1 / 31

I progetti dell’Associazione

Convegno La Banca Aperta Milano, 14 ottobre 2004. I progetti dell’Associazione. Ing. Anthony Cecil Wright Presidente. ANSSAIF. Associazione Nazionale degli Specialisti di Sicurezza in Aziende di Intermediazione Finanziaria. ANSSAIF.

upton
Download Presentation

I progetti dell’Associazione

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Convegno La Banca Aperta Milano, 14 ottobre 2004 I progetti dell’Associazione Ing. Anthony Cecil Wright Presidente 1

  2. ANSSAIF Associazione Nazionale degli Specialisti di Sicurezza in Aziende di Intermediazione Finanziaria. 2

  3. ANSSAIF L'Associazione è stata costituita per perseguire i seguenti obiettivi: 1) contribuire alla maturazione, in tutte le sedi opportune, anche universitarie, della consapevolezza dei problemi connessi alla necessaria protezione dei beni informatici, dei dati e delle informazioni, per garantirne la riservatezza, l'integrità e la disponibilità;__________________________________________________________________________ 2) promuovere studi e ricerche nel campo della sicurezza ICT (Information and Communication Technology), curando altresì di individuare processi e momenti di integrazione della sicurezza logica e di quella fisica;__________________________________________________________________________ 3) conservare il patrimonio di esperienze professionali degli specialisti di sicurezza del settore, anche al termine della loro attività lavorativa;__________________________________________________________________________ 4) curare la condivisione di esperienze e conoscenze atte a migliorare l'attività professionale degli associati;__________________________________________________________________________ 5) curare la promozione culturale e l'aggiornamento dei soci;__________________________________________________________________________ 6) concorrere alla formazione di giovani specialisti;_________________________________________________________________________ 7) fornire informazioni sulla regolamentazione in ordine a tutti gli aspetti concernenti gli obblighi delle Aziende e dei Responsabili della sicurezza nei confronti delle norme. 3

  4. Premessa: I principi ispiratori dei progetti: • I nuovi progetti costituiscono una pressione non indifferente: • Sulle aziende, sotto il profilo economico ed organizzativo; • Sugli addetti alla Sicurezza e alla Continuità operativa; • Sugli esperti di Organizzazione ed ICT. 4

  5. Domande: • Le organizzazioni sono strutturate in modo ottimale per fare fronte alle nuove sfide? • Le metodologie di analisi del rischio operativo sono adeguate alle esigenze di valutazione dei rischi ICT? • Esistono esperienze consolidate di business continuity planning and management alle quali fare riferimento? 5

  6. I progetti dell’Associazione ANSSAIF, in linea con le indicazioni della Banca d’Italia ed i progetti dell’ABI, cerca di dare il suo con-tributo, innanzitutto, di “information sharing” a chi si occupa di assicurare la continuità dei processi di business ed operativi. 6

  7. I progetti dell’Associazione Information sharing: • Forum, email, conference call, ecc. • B.C.: osservatorio sullo stato di avanzamen-to nei maggiori gruppi bancari. • Security awareness: collaborazione tramite un osservatorio sulle iniziative di sicurezza in Italia ed estero. Costituzione di un labora-torio su particolari tecniche di cyber crime. 7

  8. I progetti dell’Associazione Inoltre, un contributo a chi già si sta occupando di questi temi. Basilea 2: L’analisi del rischio ICT: • Stima della probabilità di accadimento e della possibile perdita economica, quale contributo alla cost justification. • Proposta di creazione di indicatori di “benchmarking” sullo stato della Sicurezza ICT in banca. 8

  9. Costruzione di indicatori sullo stato della Sicurezza ICT L’indicatore di rischio ICT di sistema viene proposto in due modi: • A livello totale, per analisi andamentale • A livello di media, per raffronti interni da parte di ogni azienda. 9

  10. Costruzione di indicatori sullo stato della Sicurezza ICT L’indicatore citato può essere calcolato con un prodotto, definito a livello di sistema, che ponga domande identiche, per gli stessi ambienti infor-matici ed informativi scelti, a tutte le banche partecipanti. ANSSAIF sta attualmente eseguendo una sperimentazione fra alcuni partecipan-ti. 10

  11. Ipotesi indici di raffronto 11

  12. Domanda • Nell’esempio presentato, la Banca A potrebbe avere uno “sconto” sugli accantonamneti per rischio operativo? 12

  13. Basilea 2: L’analisi del rischio ICT. Servono informazioni che, ad esempio, nell’area crediti già esistono: • La probabilità di avere perdite, • L’ammontare della possibile perdita, • La probabilità che proprio quello sia l’ammontare della perdita. Chi ci dà questa informazione? Il “passato”? Ossia, la “loss collection”? Quanti eventi ICT risultano in tale DB? 13

  14. Probabilità di subire una perdita di ammontare X 14

  15. Perdita X 15

  16. Probabilità perdita media 16

  17. La Business Continuity. • La Banca d’Italia ha inviato una lettera, contenente l’invito a seguire le condi-vise linee guida sulla continuità opera-tiva, ed un questionario per conoscere lo stato dell’arte nel tema in oggetto. • ANSSAIF ha condotto una prima piccola indagine fra i propri soci per conoscere come le banche stanno procedendo. Le risultanze vengono qui di seguito rap-presentate in estrema sintesi. 17

  18. L’indagine ANSSAIF: Quali scelte al momento in tema BC? • Il progetto è stato avviato, la conduzione è nella capo gruppo nell’ambito Organizzazione / Sistemi Informativi (il D/R nella Società di IT). • Lo “Sponsor” del progetto è stato generalmen-te definito a livello DG o AD. • Viene nominato un BCM generalmente in ambito Capo Gruppo / Holding, con referenti nelle UU.OO. e Società del gruppo (questi, a volte, sono i responsabili della Sicurezza). • La figura del BCM e BCP a volte non coincide. 18

  19. Quali scelte al momento in tema BC? (cont.ne) • Viene eseguita una risk analysis preliminare. • Vengono censiti e classificati tutti i processi. • Sono coinvolte pienamente le UU.OO. • Priorità di soluzione viene al momento data ai processi di “sistema” e al D/R. • I Comitati di Crisi vengono costituiti sia a livello di Capo Gruppo che di singola Società. • Comitati “snelli”. Più enfasi sugli “emergency Team”. • Approccio pragmatico, con forte coinvolgimen-to delle funzioni aziendali competenti. 19

  20. Quali scelte al momento in tema BC? (cont.ne) • Forte integrazione fra R.U., Orga., IT, B.U., e Risk Management. • Stretta collaborazione con gli outsourcer, supportati da società di consulenza specia-lizzate. • Alcuni hanno scelto una Società per impostare il progetto e la BIA, ed un’altra per l’individua-zione delle possibili soluzioni. • Elevato coinvolgimento del CdA. • Investimenti iniziali previsti molto elevati (da 15 a 40 mil.). 20

  21. Ma, che in realtà cos’è la B.C.? BCI- Business Continuity Institute 21

  22. Cambiamenti organizzativi • Un grande gruppo bancario ha eseguito un benchmarking delle soluzioni organizzative per la Sicurezza (ICT e fisica) e la B.C. • I soci ANSSAIF hanno esaminato lo studio ed hanno discusso su quale dovrebbe essere l’indirizzo auspicato. 22

  23. Tre modelli: 1) CSO • Dal punto di vista organizzativo si osservano tre modelli di riferimento: • La costituzione di una struttura organizzativa ad hoc dipendente direttamente dal CEO e/o dal BoD, presieduta da un Chief Security Officer (CSO), chiamato anche Global Security Officer, che ha la responsabilità globale della sicurezza (interna, esterna, fisica, logica, personale), sia per la componente strategica/di governo che operativa 23

  24. 2) CISO • La gestione della sicurezza logica all’interno di strutture IT, con la costituzione di un Chief Information Security Officer (CISO), dipendente direttamente dal CIO, che ha la responsabilità della protezione delle informazioni e, eventualmente, di altri aspetti strettamente correlati, quali, ad esempio, la sicurezza fisica, la pianificazione e sviluppo delle architetture di sicurezza, gli incidenti informatici 24

  25. 3) misto • La centralizzazione delle funzioni di controllo strategico della sicurezza in una struttura esistente in staff al CEO (ad esempio nella struttura di Risk Management, ove questa è preposta al governo dei rischi) responsabile della definizione delle policy, delle priorità e delle linee guida per tutto il Gruppo, con la costituzione di un Comitato di controllo cui è demandata la responsabilità sul rischio, delegando la parte di governo operativo al CISO, per la parte IT, oppure ad altre strutture operative (ad esempio la Logistica) preposte al presidio delle diverse tipologie di rischio 25

  26. Quale formulazione? Innanzitutto, come anche ribadito dall’ABI, è poco produttivo considerare ancora separate le due “sicurezze”. B.C., significa definire le misure preventive, di emergenza e di ripristino che consentano di fronteggiare efficacemente i rischi di business interruption. E ciò in base all’analisi dei rischi, alla determi-nazione delle vulnerabilità, alla valutazione dell’impatto economico, legale, reputazionale, derivante dal verificarsi di eventi anche disastrosi che sfruttino le vulnerabilità esistenti. 26

  27. Conclusione Continuità operativa, sicurezza ICT e sicurezza fisica sono tesi ad un comune indirizzo, e quindi preferibilmente sotto un unico respon-sabile. Il Risk management indica, ed aggiorna,la metodologia e gli strumenti di analisi. Dove posizionare la struttura di Sicurezza e B.C. è una scelta aziendale. Ciò che è importante è che abbia credibilità. Il personale deve provenire da non trascurabili esperienze in ICT, Organizzazione, Auditing, e Forze di Polizia. 27

  28. Cyber Crime:Il rischio è anche dall’interno • Infatti: • Ignoranza, • Disattenzione, • Complicità, • possono aiutare bande criminali esterne. Come combatterle? Quanto bisogna investire? • Non più di quanto si possa credere. 28

  29. Che fare? La via è quella che in modo naturale abbiamo già avviato: • Investire a migliorare l’informativa su quello che avviene anche all’estero (la news letter è uno di questi mezzi; l’altro è quello che abbiamo chiamato “laboratorio”); • Stimolare la raccolta di dati sugli incidents; • Continuare sulla strada delle sinergie con Associazioni, Enti ed Università. 29

  30. Conclusione dell’intervento L’information sharing è il nostro primo obiettivo, e utilizziamo: • news letter, • studi e ricerche, • Conference call per soluzioni, • Email, per rapide risposte, • Convegni dei soli soci con relatori sia interni che esterni, • Forum su internet. 30

  31. Ho concluso Grazie per la vostra cortese attenzione. 31

More Related