8.1
Le operazioni IT devono soddisfare i requisiti derivanti dall'attuazione della strategia
aziendale e dai processi aziendali supportati dall'IT (cfr. AT 7.2 (1) e (2) MaRisk).
|
|
|
- |
8.2
I componenti dei sistemi informatici e le loro interconnessioni devono essere gestiti
in modo adeguato e i dati di inventario registrati a tale scopo devono essere aggiornati
regolarmente e secondo necessità. I dati di inventario comprendono in particolare:
|
|
|
- |
| Esistenza e destinazione d'uso dei componenti del sistema IT con dettagli rilevanti
sulla configurazione (ad es. versione e livello di patch)
|
Gestione dell'inventario completamente automatizzata a tutti i livelli dell'IT: infrastruttura,
componenti di sistema, applicazioni e dispositivi degli utenti finali (approccio full-stack).
|
|
100%
 |
|
Durante il processo di registrazione, le versioni dei sistemi operativi, dei linguaggi
di programmazione, dei framework e delle applicazioni in uso al momento della registrazione
vengono determinate in modo completamente automatico.
|
|
100%
|
|
I dati provenienti da sistemi di terze parti, quali monitoraggio IT e di rete, gestione
dei servizi IT, fornitori di servizi cloud e applicazioni aziendali, possono essere
facilmente integrati e correlati utilizzando la topologia Versio.io.
|
|
100%
|
| Proprietari di sistemi IT e dei loro componenti |
Le informazioni specifiche del cliente, come il proprietario o l'applicazione, possono
essere definite utilizzando variabili ambientali e quindi registrate in Versio.io.
Le relazioni topologiche tra gli asset e gli elementi di configurazione del panorama
IT registrato consentono quindi di interrogare anche assegnazioni di contenuti complesse.
Ciò consente, ad esempio, di determinare tutti i componenti appartenenti a un'applicazione
(top-down) o tutte le applicazioni in esecuzione su un computer (bottom-up).
|
|
100%
|
| Ubicazione dei componenti del sistema IT |
Le geolocalizzazioni o i dati relativi alla posizione possono essere trasferiti da
sistemi di terze parti, definiti da variabili ambientali o determinati derivandoli
dall'indirizzo IP.
|
|
100%
|
| Elenco delle informazioni rilevanti relative alle garanzie e ad altri contratti di
assistenza (con link, se applicabile)
|
I contratti in formato digitale (ad es. Microsoft 365) o i parametri chiave dei contratti
cartacei possono essere importati o registrati da Versio.io. Versio.io offre un'archiviazione
dei dati a prova di audit che rende tracciabile ogni stato e modifica di un contratto
durante tutto il suo ciclo di vita.
I dati dei contratti importati possono essere analizzati in base al loro contenuto
(attributi dei dati, filtri) e alle relazioni (topologia).
Tutti i dati contrattuali possono essere verificati in termini di plausibilità, integrità
e conformità. Eventuali violazioni vengono registrate in modo a prova di audit e possono
essere inviate notifiche appropriate.
|
|
100%
|
| Informazioni sulla data di scadenza del periodo di sostegno per le componenti dei
sistemi IT
|
Versio.io fornisce tutte le informazioni relative al rilascio di prodotti hardware
e software nel suo "Database di rilascio e end-of-life dei prodotti". Sulla base di
queste informazioni è possibile generare set di regole che forniscono una verifica
completamente automatizzata delle strategie di rilascio dei prodotti specifiche del
cliente. Ad esempio, è possibile verificare strategie di release quali "ultima release",
"ultima patch", "in manutenzione", "supporto fornito" o "supporto a lungo termine".
|
|
100%
|
| Requisiti di protezione per i sistemi IT e i loro componenti |
Il primo passo consiste nel determinare il livello di protezione richiesto a livello
concettuale. Versio.io offre la possibilità di rendere operativi i requisiti di protezione
per le operazioni IT nell'intero panorama IT.
I requisiti di protezione possono essere memorizzati sotto forma di variabili ambientali
o tag sui sistemi IT e sui loro componenti. Ciò consente di utilizzare i requisiti
di protezione in tutti gli scenari di implementazione successivi (ad esempio, reporting,
controlli di conformità, allocazione dei costi, ecc.).
|
|
75%
 |
| Periodo accettabile di indisponibilità dei sistemi IT e perdita massima tollerabile
di dati.
|
È possibile importare finestre di manutenzione definite da un'ampia gamma di sistemi
di terze parti (ITSM, monitoraggio) e salvarle in un database storico.
È possibile analizzare, valutare e verificare le finestre di manutenzione, comprese
le loro relazioni topologiche con i componenti IT. Ciò consente, ad esempio, di identificare
le finestre di manutenzione durante le ore critiche di attività o senza un orario
di fine.
|
|
50%
 |
8.3
Il portafoglio dei sistemi IT richiede una gestione. I sistemi IT devono essere aggiornati
regolarmente. È necessario gestire i rischi derivanti da sistemi IT obsoleti o non
più supportati dal produttore (gestione del ciclo di vita).
|
I sistemi IT vengono registrati in modo completamente automatico e continuo. Il ciclo
di aggiornamento più breve è attualmente di 1 minuto. Ciò significa che i dati sul
panorama IT sono disponibili in Versio.io quasi in tempo reale.
Vengono registrate le versioni dei sistemi operativi, dei componenti di sistema,
dei linguaggi di programmazione, delle tecnologie e delle applicazioni. Ogni modifica
di versione viene verificata rispetto al "database interno di release e end-of-life
dei prodotti" di Versio.io in base alle strategie specifiche del cliente, quali ultima
release, ultima patch, supporto a lungo termine, prodotto in manutenzione e assistenza.
|
|
100%
|
8.4
I processi per la modifica dei sistemi IT devono essere progettati e implementati
in base al tipo, all'ambito di applicazione, alla complessità e al rischio connesso.
Ciò vale anche per i nuovi acquisti o le sostituzioni di sistemi IT e per i miglioramenti
relativi alla sicurezza (patch di sicurezza). Le modifiche ai sistemi IT comprendono
anche la manutenzione dei sistemi IT. Esempi di modifiche sono:
|
|
|
- |
| Miglioramenti funzionali o correzioni di bug per componenti software |
I miglioramenti funzionali di un sistema IT consistono in modifiche alle configurazioni
oltre che al codice del software. Queste includono schemi di database, configurazioni
di file (server di applicazioni, web, messaggistica o database), artefatti DevOps
(configurazioni Docker o Kubernetes) e configurazioni di rete (attivazione di segmenti
di rete e
porte di rete). Queste configurazioni possono essere registrate e documentate
in modo completamente automatico. Ciascuna di queste modifiche può a sua volta essere
verificata in modo completamente automatico rispetto a una configurazione target,
ai requisiti di sicurezza e alle specifiche interne.
I sistemi di monitoraggio IT e di gestione dei log vengono solitamente utilizzati
per analizzare le cause degli errori. Versio.io offre il rilevamento delle modifiche
come fonte di dati aggiuntiva essenziale per identificare le cause degli errori nelle
operazioni IT.
|
|
75%
|
| migrazioni dei dati |
Con Versio.io Batch Job Monitoring, le aziende possono registrare, garantire la qualità
e ottimizzare l'esecuzione ciclica dei processi di backup giornalieri per la migrazione
dei dati in modo a prova di audit.
I dati di processo registrati possono essere verificati in termini di contenuto
per garantire la governance e la conformità. Ciò consente, ad esempio, di ricevere
una notifica in caso di fallimento di un backup o di variazioni significative dei
tempi di esecuzione rispetto alle esecuzioni precedenti.
Per garantire la qualità della migrazione dei dati, è possibile utilizzare gli importatori
di dati generici di Versio.io per determinare e garantire la completezza della migrazione
in base al numero di record di dati e alla correttezza del contenuto utilizzando cifre
di controllo (valori hash) per ogni record di dati o oggetto. Il Delta Topology Analyser
può essere utilizzato per rilevare automaticamente le differenze tra le fonti di dati
migrate e attivare avvisi se necessario.
|
|
50%
|
| Modifiche alle impostazioni di configurazione dei sistemi IT |
La competenza principale di Versio.io è il rilevamento delle modifiche e la loro post-elaborazione
(verifica, allocazione dei costi, monitoraggio dei processi, ecc.).
Versio.io memorizza ogni modifica di configurazione in modo a prova di audit. Ciò
significa che tutte le configurazioni sono disponibili per l'utente durante l'intero
ciclo di vita. È paragonabile a un backup o a una versione delle configurazioni.
Qualsiasi modifica alla configurazione può essere verificata in modo completamente
automatico e in base a regole relative ai requisiti di governance e conformità esistenti
(sicurezza, aggiornamenti dei prodotti, specifiche interne, problemi di configurazione,
ecc.).
|
|
100%
|
| Sostituzione di componenti hardware (server, router, ecc.) |
La configurazione dei componenti hardware sostituiti sotto forma di server fisici,
sistemi di archiviazione, router, dispositivi mobili, ecc. può essere raccolta e documentata
in modo completamente automatico.
Sulla base dell'analisi della topologia delta, è possibile confrontare le configurazioni
tra l'ultima configurazione e il nuovo componente hardware sostituito al fine di identificare,
ad esempio, eventuali differenze di configurazione.
The recorded configurations of the replaced hardware components can be
verified fully automatically in terms of governance and compliance as part of
the initial
recording and any subsequent configuration changes. This ensures compliance
with compliance
and security aspects (known security vulnerabilities, products without maintenance/support,
more recent product versions, internal specifications, valid SSL certificates,
open ports,
etc.).
|
|
75%
|
| Utilizzo di nuovi componenti hardware |
La configurazione dei nuovi componenti hardware sotto forma di server fisici, sistemi
di archiviazione, router, dispositivi mobili, ecc. può essere raccolta e documentata
in modo completamente automatico.
The newly recorded configurations of the hardware components can be
verified fully automatically in terms of governance and compliance during the
initial
recording and any subsequent configuration changes. This ensures compliance
with compliance
and security aspects (known security vulnerabilities, product without maintenance/support,
more recent product versions, internal specifications, valid SSL certificates,
open ports,
etc.).
|
|
75%
|
| Trasferimento dei sistemi IT in un'altra sede |
Quando si trasferiscono sistemi IT, documentare lo stato attuale e confrontarlo con
il sistema IT migrato è essenziale per garantire una migrazione stabile e priva di
errori.
L'inventario delle risorse e delle configurazioni di Versio.io fornisce tutte le configurazioni
attuali di ogni singolo componente dell'intero sistema IT (VM, host, processi, servizi,
configurazioni, schema del database, applicazioni, ecc.) come base informativa. Inoltre,
le relazioni tra tutti i componenti del sistema IT sono fornite sotto forma di topologia.
Sulla base della topologia, è possibile confrontare il sistema IT esistente (ATTUALE)
e il sistema IT migrato fino al livello degli attributi di un sottocomponente. Ciò
dimostra che il sistema IT è stato ripristinato 1:1 nella nuova posizione. È possibile
configurare regolazioni del filtro specifiche per il cliente per l'analisi delta della
topologia.
|
|
50%
|
8.5.
Le modifiche ai sistemi IT devono essere registrate in modo ordinato, documentate,
valutate tenendo conto dei possibili rischi di implementazione, classificate in base
alle priorità, approvate e implementate in modo coordinato e sicuro. Devono inoltre
essere stabiliti processi adeguati per le modifiche ai sistemi IT che richiedono tempi
di esecuzione rapidi. Le seguenti misure, ad esempio, servono a garantire che le modifiche
siano implementate in modo sicuro nelle operazioni produttive:
|
|
|
- |
| Analisi dei rischi relativi ai sistemi IT esistenti (in particolare la rete e i sistemi
IT a monte e a valle), anche in relazione a possibili problemi di sicurezza o compatibilità,
nell'ambito della richiesta di modifica
|
Le modifiche rilevate da Versio.io, ad esempio a sistemi operativi, tecnologie di
processo, app, server web o database, configurazioni dei router, ecc., possono essere
verificate in relazione a vulnerabilità note della sicurezza IT, versioni release
o patch obsolete, mancata disponibilità di manutenzione e supporto per i prodotti
utilizzati e requisiti interni per garantire la continuità operativa.
|
|
100%
|
| Test delle modifiche prima della messa in produzione per individuare eventuali incompatibilità
e potenziali problemi di sicurezza con i sistemi IT esistenti
|
La competenza principale di Versio.io è il rilevamento delle modifiche e la loro post-elaborazione.
Ciò significa che durante i test prima della messa in funzione è possibile rilevare
non solo le modifiche pianificate, ma anche quelle non pianificate. Inoltre, l'entità
delle modifiche può essere controllata in modo oggettivo a livello operativo mediante
il confronto delta tra l'ambiente di test e quello di produzione.
Le modifiche ai sistemi operativi e alle tecnologie di processo rilevate da Versio.io
possono essere verificate in relazione a vulnerabilità note della sicurezza IT, versioni
release o patch obsolete e mancata disponibilità di manutenzione e supporto per i
prodotti.
|
|
50%
|
| Test delle patch prima della loro implementazione, tenendo conto della loro criticità |
La competenza principale di Versio.io è il rilevamento delle modifiche e la loro post-elaborazione.
Ciò significa che durante il test prima della messa in funzione è possibile rilevare
non solo le modifiche pianificate, ma anche quelle non pianificate. Inoltre, l'entità
delle modifiche può essere controllata in modo oggettivo a livello operativo mediante
il confronto delta tra l'ambiente di test e quello di produzione.
|
|
25%
 |
| Backup dei dati dei sistemi IT interessati |
Con Versio.io Batch Job Monitoring, le aziende possono registrare, garantire la qualità
e ottimizzare l'esecuzione ciclica dei backup giornalieri dei dati in modo a prova
di audit. I dati di processo registrati possono essere verificati in termini di contenuto
per garantire la governance e la conformità. Ciò consente, ad esempio, di ricevere
una notifica se un backup non è stato eseguito correttamente o se il tempo di esecuzione
è cambiato in modo significativo rispetto alle esecuzioni precedenti.
|
|
25%
|
| Piani di rollback per ripristinare una versione precedente del sistema IT in caso
di problemi durante o dopo il go-live
|
Versio.io automatizza completamente la documentazione di tutte le modifiche apportate
ai sistemi IT. In caso di inversione, Versio.io fornisce informazioni dettagliate
sullo stato del sistema IT prima della modifica (ad esempio configurazione dell'applicazione,
schema del database, ecc.).
Basato sul Delta Topology Analyser, dopo l'inversione è possibile eseguire una verifica
automatica per garantire che la configurazione corrisponda all'ultimo stato stabile
del sistema IT.
|
|
50%
|
| Opzioni di ripristino alternative per affrontare il fallimento dei piani di rollback
primari
|
Se il ripristino basato su procedure standard quali backup o snapshot non è possibile,
Versio.io offre una documentazione completa di un sistema IT come prerequisito per
la reinstallazione parziale o completa di un sistema IT.
Basato sul Delta Topology Analyser, è possibile eseguire una verifica automatica dopo
la reinstallazione per garantire che la configurazione corrisponda all'ultimo stato
stabile del sistema IT.
|
|
50%
|
| Per modifiche alla configurazione e impostazioni dei parametri a basso rischio (ad
es. modifiche al layout delle applicazioni, sostituzione di componenti hardware difettosi,
collegamento di processori), è possibile definire diverse specifiche procedurali/controlli
(ad es. principio del doppio controllo, documentazione delle modifiche o controllo
a valle).
|
Qualsiasi modifica nel panorama IT, indipendentemente dalla sua rilevanza ai fini
della valutazione, viene automaticamente documentata e registrata. Versio.io crea
così un quadro generale e consente anche di identificare le cause dei problemi sulla
base di configurazioni apparentemente irrilevanti.
|
|
100%
|
8.6
Le segnalazioni di scostamenti imprevisti dal normale funzionamento (malfunzionamenti)
e le relative cause devono essere registrate in modo adeguato, valutate, classificate
in base alla priorità, in particolare in relazione ai rischi che ne derivano, e segnalate
secondo criteri definiti.
A tal fine devono essere definite procedure standard, ad esempio per le misure
e la comunicazione, nonché per le responsabilità (ad esempio per i codici maligni
sui dispositivi finali, i malfunzionamenti). Il trattamento, l'analisi delle cause
alla radice e la ricerca di soluzioni, compreso il follow-up, devono essere documentati.
Deve essere previsto un processo ordinato per analizzare le possibili correlazioni
tra
i malfunzionamenti e le loro cause. Lo stato di elaborazione delle segnalazioni
aperte relative agli incidenti, nonché l'adeguatezza della valutazione e della definizione
delle priorità, devono essere monitorati e controllati. L'istituzione deve definire
criteri adeguati per informare le parti coinvolte (ad es. la direzione, l'autorità
di vigilanza competente) in merito agli incidenti.
I rischi possono essere identificati, ad esempio, dimostrando la violazione degli
obiettivi di protezione. L'analisi delle cause deve essere effettuata anche se per
la registrazione e l'elaborazione degli incidenti e delle cause vengono utilizzati
più sistemi informatici. A tal fine possono essere utilizzate soluzioni standardizzate
per la gestione degli incidenti e dei problemi.
|
La gestione classica degli incidenti e dei problemi è fornita da sistemi ITSM specializzati.
Versio.io può acquisire i rapporti, registrarli e mappare le relazioni esistenti con
i componenti di sistema interessati (applicazione, servizio, processo, host, ecc.).
Versio.io supporta l'elaborazione dei messaggi fornendo informazioni su tutte le configurazioni
nel panorama IT e su eventuali modifiche apportate. Le informazioni sulle modifiche
costituiscono la base per l'analisi delle cause alla radice, poiché spesso sono proprio
le modifiche il punto di partenza degli incidenti.
Oltre alla fornitura centralizzata di informazioni e all'analisi delle cause alla
radice, è possibile fornire report sulle configurazioni che causano problemi o persino
i messaggi stessi.
Tutte le misure adottate sui componenti del sistema nell'ambito della risoluzione
dei problemi vengono automaticamente documentate da Versio.io (ad es. espansione della
memoria, aggiornamento della versione, modifica della configurazione, ecc. Ciascuna
di queste modifiche può essere verificata in termini di governance e conformità.
|
|
50%
|
8.7
I requisiti relativi alle procedure di backup dei dati (esclusa l'archiviazione dei
dati) devono essere definiti per iscritto in un piano di backup dei dati. I requisiti
relativi alla disponibilità, alla leggibilità e alla tempestività dei dati dei clienti
e aziendali, nonché ai
sistemi informatici necessari al loro trattamento, come definito nel piano di
backup dei dati, devono essere derivati dai requisiti dei processi aziendali e dai
piani di continuità operativa. Le procedure per il ripristino e la garanzia della
leggibilità dei dati devono essere testate regolarmente, almeno una volta all'anno,
in modo casuale e secondo necessità.
I requisiti relativi alle misure volte a garantire la disponibilità, la leggibilità
e la tempestività dei dati, nonché ai test da effettuare, sono derivati dalle analisi
dei rischi pertinenti. Per la conservazione dei backup dei dati possono essere necessari
uno o più luoghi supplementari.
|
Con Versio.io Batch Job Monitoring, le aziende possono registrare, garantire la qualità
e ottimizzare l'esecuzione ciclica dei processi di backup giornalieri e dei test di
ripristino annuali in modo a prova di audit. I dati di processo registrati possono
essere verificati in termini di contenuto per garantire governance e conformità. Ciò
consente, ad esempio, di ricevere una notifica se un backup o un test di ripristino
non è riuscito o se il tempo di esecuzione è cambiato in modo significativo rispetto
alle esecuzioni precedenti del processo.
|
|
25%
|
8.8
È necessario determinare le prestazioni e i requisiti di capacità attuali dei sistemi
IT. È necessario stimare le prestazioni e i requisiti di capacità futuri. È necessario
pianificare e monitorare la fornitura dei servizi al fine di identificare tempestivamente
eventuali colli di bottiglia e rispondere in modo adeguato. Durante la pianificazione
è necessario tenere conto delle prestazioni e dei requisiti di capacità delle misure
di sicurezza delle informazioni.
|
L'inventario centrale delle risorse e delle configurazioni in Versio.io fornisce dati
di configurazione provenienti da un'ampia varietà di fonti, come centri dati e cloud,
tramite reportistica e API aperte. Ciò consente di determinare le allocazioni delle
risorse configurate (numero di CPU, quantità di memoria di lavoro o di disco, ecc.).
Versio.io non raccoglie alcun dato sulla quantità di risorse effettivamente utilizzate!
|
|
25%
|
Nel 2017 sono stati pubblicati i requisiti di vigilanza bancaria per l'IT (BAIT) come
specificazione dei requisiti minimi per la gestione dei rischi (MaRisk) che riguardano
i requisiti IT. Questi devono essere implementati dagli istituti finanziari senza
un periodo di transizione e i reparti IT devono essere allineati con il BAIT.
