Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Transcript

1 Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014

2 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi Il processo di Autodiagnosi Quadro normativo di riferimento e gap analysis Le scelte organizzative Le scelte metodologiche Le variabili analizzate per definire un linguaggio comune I Fattori di Rischio rilevanti ai fini della valutazione del rischio ICT Il processo di governo del rischio ICT Conclusioni 2

3 La gestione del rischio operativo nel Gruppo ISP Quadro complessivo per la gestione dei rischi operativi (normativa e processi organizzativi per la misurazione, la gestione e il controllo) definito da tempo Adozione del Metodo Avanzato AMA (modello interno) per la determinazione del requisito patrimoniale a partire da dicembre 2009, su un perimetro di Unità Organizzative che si è via via esteso fino a coprire quasi il 90% del Margine di Intermediazione consolidato di Gruppo Governo dei rischi operativi di Gruppo attribuito al Consiglio di Gestione e al Consiglio di Sorveglianza, supportati dal Comitato Coordinamento Controlli e Operational Risk di Gruppo Funzione centralizzata di gestione del rischio operativo, responsabile della progettazione, dell implementazione e del presidio del framework metodologico e organizzativo, nonché della misurazione dei profili di rischio, della verifica dell efficacia delle misure di mitigazione e del reporting verso i vertici aziendali Responsabilità dell individuazione, della valutazione, della gestione e della mitigazione dei rischi in capo alle singole Unità Organizzative Individuazione e valutazione delle principali aree di rischio operativo svolte attraverso la rilevazione degli eventi operativi occorsi e il processo di Autodiagnosi 3

4 La gestione degli eventi operativi Overview Il processo di raccolta dei dati sugli accadimenti che abbiano come conseguenza lo scostamento tra l esito atteso di un processo dal risultato definito e il risultato effettivo (cd. eventi operativi): fornisce informazioni significative sull esposizione pregressa contribuisce alla conoscenza e alla comprensione dell esposizione al rischio operativo da un lato e alla valutazione dell efficacia/di potenziali debolezze nel sistema dei controlli interni dall altro Eventi Fattori di Rischio Effetti Cosa? Perché? Quanto? Modello degli Eventi Modello dei Fattori di Rischio Modello degli Effetti Identificazione e classificazione di tutte le possibili tipologie di evento operativo Identificazione e classificazione delle cause/fattori all origine degli eventi operativi o che ne amplificano gli effetti Identificazione e classificazione di tutti i possibili effetti derivanti da un evento operativo 4

5 Il processo di Autodiagnosi Overview Il processo di Autodiagnosi fornisce informazioni significative sull esposizione presente e futura: E una autovalutazione, da parte delle Unità Organizzative della Capogruppo e delle Società del Gruppo Individua le cause (cd. Fattori di Rischio) che possono generare eventi operativi o amplificarne gli effetti Esprime il livello di presidio percepito su tali Fattori di Rischio Stima il rischio di subire perdite nel futuro (Analisi di Scenario) Poiché nella valutazione del livello di presidio vengono considerati i controlli e le contromisure in essere, l Autodiagnosi esprime una stima di rischio residuo da parte delle Unità Organizzative Ciò consente di responsabilizzare le Unità Organizzative nell identificazione del rischio e nella proposta di azioni di mitigazione Oltre alla valutazione dei rischi strettamente operativi, il processo consente già una valutazione dei rischi di non conformità a specifiche normative per esigenze di Compliance (es. Processo Informativa Finanziaria - ex Legge 262, D.Lgs. 231/01) 5

6 Il processo di Autodiagnosi Le fasi Analisi dati storici di perdita interni (dati ottenuti con il processo di LDC) Finalizzata all analisi degli eventi operativi che si sono verificati e delle eventuali perdite occorse Responsabili Unità Organizzative VCO Responsabili Unità Organizzative AS Responsa bile Autodiagnosi OR MC ORM D A ud it? Componente storica Componente prospettica Analisi qualitativa Analisi di Scenario (AS) Valutazione quantitativa del profilo di rischio delle singole strutture mediante la raccolta di stime soggettive espresse dai responsabili delle Unità Organizzative Valutazione del Contesto Operativo (VCO) Valutazione qualitativa del profilo di rischio delle singole strutture tramite l analisi della rilevanza e del presidio degli elementi del contesto operativo (Fattori di Rischio) Analisi di Coerenza (AC) Finalizzata a verificare la coerenza tra i risultati di Analisi di Scenario, Valutazione del Contesto Operativo e le evidenze empiriche da dati di perdita Organizzazio ne Compliance/ Continuità Operativa Workshop/Presa Visione Fase finalizzata alla convalida dei risultati finali di AS, VCO e dati di perdita da parte del Responsabile AD Processo di Capital Budget A fronte delle principali Criticità Operative individuate possono essere proposte Azioni di Mitigazione a fonte delle quali viene aperta una scheda di Capital Budget 6

7 Il processo di Autodiagnosi La Valutazione del Contesto Operativo Consiste in un analisi qualitativa dell esposizione ai Rischi Operativi di una Unità Organizzativa effettuata mediante una valutazione dei Fattori di Rischio in relazione a ciascun processo svolto dalla stessa Lo strumento utilizzato per la valutazione del profilo di rischio consiste in una scheda definita Scorecard, integrata nell applicativo di gestione dei rischi operativi Durante la fase di valutazione, l ORMD può avvalersi delle evidenze derivanti da altri momenti di verifica da parte delle strutture di controllo L ORMD deve valutare, almeno una volta all anno, i FR applicabili a ciascuna UO di riferimento e associati ai processi aziendali Risorse Umane Sistemi Processi Eventi esterni La responsabilità della convalida delle singole valutazioni è in capo ai Responsabili delle Unità Organizzative in prima battuta, quindi in capo al Responsabile di Autodiagnosi (di solito la Direzione per la Capogruppo, l Amministratore Delegato/Direttore Generale per le società) 7

8 Quadro normativo di riferimento e gap analysis (1/2) Il XV aggiornamento della Circ. Bankit 263/2006 (cd. "Nuove Disposizioni") introduce i Capitoli 7, 8 e 9 Capitolo 7 Il sistema dei controlli interni Necessità di controlli - a livello di gruppo e di sue singole componenti - sul raggiungimento degli obiettivi di sicurezza informatica e di continuità operativa Capitolo 8 Il sistema Informativo Evoluzione del processo di gestione del rischio informatico verso una logica integrata: con il concorso di tutte le figure a diverso titolo coinvolte (utente responsabile, funzioni ICT, funzioni di controllo) ripetuto con periodicità adeguata e, comunque, in presenza di situazioni che possono influenzare il complessivo livello di rischio informatico Capitolo 9 La continuità operativa L'analisi di impatto per la continuità operativa individua il livello di rischio relativo ai singoli processi aziendali e pone in evidenza le conseguenze della interruzione del servizio I rischi non gestiti dal piano di continuità operativa devono essere documentati ed esplicitamente accettati dagli organi aziendali competenti ponendo particolare enfasi sul tema del rischio informatico e richiedendo di definire processi di analisi svolti con il concorso e coordinamento di diverse figure aziendali, allo scopo di fornire agli Organi una visione sintetica e complessiva del rischio ICT Il «Rischio informatico (o ICT)» è definito come il rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all utilizzo di tecnologia dell informazione e della comunicazione (Information and Communication Technology ICT) Nella rappresentazione integrata dei rischi aziendali a fini prudenziali, tale tipologia di rischio è considerata, secondo gli specifici aspetti, tra i rischi operativi, reputazionali e strategici 8

9 Quadro normativo di riferimento e gap analysis (2/2) Per indirizzare i gap di analisi del rischio ICT rilevati in fase di autovalutazione della propria situazione rispetto alle previsioni della norma (cd. Gap Analysis), il Gruppo ISP ha avviato un progetto: volto alla definizione di un linguaggio comune e all'aggiornamento in modalità integrata e coordinata dei processi di gestione nel continuo del «rischio ICT» e dei «rischi non gestiti dal piano di continuità operativa» cui partecipano Sistemi Informativi, Sicurezza Informatica, Continuità Operativa, Risk Management, Compliance, Audit Definire metodologia e processo di governo Definire una metodologia per l identificazione e la valutazione dell esposizione al Rischio ICT Disegnare un processo di governo nel continuo del rischio ICT e dei rischi residui non coperti dal piano di continuità operativa (di seguito anche rischi non gestiti BCM) Manutenere gli standard di Gruppo definiti Predisporre normativa in materia Definire le «Linee Guida per il Governo del Rischio Informatico» Aggiornare la normativa interna su Rischi Operativi con gli impatti rivenienti dal rischio ICT e dai rischi residui non gestiti dal piano di continuità operativa Predisporre informativa strutturata per gli Organi Aziendali Presentare in maniera complessiva e integrata i risultati della valutazione del rischio ICT verso gli Organi con: utilizzo e raccordo nel framework complessivo dei contributi delle funzioni specialistiche produzione di flussi informativi su evoluzione del rischio, rispetto della propensione ed efficacia delle misure di protezione implementate Presidiare il rispetto di standard e policy a livello locale Monitorare il rispetto degli standard e delle policy di Gruppo per la gestione del rischio ICT e dei rischi residui non gestiti dal piano di continuità operativa anche a livello locale, sotto la supervisione coordinata di Risk Managament e Compliance (II livello) e Auditing (III livello) 9

10 Funzione di Revisione Interna (Controllo di III livello): Audit Le scelte organizzative Con specifico riferimento alla responsabilità su tematiche inerenti il rischio informatico, il ruolo degli organi aziendali e delle funzioni coinvolte può essere così rappresentato: 1 Consiglio di Sorveglianza Organi Aziendali Consiglio di Gestione 2 1 CdS è responsabile di indirizzo e controllo del sistema informativo 2 CdG assicura la completezza, l adeguatezza, la funzionalità e l affidabilità del sistema informativo 3 Funzioni aziendali Utente responsabile 6 3 Utente responsabile, identificato per ciascun sistema o applicazione, ne assume formalmente la responsabilità, in rappresentanza degli utenti e nei rapporti con le funzioni preposte allo sviluppo e alla gestione tecnica 4 Funzioni specialistiche (FS): contribuiscono alla definizione del quadro metodologico e di controllo relativo al rischio per il proprio ambito di competenza 4 Funzioni di Controllo di II livello 5 Funzioni specialistiche con compiti di controllo: Continuità Operativa e Sicurezza Informatica Funzioni di Controllo di II livello: Compliance e Risk Management 5 Funzioni di controllo di II livello: Compliance: definisce, in collaborazione con le FS, le metodologie di valutazione del rischio di non conformità e le procedure atte a mitigarlo; esprime, sulla base dell attività delle FS e delle verifiche condotte direttamente, una valutazione del rischio di non conformità e dell adeguatezza dei presidi posti in essere per la relativa mitigazione Risk Management: sviluppa e manutiene i sistemi di misurazione, gestione e controllo dei rischi ICT; controlla l esposizione al rischio ICT in base a flussi informativi continui e monitora l efficacia delle misure di protezione delle risorse ICT. Funzione di controllo di III livello - Audit: 6 assolve compiti di assurance attinenti al sistema informativo aziendale (ICT audit) tramite proprio piano interventi, assicura adeguata copertura delle varie applicazioni, infrastrutture e processi di gestione, incluse le eventuali componenti esternalizzate fornisce valutazioni sui principali rischi tecnologici identificabili e sulla complessiva gestione del rischio informatico 10

11 Le scelte metodologiche (1/2) Data la definizione di Rischio ICT fornita nelle Nuove Disposizioni («nella rappresentazione integrata dei rischi aziendali a fini prudenziali, tale tipologia di rischio è considerata, secondo gli specifici aspetti, tra i rischi operativi [ ]») e alla luce del perimetro di Gruppo già coperto dal processo di gestione del rischio operativo, si è stabilito di procedere alla identificazione e valutazione dell esposizione al rischio ICT: evolvendo l attuale processo di Autodiagnosi previsto dal framework operational risk attraverso la valutazione dei Fattori di Rischio sugli ambiti applicativi a supporto dei processi aziendali sia da parte degli utenti (condotto per Unità Organizzativa dagli Operational Risk Manager Decentrati) che delle funzioni tecniche (Sistemi Informativi) e specialistiche (Sicurezza Infromatica e Continuità Operativa) valorizzando a tal fine le analisi già svolte dalle funzioni tecniche e specialistiche (per la definizione e la valutazione dei presidi di controllo in ambito Information Technology e Information Security Intesa Sanpaolo segue già le linee guida definite da framework internazionali quali il CObIT e la ISO 27000) prevedendo il contributo delle diverse funzioni aziendali di controllo e integrando nel framework le attività di Compliance (che fornisce tra l altro contributi nell'identificazione delle priorità d'intervento sul Rischio ICT laddove identifichi impatti di compliance) e Internal Auditing (che mette a disposizione la valutazione del profilo di rischio ICT unitamente alle principali evidenze sulle criticità inserite nel Tableau de Bord) valorizzando il patrimonio informativo a disposizione delle funzioni specialistiche (incident management e processi analoghi per le altre funzioni) E' stato così sviluppato un modello di identificazione e valutazione del Rischio ICT che: prevede il raccordo degli elementi esistenti a livello di metodologie, di basi informative disponibili e di linguaggi adottati da tutti gli interlocutori del processo analizza il livello di presidio degli elementi che caratterizzano il contesto operativo aziendale (Fattori di Rischio) sui processi e sugli ambiti applicativi e rappresenta l esposizione al rischio ICT attraverso una mappa del rischio 11

12 Le scelte metodologiche (2/2) Le attuali metodologie di identificazione del rischio utilizzate dalle direzioni aziendali sono disegnate per livelli target differenti e risultano specializzate per i propri ambiti di competenza A partire dal set metodologico e informativo a disposizione, il gruppo di lavoro ha raccordato i modelli esistenti in un unico modello comune di identificazione e valutazione del rischio informatico RISK MANAGEMENT Processi aziendali, Unità Organizzativa, Fattori di Rischio CONTINUITÀ OPERATIVA Processi aziendali, Perimetro BIA SICUREZZA INFORMATICA Processi aziendali, Ambito Applicativo, Regole di sicurezza R SISTEMI INFORMATIVI Processi aziendali, Ambiti Applicativi, CObIT COMPLIANCE Ambiti Normativi, Processi aziendali AUDIT Aree sotto osservazione, CObIT 12

13 Le variabili analizzate per definire un linguaggio comune Il progetto ha condotto numerose analisi sulle diverse dimensioni che caratterizzano l'attuale operatività delle funzioni coinvolte, per produrre un raccordo fra le stesse ed identificare un target comune di valutazione: i Fattori di Rischio (FdR). Nel framework sono stati integrati gli Obiettivi di Controllo previsti dal CObIT 4.0 e i controlli di sicurezza derivanti dalla ISO Fattori di Rischio Processi La Valutazione del Contesto Operativo (VCO) richiede di esprimere, per singole Unità Organizzative e per i processi alle stesse associati, la rilevanza ed il livello di presidio percepito Obiettivi controllo CObIT Ambiti Applicativi Per definire il contributo della Funzione Tecnica, gli Obiettivi di Controllo CObIT utilizzati per la valutazione del livello di presidio delle tematiche IT sono stati ricondotti ai FdR. La valutazione del Rischio viene espressa a livello di singolo Ambito Applicativo. Gli Obiettivi di Controllo CObIT sono utilizzati anche da Internal Auditing Controlli di Sicurezza Ambiti Applicativi Per definire il contributo di Sicurezza Informatica, sono stati ricondotti ai Fattori di Rischio i Controlli di Sicurezza (da ISO 27000) espressi dalla normativa interna ed utilizzati per la valutazione del livello di presidio delle tematiche di sicurezza informatica. La valutazione del Rischio viene espressa a livello di singolo Ambito Applicativo. 13

14 I Fattori di Rischio rilevanti ai fini della valutazione del rischio ICT Ai fini della identificazione e valutazione delle principali aree di Rischio ICT, è rilevante solo un sottoinsieme dei Fattori di Rischio disponibili e valutati nell ambito del normale processo di Autodiagnosi Alcuni Fattori di Rischio debbono essere valutati sia dalle funzioni tecniche e specialistiche che dagli utenti (es. adeguatezza del supporto software), altri dalle sole funzioni utente (es. livello di competenza professionale delle risorse) RISORSE UMANE Gestione amministrativa delle risorse umane Selezione, gestione e sviluppo delle risorse SISTEMI E SICUREZZA Adeguatezza di HW e SW Gestione di HW e SW Governo della sicurezza delle informazioni Governo della sicurezza fisica PROCESSI Aspetti legali e contrattuali Impostazione di normativa e processi Presidio contabilità Servizi esternalizzati Gestione operativa e presidio dei processi Impostazione di normativa e processi EVENTI ESTERNI BCM: continuità operativa, disaster recovery Security 14

15 Il processo di governo del rischio ICT Situazione complessiva di rischio: Rilevazione, raccolta e classificazione tramite metodologie già in uso (es. Autodiagnosi, valutazione COBIT/ Regole di Sicurezza/Business Continuity Management, ecc.) Nuovi progetti o modifiche rilevanti al sistema informativo Approfondimenti (comprensivi della valutazione di rischio) a seguito di eventi critici (es. incidenti) Identificazione Reporting integrato agli Organi, almeno annuale, sulla situazione complessiva di rischio e per la valutazione del rischio delle componenti critiche Relazione DC Compliance Relazione di Audit Comunicazione Valutazione Definizione mappa del Rischio ICT e del livello di Rischio Residuo complessivi Valutazione rischio potenziale e residuo per iniziative di sviluppo nuovi progetti o modifica rilevante del sistema informativo Approvazione rischio residuo ICT a cura dell Utente Responsabile post confronto con le funzioni con compiti di controllo Identificazione ed attuazione degli interventi di mitigazione definiti a fronte di un evento critico o di aree di rischio significativo Processo di monitoraggio integrato sui piani di rientro definiti a fronte di un evento critico o di aree di rischio significativo Mitigazione Monitoraggio Raccolta e organizzazione strutturate dei risultati ottenuti dall attività di identificazione e/o misurazione al fine di monitorare il rispetto dei limiti e degli indicatori (KRI) definiti in ambito RAF 15

16 Valutazione delle funzioni tecniche e specialistiche Revisione in base alle evidenze delle funzioni di controllo Workshop per la certificazione dei risultati Il processo di governo del rischio ICT Le fasi di identificazione e valutazione Il livello di presidio dei Fattori di Rischio (FdR) rilevanti a fini ICT deriva dal confronto: tra la valutazione delle funzioni tecniche e specialistiche e la valutazione condotta dall utente (Valutazione del Contesto Operativo) sui medesimi Fattori di Rischio potrà essere rivisto in base alle evidenze delle funzioni di controllo (Compliance, Audit, ecc.) Valutazione livello di presidio dei FdR in ambito Continuità Operativa (CO) a cura della CO, per processo Valutazione controlli di sicurezza tramite Survey a cura della Sicurezza Informatica (SI), per Ambito Applicativo Normalizzazione coordinata da DCRM Definizione corrispondente livello di presidio per CO Riconduzione controlli di sicurezza ai FdR in ambito SI e definizione del livello di presidio per SI; passaggio a valutazione per processo Processo di Autodiagnosi Definizione della mappa del rischio per processo e/o per ambito applicativo Risposta Survey della Sicurezza Informatica a cura dei Sistemi Informativi, per Ambito Applicativo Valutazione Obiettivi CObIT a cura dei Sistemi Informativi, per Ambito Applicativo Riconduzione CObIT ai FdR in ambito IT e definizione corrispondente livello di presidio per Sistemi Informativi; passaggio a valutazione per processo Valutazione del livello di presidio dei FdR a cura dell utente, per processo Livello di presidio dei FdR in ambito ICT per processo Queste valutazioni verranno usate da Compliance nell ambito del Compliance Risk Assessment sui diversi ambiti normativi 16

17 Conclusioni La scelta effettuata consente: di capitalizzare sull esistente, sia in termini di governance e processi che di metodologie e linguaggi già in uso di focalizzare l attenzione sulle aree più delicate o innovative introdotte dal XV agg.to della Circ. 263 (individuazione degli utenti responsabili, ICT compliance) di continuare nell evoluzione dei processi di gestione del rischio operativo già intrapresa REATTIVITA Fire Fighting Soluzioni Tattiche raccolta dati e risk assessment PROATTIVITA controllo e mitigazione del rischio Gestione delle Crisi Mitigazioni Individuali revisione ed evoluzione delle linee guida e della metodologia attribuzione del capitale Oltre alla conformità alla normativa, lo scopo è fare in modo che i processi di gestione del rischio operativo (e del Rischio ICT) non vengano trattati come un costo di compliance ma si auto-mantengano, si integrino nella gestione quotidiana dell attività e possano effettivamente essere utilizzati a supporto dei processi decisionali 17