CYBERSECURITY AND IT RISK MANAGEMENT FOR FINANCIAL INSTITUTIONS INFRASTRUCTURES - CPEXPO Partner

Transcript

1 CYBERSECURITY AND IT RISK MANAGEMENT FOR FINANCIAL INSTITUTIONS INFRASTRUCTURES - CPEXPO Giacomo Segalli Giacomo Segalli Partner

2 Agenda Reply: Facts & Figures Reply Capabilities: Business Security & Fraud Management Cyber Risk is Top of the Agenda for Global Companies Laws and Regulations are driving IT Risk Management Operations Business Case: ING DIRECT Information Security Management; Focal Points for the future 2

3 Reply - Revenue & People Revenue - Millions of Euro ,3 494, ,2 340,2 384, , , , (H1) People

4 Reply: Security Service Provider CRITICAL MASS Acknowledged Competence Center 10+ years of experience About 200 people 200+ certifications SECURITY OPERATION CENTER Control Room War Room 24x7 Operations Service Level Agreements Security Intelligence Security Labs Active in the most recognized National and Intl Bodies: ABILab, AIIC, AIPSA, AIPSI- ISSA, ASIS, BCManagers, CEPAS, CLUSIT, oth. CONSULTING & PROFESSIONAL SERVICES Partnerships with the leading Technology & Product 4 Vendors

5 Cyber Risk Fonte: Lloyds Global Survey: Risk Index

6 Latest Cyberattacks to Financial Institutions

7 Laws & Regulations: an example Banca d Italia; Nuove Disposizioni di Vigilanza Prudenziale per le Banche IL PERCHE DELLE DISPOSIZIONI La crisi finanziaria ha fornito importanti indicazioni sulla centralità che la governance e i sistemi dei controlli interni ricoprono all interno degli intermediari finanziari. Carenze su tali aspetti possono infatti mettere a repentaglio la sana e prudente gestione delle banche e la stabilità del sistema finanziario. (Banca d Italia) QUANDO ENTRANO IN VIGORE? Le nuove disposizioni entrano in vigore il 3 luglio 2013 e saranno efficaci a partire dal 1 luglio Alle banche è richiesto di effettuare entro il 31 dicembre 2013 una autovalutazione della situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis) e di individuare le misure da adottare per assicurarne il rispetto. PRINCIPI GENERALI SINTESI ARGOMENTI TRATTATI Coinvolgimento dei vertici aziendali Visione integrata dei rischi Efficienza ed efficacia dei controlli Applicazione delle norme in funzione della dimensione e complessità delle Banche A CHI SI APPLICANO? Alle banche autorizzate in Italia * Alle capogruppo di gruppo bancari Alle imprese di riferimento CAPITOLO 7 Il capitolo sistema dei controlli interni enfatizza il ruolo degli organi aziendali sui quali ricade la responsabilità della definizione di un sistema dei controlli interni. Viene introdotta inoltre una disciplina organica in materia di esternalizzazione delle funzioni aziendali. CAPITOLO 8 Il capitolo Sistema Informativo rivede completamente la disciplina dei sistemi informativi, anche per recepire le principali evoluzioni nel panorama internazionale, e va a regolamentare le modalità di governo del sistema informativo, di gestione del rischio informatico e i requisiti per assicurare la sicurezza informatica. CAPITOLO 9 - Il capitolo riguardante la Continuità Operativa ridefinisce le modalità di gestione delle crisi all interno del sistema finanziario. * ad eccezione delle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un apposito elenco pubblicato e periodicamente aggiornato dalla Banca d Italia

8 Disposizioni di Vigilanza Prudenziale per le Banche: Filoni Progettuali Monitoraggio e registrazione delle tracce elettroniche (amministratori di sistema e utenti privilegiati) GESTIONE OPERAZIONI CRITICHE GOVERNANCE E GESTIONE DEI DATI Registrazione, reporting e conservazione dei dati aziendali GOVERNANCE E ORGANIZZAZI ONE DEL SISTEMA INFORMATIVO FILONI PROGETTUALI (CAP. VIII) GESTIONE ESTERNALIZZ ATA DEL SISTEMA INFORMATIVO Definizione di nuove strutture organizzative (es. Organo con funzione di Gestione), formalizzazione ruoli/ responsabilità e flussi di comunicazione ANALISI RISCHIO INFORMATICO GESTIONE DELLA SICUREZZA INFORMATICA Analisi dei criteri di esternalizzazione (analisi del rischio e comunicazione delle analisi a Banca d Italia) Analisi e revisione dei contratti di fornitura Definizione della metodologia e integrazione con RO Coinvolgimento Business Data Owner Classificazione delle risorse ICT Definizione security policy framework Gestione dei servizi di pagamento tramite Internet (strong authentication) GAP ANALYSIS (entro il 31/12/2013) Predisposizione della checklist Analisi di conformità e impatti Definizione del piano degli interventi di adeguamento (filoni progettuali, tempi, costi) Predisposizione della relazione per Banca d Italia

9 Rischi Operativi e Rischi Informatici Processo di Business 1 Processo 1 Processo 2 Processo 3 Processo 4 Appl. 1 Appl. 2 Appl. 3 Appl. 4 Appl. 5 Appl. 6 Impatto dei rischi operativi IT sui processi di business DB 1 DB 2 DB 3 Gap analisys e azioni di remediation HW 1 HW 2 Data Center Network

10 Modello di Gestione dei Rischi Informatici Fase Descrizione Attori coinvolti Definizione Framework Definizione del framework e della metodologia per la valutazione del rischio operativo IT in accordo con i processi di stima del rischio operativo Approvazione del framework definito Condivisione del framework e della metodologia con l Organo con funzione di supervisione strategica Definizione e approvazione della propensione al rischio informatico Struttura Organo con funzione di gestione Risk Management Sicurezza Informatica ICT Utente responsabile RACI A R C C I Valutazione Conduzione di Risk Self Assessment per la valutazione del rischio IT potenziale che prevede: la valutazione delle minacce la Valutazione degli impatti derivanti dal concretizzarsi delle minacce valutate, in modo da identificare gli interventi prioritari Rilevazione dei controlli implementati a presidio dei rischi potenziali e calcolo del rischio residuo Struttura Organo con funzione di gestione Risk Management Sicurezza Informatica ICT Utente responsabile RACI I C R R A Gestione Analisi dei risultati ottenuti in merito alla valutazione dei rischi operativo IT (residuo) Analisi dei rischi di dettaglio per le risorse che superano i livelli di rischio accettabili Definizione di un piano di interventi di adeguamento (Piano di Trattamento del Rischio) Monitoraggio degli interventi di adeguamento Struttura Organo con funzione di gestione Risk Management Sicurezza Informatica ICT RACI I C R R Utente responsabile A Responsible Accountable Consulted Informed

11 CPEXPO 2013