WEB COMPLIANCE AND RISK ANALYSIS

Transcript

1 WEB COMPLIANCE AND RISK ANALYSIS

2 Processo di compliance Contesto di riferimento La soluzione WeCARe Governance Normative Gestione documentale Cross Reference Compliance Analysis Risk Analysis Business Security Evaluation Normative disponibili

3 PROCESSO DI COMPLIANCE Un processo trasversale, costituito da presidi organizzativi e operativi aventi l obiettivo di evitare disallineamenti rispetto al sistema di norme e regolamenti in vigore* Il rischio di compliance è connesso all esistenza di disposizioni da rispettare e ha per oggetto eventuali danni che possono derivare dall inosservanza di tali disposizioni e che si concretizzano nell imposizione di sanzioni da parte delle autorità sia di carattere pecuniario che operativo e nell obbligo di risarcimento nei confronti di soggetti danneggiati e in perdite di reputazione. La peculiarità del rischio di compliance, rispetto ad altre categorie di rischio, è strettamente collegata alla sua natura di rischio reputazionale, di immagine e strategico, di impatto sull intera organizzazione. La sua particolare natura e potenziale gravità richiedono, inoltre, che venga affrontato secondo una logica ex ante, mediante attività orientate alla prevenzione piuttosto che alla repressione di comportamenti illeciti o non conformi. *AICOM Associazione Italiana Compliance

4 SCENARIO DI RIFERIMENTO Contesto Esigenze Obiettivi Normative e Standard di riferimento complessi e interconnessi a cui ottemperare Continuo adeguamento dei processi e delle politiche interne per rispondere all evoluzione dinamica e di normative e standard Coinvolgimento di molti attori con Impatto trasversale su più funzioni aziendali Necessità crescente di un processo di Analisi del Rischio aziendale al fine di valutare il livello di sicurezza delle informazioni aziendali Gestione centralizzata e integrata del processo di Compliance Diffusione dell Awarness sulla compliance attraverso la divulgazione delle conoscenza delle normative Correlazione cross-check delle proprie politiche aziendali verso standard e normative vigenti Visibilità immediata del grado di copertura delle prescrizioni normative per attivazione piano di azione Unica base di riferimento ufficiale fruibile da più attori aziendali Prevenire e correggere i disallineamenti tra normative/standard esterni e normative e policy aziendali Predisporre strumenti per adeguare tempestivamente le procedure interne a seguito di disallineamenti e/o evoluzioni normative Valutare con tempestività l impatto dell evoluzione normativa all interno del proprio corpo normativo Coordinare e garantire l efficiente attuazione degli adempimenti richiesti Realizzare il processo di Analisi dei Rischi

5 LA SOLUZIONE WECARE Governance Normative Definisce le regole e le modalità che disciplinano la gestione delle Normative Sostiene il raggiungimento degli obiettivi di compliance Risk Analysis Supporta il processo di analisi del rischio basato sulla valutazione delle minacce e vulnerabilità degli asset che sono connessi alle informazioni aziendali di interesse L'impianto metodologico è stato progettato sulla base di standard internazionali riconosciuti Compliance Gestisce in maniera centralizzata il processo di Compliance rispetto a standard e normative vigenti Valuta l impatto dell evoluzione normativa all interno del proprio corpo normativo Business Security Evaluation Consente l analisi di impatto dei progetti aziendali rispetto alle normative e agli standard di riferimento Supporta l azienda nella scelta delle attività su cui intervenire in ottica di sicurezza

6 GOVERNANCE NORMATIVE 1 / 4 Gestione Documentale Consente di inserire, gestire ed esportare l intero corpo normativo aziendale consentendone un organizzazione logica attraverso macro-categorie (policy, standard, linee guida, ect) strutturate in modo gerarchico. Fornisce un sistema di Workflow per l intero ciclo di emissione delle normative Permette una consultazione organizzata su profilazione multidipartimento Consente diversi tipi di ricerca all interno del corpo normativo Gestione multilingua delle normative Cross Reference Le normative sono scomposte in unità atomiche collegabili tra di loro attraverso link sulla base di logiche di interesse. La Cross Reference permette di verificare la Compliance delle politiche aziendali alle normative d interesse.

7 GESTIONE DOCUMENTALE 2 / 4 Gestione e visualizzazione delle normative. Sezione dedicata all elenco delle normative esterne impattanti

8 CROSS REFERENCE 3 / 4 Correlazione di unità atomiche rappresentata gerarchicamente. Normative esterne Normative Interne Attraverso l analisi delle dipendenze è possibile verificare la copertura e l impatto in termini di stima in un cambiamento.

9 COMPLIANCE ANALYSIS 1 / 2 Consente l elaborazione istantanea del grado di coverage delle singole normative e la visualizzazione del livello di copertura di dettaglio relativo al corpo normativo interno

10 RISK ANALYSIS 1 / 3 Risk Management ISO/IEC Esigenze Obiettivi Benefici Progettazione di un modello integrato e flessibile ai diversi contesti aziendali, in grado di implementare efficacemente le logiche di analisi del rischio IT Semplificare lo svolgimento delle attività analisi dei rischi, tramite maggior automazione e snellimento dei processi Razionalizzazione delle metodologie di analisi dei rischi nei diversi ambiti Supportare il decision making in ambito security management attraverso una piattaforma integrata sia con il valore aggiunto del modulo di Compliance Management, sia la visione analitica del modulo del Risk Management Efficientamento ed armonizzare gli strumenti di correlazione utilizzati per l analisi dei rischi Ottimizzazione la raccolta delle risposte dei valutatori Riuso dei risultati di analisi rischi per sottoperimetri Efficientamento del processo di Risk management Timing più veloce su decisioni di security management

11 RISK ANALYSIS 2 / 3 We Care, che prevede una verifica dello stato di attuazione delle misure di sicurezza condotta attraverso un analisi degli impatti e delle minacce a livello fisico, logico e d organizzativo: Facilita la rappresentazione del perimetro d analisi e il censimento degli Asset in scope Permette di definire in modo intuitivo le relazioni che intercorrono tra Asset, minacce, controlli Massimizza ripetibilità d analisi consentendo il riuso dei risultati anche per sottoperimetri Minimizza tempi di analisi tramite intutive rappresentazioni grafiche e report visuali

12 RISK ANALYSIS 3 / 3 Fasi del processo: Censimento information asset sotto analisi Identificazione minacce a cui gli asset sono esposti e identificazione delle vulnerabilità che possono essere sfruttate da tali minacce Identificazione degli impatti generati dall eventuale perdita di riservatezza, integrità e disponibilità delle risorse del sistema informativo Identificazione contromisure applicate Calcolo del rischio sul sistema in scope

13 BUSINESS SECURITY EVALUATION Consente l analisi di impatto dei progetti aziendali rispetto alle normative e agli standard di riferimento, supportando l azienda nella scelta delle attività su cui intervenire in ottica di sicurezza. Tramite un questionario qualitativo, si individua il livello di rischio in termini di sicurezza del contesto di progetto consentendo un decision making più tempestivo e preventivo in grado di mitigare l impatto potenziale.

14 NORMATIVE DISPONIBILI Payment Card Industry - PIN Payment Card Industry - DSS ISO Controlli Dlg. 231/2001 Dlg. 196/ Codice in materia di protezione dei dati personali Amministratori di Sistema Statuto Lavoratori Dlg. 262/2005 Cobit 4.1 TUF e Regolamento Consob Riciclaggio Boll. di Vigilanza - Luglio 2004 Istr. di Vigilanza - Circ. 229/1999 Disp. di Vigilanza - Continuità operativa dei processi a rilevanza sistemica BS BCM Boll. di Vigilanza - Luglio 2007 Legge 48/ Criminalità informatica TUB ISVAP Consob Intermediari Basilea II Circ.263/2007 Fattori di Rischio

15 Thank you! Public Use Via Portuense 2482 Edificio A Interno Fiumicino Roma Tel Fax info@nsr.it