Come affrontare l integrazione della sicurezza e della business continuity in occasione di M&A nel settore bancario

Transcript

1 Come affrontare l integrazione della sicurezza e della business continuity in occasione di M&A nel settore bancario Ing. Roberto Lorini Amministratore Delegato VP Tech IV Convegno ANSSAIF Roma, 14 settembre 2007

2 Agenda L importanza della sicurezza nei processi di M&A del settore bancario Le aree di integrazione della sicurezza in occasione di M&A Come impostare un cantiere di integrazione della sicurezza in occasione di M&A VP Tech: value proposition e esperienze nei cantieri di integrazione della sicurezza 1

3 Lo scenario attuale dell industria bancaria è caratterizzato da una esigenza crescente di sicurezza, in particolare durante eventi di M&A Mercato - Concentrazione - Merger & acquisition - Internazionalizzazione - Competizione -Perimetro crescente della sicurezza -Aumento rischi di incidenti e frodi -Continuità operativa e Crisis Management su larga scala -Protezione di dati sensibili Regolamentazione - Continuità operativa (Basilea II) -Privacy -Corporate Governance - Sistemi di pagamento (SEPA) - Finanza (MiFID) - Ammende e sanzioni penali -Perdita di immagine e competitività -Perdita di dati -Riduzione time-to-market Innovazione - Multicanalità - Nuove filiali - Nuovi servizi di pagamento - nelle comunicazioni - nello sviluppo di applicazioni - Continuità dei servizi 2

4 Durante i processi di M&A è importante l integrazione della sicurezza al fine di conseguire sinergie, creare valore e cogliere le best practices Conseguimento di sinergie Interagire con le altre funzioni della banca e del gruppo per ottenere una maggiore efficienza dei costi operativi e una razionalizzazione degli investimenti Creazione di valore per la banca Far evolvere la sicurezza nella direzione di una creazione più concreta di valore attraverso un azione che soddisfi puntualmente le esigenze di sicurezza delle diverse funzioni della banca, del gruppo e dei clienti Selezionare le best practices Adottare tutte le contromisure possibili per contrastare le attuali e future potenziali minacce alle informazioni, ai beni, ai processi e alle persone che costituiscono il patrimonio della banca 3

5 L integrazione della sicurezza deve prevedere: le soluzioni target, gli interventi di adeguamento e i piani di migrazione Scelta soluzioni target Interventi di adeguamento Migrazioni Banca A Banca B Piano integrazione tecnologica fisica informatica Continuità operativa Piano integrazione organizzativa Competence Center Processi Operativi Piano integrazione risorse umane Organici Competenze Chiusura GAP Tecnologia Organizzazione Risorse umane Migrazione Banche retail Clientela corporate Consolidamento IT Modularità Flessibilità Ridondanza Ciclo di vita Scalabilità Resilienza Produttività Automazione Standardizzazione KPI/FTE Produttività Costi Sourcing Management Certificazioni Soft skills 4

6 Le aree di integrazione della sicurezza in occasione di M&A nel settore degli Istituti di Credito Governance Organizzazione - informazioni - fisica - Continuità operativa - Gestione delle frodi - Rapporti istituzionali -Normativa - Risk Management - Compliance - Human Resources Business support Operations - Corporate/retail banking - Secure payment - Multicanalità - Sistemi Informativi - Real Estate 5

7 Agenda L importanza della sicurezza nei processi di M&A del settore bancario Le aree di integrazione della sicurezza in occasione di M&A Integrazione degli strumenti di Governance Integrazione delle attività di Organizzazione Integrazione dei processi di Operations Integrazione delle aree di supporto al Business Come impostare un cantiere di integrazione della sicurezza in occasione di M&A VP Tech: value proposition e esperienze nei cantieri di integrazione della sicurezza 6

8 Integrazione degli strumenti di governance: un modello di management per il CSO Governance Analisi del rischio e degli impatti SECURITY GOVERNANCE ANALISI E PIANIFICAZIONE Pianificazione degli obiettivi e dei risultati da raggiungere Investimenti Costi operativi Benefici tangibili e intangibili Valutazione del positioning aziendale e definizione degli obiettivi di alto livello (direzionali) Awareness Valutazione economico-finanziaria iniziativa (es. NPV) GESTIONE E CONTROLLO DI PROCESSI E STRUMENTI Key Risk & Performance Indicator Tableau de Bord Ruoli, responsabilità e procedure Business Continuity & Crisis Mgmt Security Operation Center Knowledge Base e altre tecnologie della sicurezza Program e project management (costi, tempi, qualità) Misurazione performance del singolo servizio/progetto/unit Gestione del cambiamento 7

9 Integrazione degli strumenti di governance: gestire i rischi di sicurezza misurando le performance Governance 1. Definizione dei KPO strategici 2. KPO degli interventi di Security 3. KPO del piano di delivery Stakeholder Interest (A cura del Top Management) Individuano i risultati prestazionali che si desiderano raggiungere mediante il piano di sicurezza e gestione del rischio della banca Ridefinizione obiettivi (A cura del management della ) 6. KPI di impatto sul business Valutazione del valore creato dal programma di sicurezza in banca Esempi: Perdite finanziarie a seguito di incidenti di sicurezza Perdita di clienti a seguito di eventi criminosi Costituiscono gli interventi di carattere direzionale, esecutivo e tecnologico a supporto degli obiettivi del piano di sicurezza e gestione del rischio Adeguamento contromisure (A cura dello staff della ) 5. KPI di efficacia ed efficienza Efficacia ed efficienza del piano di Security implementato in azienda Esempi: Tempi di ripristino del piano di business continuity Percentuale di frodi online risolte nel tempo Determina tempistiche e milestone del piano di introduzione delle contromisure di sicurezza all interno dell azienda Incremento implementazione (A cura delle strutture di Operations della Banca) 4. KPI del livello di implementazione Livello di applicazione di politiche, procedure, e standard di Security Esempi: Percentuale di postazioni di lavoro con personal firewall Percentuale di sistemi integrati nel piano di disaster recovery Tableau de Bord della 8

10 Integrazione degli strumenti di governance: il Tableau de Bord di rischi e performance di sicurezza Governance Fisica Filiali Accessi Mezzi forti Protezione perimetrale Sedi Centrali Accessi Mezzi Forti Protezione Perimetrale Informatica Monitoraggio Internet Servizi bancari Risorse interne Erogazione Gestione accessi Cert. Authority Incidenti Accesso non autorizzato Interruzione servizi Continuità Operativa Business Continuity Indisponibilità persone Interruzione IT Inaccessibilità siti Interruzione servizi infrastrutturali Crisis Management Eventi ordinari Eventi straordinari Eventi distruttivi 9

11 Agenda L importanza della sicurezza nei processi di M&A del settore bancario Le aree di integrazione della sicurezza in occasione di M&A Integrazione degli strumenti di Governance Integrazione delle attività di organizzazione Integrazione dei processi di Operations Integrazione delle aree di supporto al Business Come impostare un cantiere di integrazione della sicurezza in occasione di M&A VP Tech: value proposition e esperienze nei cantieri di integrazione della sicurezza 10

12 Integrazione delle attività di organizzazione: Organizzazione, Risk Management, Compliance, HR e Audit Organizzazione Normativa -Impostazione della sicurezza dei processi aziendali secondo criteri di priorità legati all esposizione a minacce esterne o interne Risk Management -Contromisure di sicurezza che diminuiscano il capitale allocato a copertura dei rischi operativi Security Compliance -Adeguamento a normative di sicurezza per mitigare il rischio di sanzioni e il rischio di perdita di immagine Human Resources -Formazione e sensibilizzazione del personale sulle problematiche di sicurezza 11

13 Integrazione delle attività di organizzazione: linee guida e sicurezza nei processi aziendali Organizzazione -Attraverso l analisi dei rischi la fornisce e aggiorna la mappa dei rischi all interno dei processi della banca -Sulla base dei rischi, aggiorna l impianto normativo organizzato secondo una struttura piramidale a livello di dettaglio crescente Principi e politiche Linee Guida di sicurezza Regole e documentazione operativa di sicurezza Impianto normativo di sicurezza -L impianto normativo, al livello di dettaglio maggiore, indica azioni di controllo puntuali da svolgere all interno dei processi -Il ridisegno dei processi da parte di Organizzazione dovrebbe avvenire sempre in sinergia con la in modo da realizzare una sicurezza embedded Processi direzionali BANCA Processi di marketing Processi di operations Processi di supporto 12

14 Integrazione delle attività di organizzazione: protezione di informazioni e sistemi tecnologici -Il panorama normativo italiano contempla una serie di obblighi di implementare, governare e controllare una serie di processi relativi alla registrazione, alla conservazione e alla sicurezza di dati e informazioni, e alla sicurezza dei sistemi informativi sui quali risiedono tali dati -Normative con impatti di sicurezza: Privacy Antiriciclaggio Antifrode Market Abuse Trasparenza degli operator Registrazione Processi per la compliance Conservazione Informazioni & Sistemi Registrazione Esempio Privacy - Informativa all interessato - Raccolta consenso al trattamento - Autorizzazione al trattamento - Notificazione al Garante Conservazione - Retention dati personali/sensibili - Retention dati di debito/credito - Retention video-sorveglianza Organizzazione - Autenticazione informatica - Autorizzazione trattamento - Protezione di sistemi - Protezione da virus e da vulnerabilità - Back up - Disaster Recovery - Produzione DPS - Protezione fisica dei documenti cartacei - Progettazione misure ulteriori - Formazione per i dipendenti 13

15 Agenda L importanza della sicurezza nei processi di M&A del settore bancario Le aree di integrazione della sicurezza in occasione di M&A Integrazione degli strumenti di Governance Integrazione delle attività di organizzazione Integrazione dei processi di Operations Integrazione delle aree di supporto al Business Come impostare un cantiere di integrazione della sicurezza in occasione di M&A VP Tech: value proposition e esperienze nei cantieri di integrazione della sicurezza 14

16 Integrazione dei processi di Operations: Continuità operativa, Monitoraggio, IT, Crisi, IAM Operation IT -Analisi del rischio, linee strategiche di protezione e piani operativi di sicurezza per sistemi, reti e applicazioni Monitoraggio Integrato -Centrale di monitoraggio unificato per il presidio di allarmi di sicurezza informatica, fisica e delle frodi Continuità Operativa Crisis Management -Disegno delle soluzioni tecniche e organizzative per la continuità delle risorse critiche (e.g. sedi centrali, filiali, IT) -Realizzazione di una struttura in grado di gestire in modo efficace e completo a qualsiasi situazione di crisi Controllo Accessi -Creazione di un sistema per la gestione integrata degli accessi fisici e logici di dipendenti, clienti e terze parti 15

17 Integrazione dei processi di Operations: approccio top-down alla sicurezza di dati e infrastruttura Operation Security Governance IT Security BIA Informazione asset strategico Analisi del Rischio Indicatori di rischio Business Continuity Linee strategiche di protezione Individuazione delle classi di criticità dei Sistemi/Applicazioni. Individuazione del desiderato livello di rischio su Sistemi/Applicazioni IT Security Linee di Sviluppo Pianificazione degli di Interventi di security PdS 1 PdS 2 PdS 3 PdS 4 PdS n Il risultato sono specifici piani di, riferiti alle differenti applicazioni IT. Le contromisure sono sia di tipo tecnologico che organizzativo Linee di Sviluppo Linee di Esercizio Attuazione delle contromisure C 1 C 2 C 3 C 4 C n Con interventi trasversali, soprattutto nell ambito infrastrutturale, è possibile agire contemporaneamente su un sottoinsieme di minacce, ottimizzando gli investimenti La sicurezza dei dati presuppone il coinvolgimento di diverse funzioni con finalità ed obiettivi specifici ed è necessario che operino in modo integrato per realizzare un esercizio efficace delle contromisure. 16

18 Integrazione dei processi di Operations: fisico, logica e frodi Operation Clienti Utenti interni Top Mgmt Istituti e consorzi Mondo esterno Clienti Presentation Servizi Servizi di management Servizi di supervisione Servizi di audit Servizi di advisory Security Operation Center professionals Procedure operative Procedure per l utilizzo di sistemi e infrastrutture Procedure e template per la reportistica Procedure per il trattamento dei dati Strumenti del SOC Contesto operativo Strumenti operativi Manage Strumenti di analisi e correlazione Video Mgmt IDS Mgmt Fraud Mgmt Patch Mgmt Log Correlation Security Audit Monitor Policy e procedure aziendali Filiali Eventi sicurezza fisica ATM e POS Banking on line Eventi frodi Firewall Antivirus e IDS Eventi sicurezza informatica IT Systems 17

19 Integrazione dei processi di Operations: gestione delle crisi su prodotti, servizi e asset della banca Operation Rischi di crisi - Rischi di interruzione della continuità dei sistemi: eventi che compromettono la continuità dei servizi informatici - Violazione sicurezza su risorse umane, asset materiali, asset immateriali Contact Management Operation Emergency hotline Clienti Intelligence & Analysis Istituzioni Dipendenti FFOO Funzioni utente Help Desk Unità di crisi Stampa Supporto unità di crisi Emergency Response - Deterioramento reputazione: eventi con impatto sul brand value aziendale Supporting Tools Information Management Event Management Event database Tableau de Bord - Salute/sicurezza sul lavoro: eventi con impatto sulla salute dei dipendenti o di collaboratori - Rischi di supply chain: Eventi con impatto sulle forniture core aziendali Sources SOC Integrato Human Resources Sistema Informativo News & Media Reti Territoriali Centri Back-office Canali Diretti Supply chain Partners & Authority Sedi Direzionali 18

20 Integrazione dei processi di operations: costruire una macchina integrata per la business continuity Operation Portale Intranet È fondamentale integrare tutte le componenti della continuità operativa delle due banche: - strategia - metodologia BIA - piani - soluzioni - competenze -software - 1 layer - Interfaccia - 2 layer - Analisi - 3 layer - Database - 4 layer - Connessioni esterne DB Processi Navigazione e presentazione Algoritmi BIA DB Procedure Maschere per inserimenti e modifiche Monitoraggio test e crisi DB Risorse critiche SSA Siti Loading DB Soluzioni Transformation Extraction Estrazioni e reportistica Gestione BCP Dipendenti SSA Siti Dipendenti Profilatura DB Supporto Workflow approvativo Storicizzazione HR IT Real Estate Procurement Organizzazione IAM 19

21 Integrazione dei processi di operations: Repository unico delle identità per i diversi sistami IAM Criticità integrazione IAM Varie piattaforme di Identity & Access management Sorgenti autoritative non ben definite e presenza di vari flussi di alimentazione Conseguente difficoltà di controllo della bontà dei dati di identità e dei relativi attributi Soluzione: il Global Identity Repository Utenze interne Utenze esterne Unified Enterprise HR Directory Operation IAM Banca 1 IAM Banca 2 Interfaccia univoca verso HR Identificativo univoco per utenti/organiz. E esterni Razionalizzazione dei flussi e verifica della bontà dei dati Un punto unico per il controllo dei processi di assegnazione delle utenze Tracciamento delle utenze end-to-end in compliance alle normative interne Utenze interne Utenze esterne Unified HR Directory Global Identity Repository IAM Banca 1 IAM Banca 2 Unico punto di controllo e verifica 20

22 Agenda L importanza della sicurezza nei processi di M&A del settore bancario Le aree di integrazione della sicurezza in occasione di M&A Integrazione degli strumenti di Governance Integrazione delle attività di Organizzazione Integrazione dei processi di Operations Integrazione delle aree di supporto al Business Come impostare un cantiere di integrazione della sicurezza in occasione di M&A VP Tech: value proposition e esperienze nei cantieri di integrazione della sicurezza 21

23 La multicanalità e i servizi mobile Business - In un contesto di evoluzione dei servizi di pagamento, si aprono prospettive per le banche: Accesso home banking Multicanalità Mobile banking M- commerce Mobile Payment Mobile Ticketing - sia verso l accesso in multicanalità dei propri servizi Front-end Banca Retail M-commerce Utilities - sia verso servizi evoluti di mobile payment, in cui le tecnologie di supporto legate alla connettività mobile giocano un ruolo di rilievo - La banca può evolvere verso il ruolo di Payment Service Provider evoluto (es. Paypal mobile) Integrazione Verticale Banca / Op finanziario Mobile Virtual Network Operator Supporto Transazioni, Identificazione e connettività sicura per gli utenti Back-end servizi Banca Payment Service Provider In entrambi i contesti, è necessario strutturare un centro servizi che possa garantire la gestione intrinseca delle problematiche di sicurezza 22

24 L innovazione tecnologica della per la multicanalità Business Token Canale Tecnologia di accesso Service Sistemi core Carta SIM Larga banda (ADSL 2, UMTS) Infrastrutture PKI e PEC Client Convergenza fisso mobile (UMA) Carte CNS Mobile Servizi di Mail Multicanale Centro Servizi Pubblica Amministrazione Token OTP Web TV (DTT) Digitale Terrestre Centri gestione CNS Servizi di Messaggistica (SMS) Sistemi core Banca Carte EMV ATM Sistemi sicurizzazione messaggistica Problematiche di sicurezza 1 Autenticazione e 2 Sicurizzazione 3 Interoperabilità e gestione identità canali e cooperazione applicativa digitale messaggistica (architetture SOA) 23

25 Agenda L importanza della sicurezza nei processi di M&A del settore bancario Le aree di integrazione della sicurezza in occasione di M&A Come impostare un cantiere di integrazione della sicurezza in occasione di M&A VP Tech: value proposition e esperienze nei cantieri di integrazione della sicurezza 24

26 Come impostare un cantiere di integrazione della sicurezza in occasione di M&A Comitato Guida Responsabile del cantiere PMO/supporto di progetto Physical Security Information Security BC/Crisis Management Fraud Management Cash Facility - Custody - Transport -ATM -Branch - Head Quarter - Sensitive Area - Artistic Property Employee - Robbery -Safety ICT Security Data Security - Applicatrion - Infrastructure - Channel - Disaster Recovery - Data protection compliance - Corporate Information - Customer Information - Executive Information Business Continuity Crisis Mgmt -BIA -BCM - Business interruption - Reputation - Services - People IT & Card Fraud Banking Fraud -Credit Card -DebitCard -POS - E-banking - Online payment - Branch desk - Loan Executive -Office -Travel - Daily life Event - Site protection - Vigilance VP Tech ha coordinato e partecipato ai cantieri di integrazione della sicurezza informatica, fisica e delle business continuity nelle prime 3 operazioni di M&A del settore bancario in Italia 25

27 Esempi di attività da svolgere nei cantieri di integrazione della sicurezza informatica e della business continuity Ambito Attività da svolgere 1 informatica Project Management Office per i sotto-cantieri di integrazione della sicurezza informatica Sviluppo metodologia di valutazione comparata delle soluzioni di sicurezza informatica Integrazione soluzioni tecnologiche e modelli organizzativi per la gestione degli accessi logici Dimensionamento delle risorse e riorganizzazione per competence center Integrazione soluzioni tecnologiche e processi operativi per il monitoraggio degli eventi di sicurezza informatica e per i servizi di certificazione digitale Integrazione impianti normativi di II /III livello di information security 2 Project Management Office per i sotto-cantieri di integrazione della business continuity Business Integrazione piattaforme tecnologiche di back-up per il piano di disaster recovery continuity Integrazione software di gestione operativa e manutenzione di BIA e piani di BCP Integrazione modelli organizzativi di gestione delle crisi Integrazione e aggiornamento dei piani tecnologici di disaster recovery Dimensionamento delle risorse e riorganizzazione per competence center 26

28 Alcuni suggerimenti per il CSO in occasione di M&A nel settore bancario È fondamentale organizzare un cantiere di integrazione della sicurezza fisica, informatica e della continuità operativa Ricordarsi che sono da integrare non solo le componenti tecnologiche, ma anche i modelli organizzatrivi, le risorse umane, la cultura e i modelli normativi Valorizzare le best practices e i talenti delle strutture di sicurezza, approfittando del cambiamento per sostenere l innovazione nei progetti di integrazione Costruire dei business case per la valutazione di savings ed efficienze sulla base di una dettagliata analisi della situazione as-is presente in ciascuna banca L integrazione della sicurezza è fondamentale per garantire i massimi livelli di protezione per l operazione di M&A, contribuendo in chiave manageriale alla generazione di savings e efficienze 27

29 Agenda L importanza della sicurezza nei processi di M&A del settore bancario Le aree di integrazione della sicurezza in occasione di M&A Come impostare un cantiere di integrazione della sicurezza in occasione di M&A VP Tech: value proposition e esperienze nei cantieri di integrazione della sicurezza 28

30 VP Tech è il partner di clienti importanti per ciò che riguarda la gestione di progetti in ambito di sicurezza aziendale Profilo di VP Tech Obiettivo: portare al mercato un offerta di servizi in ambito security capace di coniugare aspetti consulenziali, tecnologici ed economici al fine di creare valore per i propri clienti Consulenza e Soluzioni di Strategia di posizionamento della sicurezza Organizzazione e governo dei processi di sicurezza Progettazione/realizzazione soluzioni di sicurezza Pianificazione di sistemi di Security Intelligence Organizzazione per practices: security consulting, security solutions, security technology, innovazione Referenze principali: telecomunicazioni, industria, sanità e pubblica amministrazione, presenza nel mercato finance Forti legami con il mondo universitario e con centri di R&D e realtà tecnologiche a livello nazionale e internazionale Certificata ai sensi della norma ISO 9001: professionisti dedicati alla 29

31 VP Tech: la value proposition dell offerta Framework security governance Copertura della value chain Security consulting Security solutions ANALISI E PIANIFICAZIONE Innovation Risk assessment Risk prevention Security Tableau de Bord Valutazione investimenti di sicurezza, program mgt Business continuity Policies, processi e organizzazione della sicurezza Investimenti di sicurezza Education SOC Incident management applicativa perimetrale Identity management Security Knowledge management Disaster recovery Prodotti GESTIONE E CONTROLLO DI PROCESSI E STRUMENTI Security technologies Security Application Security Reporting Management Content, document e workflow mgt Web Security Technologies 30

32 Alcune referenze di clienti con i quali VP Tech ha collaborato sulle tematiche di security Finance Altri settori 31

33 Come affrontare l integrazione della sicurezza e della business continuity in occasione di M&A nel settore bancario Ing. Roberto Lorini roberto.lorini@vptech.it Grazie per l attenzione!