La Gestione del Rischio Informatico ed il collegamento con la BCM

Transcript

1 La Gestione del Rischio Informatico ed il collegamento con la BCM COO Sicurezza e Business Continuity 18 Settembre 2015

2 Agenda Chi siamo La Normativa Definizioni L approccio di Banca Popolare di Milano Il collegamento con la Business Continuity 2

3 Chi siamo: 1/3 OVERVIEW Banca Popolare di Milano S.c.ar.l. ( BPM ) is a listed cooperative bank founded in Milan in 1865 BPM Group is a multi-regional bank, leader in the region of Lombardy, with a wide customer base (around 1.3 m customers) MARKET POSITION Sound network: 654 retail branches 1 Direct funding: 36.8bn; market share 1.6% 2 Loan to customers: 33.5bn; market share1.8% 2 Total assets: 49.3bn, 9 th Italian Banking Group (excl. Mediobanca as of Dec. 14) CREDIT QUALITY Net bad loans / Total net loans: 4.3% (vs 4.6% sector) Impaired loans coverage: 39.3% Performing loans coverage: 0.67% CAPITAL B3 Common Equity Tier 1 fully loaded : 12.09% 4 LIQUIDITY Strong liquidity position Net liquidity balance: 9.3% of total assets spot and about 3bn at 3 months 4.6bn unecumbered eligible securities 1. As of June Retail branches include Banca Akros 2. Market share as of May Capital ratio calculated including AFS reserve on govies as of July

4 Chi siamo: 2/3 654 branches: distribution by region¹ BPM Group network market share 87 (3.6%) 410 (6.8%) 11 (1.3%) 7 (0.2%) 28 (1.0%) 5 (0.2%) 1 (0.1%) 64 (2.5%) 1 (0.1%) 1 (0.2%) 2 (0.1%) Market share by branches 0% - 1% 1 (0.7%) 1% - 2% 2% - 3% > 3% 36 (2.8%) Lombardy 6.8% North-West 2 5.4% Total Italy 2.1% BPM Group branches mkt share As % total network 63% 78% 100% Province of Milan 12.3% 34% Latium 2.5% 10% Market share above 10% in 6 provinces: Alessandria (25.0%), Foggia (12.0%), Milan (12.4%), Lecco (11.6%), Varese (10.8%), Monza-Brianza (10.9%) 1. As of June Retail branches inlcude Banca Akros. 2. Includes Piedmont, Lombardy, Liguria 4

5 Chi siamo: 3/3 Sector Company Ownership Percent Head office Business description Parent company Banca Popolare di N/S Milan Milano 1 Commercial and integrated multichannel bank 636 branches and 7,280 employees Other commercial banks Banca Popolare di Mantova 62.6 Mantua Commercial bank (Group holding) 17 branches and 70 employees ProFamily Milan Consumer finance product factory, offering special purpose loans, personal loans, salary loans Specialized business Banca Akros 96.9 Milan Investment and Private banking, mainly focused on capital markets services for investors in Italy Bipiemme Vita 19.0 Milan Insurance company (controlling shareholder is Covéa Group (81%)) Anima Holding SpA Aedes Bipiemme Real Estate SGR 16.9 Milan Asset management factory 39.0 Milan Asset management factory specialized on Real Estate Factorit 30.0 Milan Factoring product factory Selma Bipiemme 40.0 Milan Leasing product factory Pitagora Turin Consumer finance product factory, operating in the business of salary loans Fully consolidated Associates Asset on disposal 1. In Nov 2014 WeBank was incorporated into BPM in order to create a sole multi-channel platform to cater pure digital customers and develop the customer base Source : BPM Group financial report as at

6 Agenda Chi siamo La Normativa Definizioni L approccio di Banca Popolare di Milano Il collegamento con la Business Continuity 6

7 La Normativa La Circolare n. 263 del 27 dicembre aggiornamento del 2 luglio 2013 «Nuove Disposizioni di Vigilanza prudenziale per le banche in particolare per quando riguarda il Titolo V Capitolo 8 Sezione II - L analisi del rischio informatico L analisi del rischio informatico costituisce uno strumento a garanzia dell efficacia ed efficienza delle misure di protezione delle risorse ICT, permettendo di graduare le misure di mitigazione nei vari ambienti in funzione del profilo di rischio dell intermediario. Il processo di analisi è svolto con il concorso dell utente responsabile, del personale della funzione ICT, delle funzioni di controllo dei rischi, di sicurezza informatica la valutazione del rischio potenziale cui sono esposte le risorse informatiche esaminate. Tale attività interessa: tutte le iniziative di sviluppo di nuovi progetti e di modifica rilevante del sistema informativo le procedure in esercizio, per le quali non è stata svolta un analisi del rischio in fase di sviluppo, è comunque prevista una valutazione integrativa L analisi determina il rischio residuo da sottoporre ad accettazione formale dell utente responsabile. Qualora il rischio residuo ecceda la propensione al rischio informatico, approvato dall organo con funzione di supervisione strategica, l analisi propone l adozione di misure alternative o ulteriori di trattamento del rischio. 7

8 Agenda Chi siamo La Normativa Definizioni L approccio di Banca Popolare di Milano Il collegamento con la Business Continuity 8

9 Definizioni Rischio informatico : rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all utilizzo di tecnologie ICT (Information and Communication Technology); Rischio informatico residuo: rischio informatico a cui la Banca è esposta una volta applicate le misure di attenuazione individuate nel processo di analisi dei rischi; Risorsa informatica: bene dell azienda afferente all ICT che concorre alla ricezione, archiviazione, elaborazione, trasmissione e fruizione dell informazione gestita dalla Banca; Evento di rischio informatico: evento che può concretizzarsi su una risorsa informatica generando un impatto su un processo bancario; Impatto: danno potenziale arrecato alla banca a seguito del concretizzarsi di un evento di rischio informatico nell ambito di un processo bancario; Processo bancario: insieme di attività correlate e finalizzate ad un obiettivo, svolte all'interno della banca; Utente Responsabile: figura aziendale identificata per ciascun sistema o applicazione, che ne assume formalmente la responsabilità, in rappresentanza degli utenti e nei rapporti con le funzioni preposte allo sviluppo e alla gestione tecnica 9

10 Agenda Chi siamo La Normativa Definizioni L approccio di Banca Popolare di Milano Il collegamento con la Business Continuity 10

11 L approccio di Banca Popolare di Milano 1/6 Il Framework metodologico Elementi core del framework metodologico adottato per il rischio informatico Definizione di una tassonomia dei rischi tipica del «mondo» IT integrata con gli event type di Basilea Tassonomia dei rischi informatici Metodologia di gestione del rischio IT Definizione di una metodologia tipica per l analisi del rischio integrata con i restanti approcci delle altre funzioni di controllo e coerente con il RAF (Risk Appetite Framework) Modello di reporting Policy e processo di gestione del rischio IT Definizione di una reportistica verso gli organi apicali e le funzioni operative Formalizzazione e approvazione della Policy di Indirizzo e delle modalità operative da applicare al presidio del rischio IT. 11

12 L approccio di Banca Popolare di Milano 2/6 La Tassonomia dei Rischi Nella fase di avvio del progetto di Gestione del Rischio Informatico, è stata individuata una Tassonomia Rischi Informatici di riferimento. La tassonomia adottata, sviluppata considerando anche best practice riconosciute in tema di Sicurezza e governo dei processi IT, quali l ISO , il Cobit, è strutturata su 3 differenti livelli di dettaglio e consente di: analizzare meglio le diverse tipologie di fattispecie di rischio IT supportare e semplificare la fase di analisi dei risultati degli assessment (es. creazione di statistiche sulle diverse tipologie di rischio) La tassonomia dei rischi rappresenta anche un elemento di raccordo con la mappa degli eventi di rischio di Basilea II fornendo un supporto di raccordo per l individuazione e la misurazione dei rischi operativi. Il confronto e l improvement sulla Tassonomia dei Rischi Informatici rientrano nelle attività previste nei tavoli di lavoro Abilab a cui BPM partecipa. LIVELLO 1 LIVELLO 2 DEFINIZIONE LIVELLO 3 Event Type I livello Event Type III livello RISCHIO IT Sicurezza informatica Violazione della sicurezza logica IT (accessi, decifrazione codici e sottrazione di informazioni) - frode esterna 02. Frodi esterne Sicurezza dei Sistemi Pirateria informatica (computer crime/hackeraggio) / sottrazione di informazioni (con perdite monetarie) Furto d'identità Esempio RISCHIO IT RISCHIO IT RISCHIO IT RISCHIO IT Sicurezza informatica Sicurezza informatica Sicurezza informatica Sicurezza informatica Rischio di perdite economiche, di reputazione e di quote di mercato a seguito di violazione della sicurezza informatica della Banca Violazione della sicurezza logica IT (accessi, decifrazione codici e sottrazione di informazioni) - frode interna Violazione della sicurezza con riferimento agli accessi fisici alle strutture IT - frode esterna (comprensiva del furto/danno) Violazione della sicurezza con riferimento agli accessi fisici alle strutture IT - frode interna (comprensiva del furto/danno) Azione di virus informatici o di codice malevolo (ad es. programmi che si autoreplicano, spyware o adware, SPAM) 01. Frodi interne 02. Frodi esterne 01. Frodi interne 02. Frodi esterne Esecuzione intenzionale di attività non autorizzate Frode informatica Sicurezza dei Sistemi Furti e Rapine Furto e Frode (Interna) Perdite dovute ad altri danneggiamenti gravi provocati dal personale (compresi collaboratori esterni) Sottrazione di beni e valori a personale dipendente Sicurezza dei Sistemi Pirateria informatica (computer crime/hackeraggio) / sottrazione di informazioni (con perdite monetarie) 12

13 L approccio di Banca Popolare di Milano 3/6 La Policy aziendale Il documento di Politiche di indirizzo in materia di rischio informatico è approvato dal Consiglio di Gestione, in qualità di Organo con Funzione di Supervisione Strategica (OFSS) della Capogruppo del Gruppo Banca Popolare di Milano e recepito dagli analoghi organi delle Banche appartenenti al Gruppo. La Policy definisce : - le caratteristiche del Rischio Informatico, - il suo perimetro di applicazione, - i criteri e modello di misurazione, - la propensione al rischio Informatico, - l integrazione con gli altri rischi aziendali - i Ruoli. 13

14 L approccio di Banca Popolare di Milano 4/6 La Metodologia La metodologia definisce le modalità per la conduzione dell analisi del rischio all interno del Gruppo Banca Popolare di Milano e prevede che il processo di analisi del Rischio Informatico si applichi a: alle risorse informatiche in esercizio, alle risorse informatiche coinvolte in nuove iniziative progettuali significative e in caso di modifica rilevante del sistema informativo Le fasi della Metodologia : Definizione del piano di analisi del rischio informatico; Valutazione del Livello di esposizione al rischio, Valutazione degli impatti Calcolo del rischio residuo determinato, Gestione del rischio residuo 14

15 L approccio di Banca Popolare di Milano 5/6 La reportistica La metodologia per la Gestione del Rischio Informatico, prevede la produzione delle seguenti tipologie di report: Operativi contenente i livelli di rischio residuo per ciascuna risorsa informatica afferente un processo di business, ad uso dell utente responsabile e dell IT Report contenente i livelli di rischio residuo aggregati per processo di business ad uso delle strutture di controllo (audit, compliance, risk management); Manageriali Rapporto sintetico sulla situazione del rischio informatico che dovrà essere approvato annualmente da parte dell Organo con Funzione di Supervisione Strategica. Questo report contiene: Il piano annuale di analisi del rischio informatico, L esito delle valutazioni del rischio informatico effettuate durante l anno Evidenza dei piani di trattamento del rischio e stato di avanzamento 15

16 L approccio di Banca Popolare di Milano 6/6 Principal ruoli e responsabilità Vertici Aziendali Approva il quadro di riferimento per l'analisi del rischio informatico ; Approva la propensione al rischio informatico; E informato sulla situazione di rischio informatico rispetto alla propensione al rischio Utente Responsabile Tramite i delegati operativi, valuta gli impatti derivanti dal verificarsi di eventi di rischio informatico; Valuta il livello di rischio informatico residuo: Funzione ICT Partecipa all analisi del rischio informatico, in particolare: supporta la struttura specialistica nella classificazione delle risorse ICT; effettua le valutazioni in merito al fattore di esposizione al rischio informatico; Procede all attuazione di piani di trattamento dell eventuale livello di rischio informatico residuo eccedente la soglia di accettazione, Funzione specialistica in merito al rischio informatico Definisce e manutiene la metodologia per l analisi del rischio informatico; Classifica, con il supporto della funzione ICT, le risorse ICT (filiere architetturali); Definisce e sviluppa il piano pluriennale di attuazione dell analisi del rischio; Presidia la valutazione del rischio sulle nuove iniziative progettali significative; Rendiconta la situazione relativa alla gestione del rischio 16

17 Agenda Chi siamo La Normativa Definizioni L approccio di Banca Popolare di Milano Il collegamento con la Business Continuity 17

18 Il collegamento con la BCM 1/3 La Gestione del Rischio Informatico e la Business Continuity hanno importanti elementi in comune. Risk Management Entrambi hanno un consistente impatto sulla governance del Rischio In particolare entrambi fanno riferimento al mondo del : - Rischio Operativo, ovvero il «rischio di subire perdite risultanti da inefficienze o inadeguatezze di processo, persone, sistemi o da eventi esterni» - Rischio Reputazionale, ovvero «il rischio di perdite potenziali per un impresa a causa di un deterioramento nella propria reputazione o affidabilità, dovuto ad una percezione negativa dell immagine dell impresa stessa tra clienti, controparti, azionisti e/ o autorità di vigilanza» Sicurezza Informatica La Sicurezza Informatica fa riferimento ai concetti di «riservatezza», «integrità» e «disponibilità». Il Rischio IT si preoccupa di analizzare le vulnerabilità anche in materia di «disponibilità» dell asset tecnologico. La BCM ha come obiettivo quello di garantire la «disponibilità». 18

19 Il collegamento con la BCM 2/3 L approccio adottato da Banca Popolare di Milano, ha permesso di individuare elementi di contatto, attivando così utili sinergie metodologiche ed organizzative Elementi di tipo «metodologico», quali : Process Oriented Gestione del Rischio e BCM utilizzano metodologie basate sui «processi aziendali». Analisi di Impatto Sia la Gestione del Rischio che la BCM hanno come elemento centrale l Analisi di Impatto eseguito con l Utente di Processo. L Analisi di impatto (BIA / RIA) è lo strumento utilizzato per rilevare il livello di criticità dei processi e il rischio residuo Policy Aziendale e informativa ai Vertici Aziendali Sono entrambi governati da precise Policy Aziendali approvate dai Vertici Aziendali, ai quali viene periodicamente rendicontata l attività (Consapevolezza) Funzioni Specialistiche di governo La Gestione del Rischio IT e la BCM fanno riferimento su specifiche Funzioni specialistiche che assicurano il coordinamento delle attività e la manutenzione delle procedure. 19

20 Il collegamento con la BCM 3/3 Collegamento operativo tra Rischio IT e BCM Nell ambito della BCM, l analisi di impatto (BIA) prevede l effettuazione anche di una Risk Analysis. I fattori di rischio presi in considerazione sono definiti su 2 livelli : a livello Banca (Rischio Ambientale, Rischio People, Rischio business aziendale,etc) a livello di Processo (complessità dell attività, livello di esternalizz, rischio di mkt, liquidta etc) Tra i fattori di rischio rilevativi al livello di processo, sono presenti anche quelli riferiti all Information Technology In particolare vengo esaminati quelli che riguardano l interruzione prolungata dell operatività e disfunzioni sui sistemi informatici Tali valutazioni sono mutuate dall Analisi del Rischio Informatico ed integrate nella BIA Pertanto la componente relativa all indisponibilità, rilevata ed analizzata nell ambito della Gestione del Rischio Informatico, indirizza il livello di rischio nell ambito della Business Continuity. 20

21 Grazie per l attenzione Elvio Vivaldini COO Sicurezza e Business Continuity 21