluzione nella fornitura di servizi IT e di business, con forti impatti anche sull’operatività e sull’efficienza aziendale
■ Il vecchio paradigma IT sembra non essere più all'altezza delle aspettative del Business, e le aziende stesse sono alla ricerca di concetti nuovi. Una valida alternativa può essere offerta dal Cloud Computing, permettendo una rivisitazione del proprio “parco IT”, inclusi hardware e software, e riguadagnando autorità sul proprio business aziendale, mantenendo altresì sotto controllo i costi ed assicurandosi una sempre crescente flessibilità ed agilità
■ Tali aspetti debbono però essere valutati alla luce delle questioni critiche e delle sfide citate, quali la gestione del rischio, la compliance, gli aspetti fiscali e di altro tipo, nonché l’attuale evoluzione normativa sulla data protection (ma non solo), che possono avere implicazioni per l'adozione del Cloud
Una corretta governance di questi aspetti, garantita da una adeguata attività di auditing, consente di affrontare questo nuovo scenario con meno complessità
33 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Domande …
Grazie per l’attenzione! Contatti
Laura Quaroni Manager KPMG S.p.A. T: 02-67632863 - 3488289009 E: [email protected] www.kpmg.it
© 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati.
Denominazione e logo KPMG e "cutting through complexity" sono marchi e segni distintivi di KPMG International.
Tutte le informazioni qui fornite sono di carattere generale e non intendono prendere in considerazione fatti riguardanti persone o entità particolari. Nonostante tutti i nostri sforzi, non siamo in grado di garantire che le informazioni qui fornite siano precise ed accurate al momento in cui vengono ricevute o che continueranno ad esserlo anche in futuro. Non è consigliabile agire sulla base delle informazioni qui fornite senza prima aver ottenuto un parere professionale ed aver accuratamente controllato tutti i fatti relativi ad una particolare situazione.