Rischi informatici: a chi tocca?

Transcript

1 Rischi informatici: a chi tocca? Seminario ATED Manno, 13 gennaio 2006 Eugenio G. Corti Controllo cantonale delle finanze del Cantone Ticino Coordinatore della revisione informatica eugenio.corti@ti.ch Repubblica e Cantone Ticino Controllo cantonale delle finanze Piazza Governo 6501 Bellinzona Svizzera

2 Agenda Introduzione Perché è importante gestire i rischi informatici? Quali sono i rischi informatici? Le migliori prassi per la gestione dei rischi informatici Le responsabilità Il piano d azione Conclusione 2

3 Introduzione Cultura, propensione al rischio, competenze Persone Processi Strategia Direzione Integrazione Sistemi Organizzazione, processi aziendali e processi informatici Tecnologia, strumenti, infrastruttura 3

4 Perché è importante gestire i rischi informatici? Alcuni esempi tratti dal COSO ERM Framework e declinati per l informatica: non pregiudicare gli obiettivi strategici aziendali a causa di problemi informatici; essere in grado di cogliere le opportunità favorite dall informatica; ridurre le sorprese a livello di informatica; migliorare l impiego del capitale; rispettare le direttive degli organi di controllo (SOX, Basilea II ecc.); poiché l informatica gioca un ruolo significativo nella stragrande maggioranza delle aziende di una certa dimensione, sia a livello strategico, sia a livello operativo. 4

5 Rischio aziendale e rischio informatico Categorie di rischio Categorie di rischio informatico Reputazione a rischio (es. banca) di credito di mercato di finanziamento operativo informatico legale esposizione di contratto fiscale fisico/criminale Strategico Sviluppo Produzione Finanziario Organizzativo Legale allineamento azienda e IT valore aziendale dell IT tecnologie emergenti valutazione progetti gestione architettura IT gestione progetti standard di sviluppo rischio dei progetti di sviluppo IT gestione dati e informazioni ambiente di sviluppo / collaudo gestione operativa disponibilità dei servizi gestione dei cambiamenti IT sicurezza dei sistemi e della rete piano di continuità e di capacità costi IT (progetti e operatività) apprezzamento investimenti IT ritorno sull investimento gestione conoscenze e competenze piano di carriera politiche del personale allineamento organizzativo con IT gestione dei fornitori / terzi non conformità con le norme documentazione legale / fiscale relazioni e contratti IT Effetti su: Clienti Azionisti Controparti Fornitori Autorità IT-Risikomanagement und IT-Audit: Der schweizer Treuhänder, 12/1999, p Organi di controllo 5

6 Quali sono i rischi informatici? Classificazione Non esiste un elenco condiviso dei rischi informatici, ma i seguenti possono essere utilizzati come guida 1 : 1. rischio d investimento (spesa) 2. rischio di accesso / rischio di sicurezza 3. rischio di integrità (affidabilità) 4. rischio di rilevanza 5. rischio di disponibilità 6. rischio di infrastruttura 7. rischio di progetto 1 Da uno studio realizzato nel 2002 da The Economist Intelligence Unit 6

7 Quali sono i rischi informatici più importanti? Sondaggio Sondaggio dei dirigenti informatici di 200 aziende di 14 paesi (America, Europa e Asia/Oceania) con ricavi di $ 50 mio. e oltre 1. Le risposte hanno classificato i rischi, considerati molto importanti, nell ordine seguente: 1. rischio di accesso / rischio di sicurezza 87% 2. rischio di disponibilità 85% 3. rischio di infrastruttura 81% 4. rischio di integrità (affidabilità) 81% 5. rischio di progetto 72% 6. rischio d investimento (spesa) 71% 1 Da uno studio realizzato nel 2004 da IT Governance Institute (ITGI) e Lighthouse Global (escluso il rischio di rilevanza) 7

8 Quali sono i rischi informatici? Descrizione dei rischi Per facilitare il governo dell informatica, l ITGI raccomanda di formulare i rischi informatici in termini aziendali. La struttura generica seguente, utile per esprimere i rischi informatici in qualsiasi azienda, facilita il coinvolgimento delle direzioni di linea nel processo di gestione dei rischi: Rischio aziendale specifico (p. es. rischio operativo relativo alla non ricezione degli ordini) Rischio informatico generico (p. es. rischio di disponibilità) Rischio informatico specifico (p. es. attacco del tipo denialof-service al sistema ordini su Internet) 8

9 Framework per la gestione dei rischi informatici I rischi informatici fanno parte di una gerarchia di rischi con i rischi strategici aziendali in cima. Per esempio, l Office of Government Commerce nel suo framework Management of risk ha definito quattro livelli di rischio per cercare di assicurare che i rischi informatici siano considerati dai dirigenti aziendali a partire dalla strategia fino agli aspetti operativi: Strategico: rischi relativi al contributo dell informatica al raggiungimento degli obiettivi aziendali, ossia commerciali, finanziari, politici, ambientali, direzionali, culturali, acquisizioni, qualità, continuità aziendale e crescita. Programmazione: approvvigionamento (acquisti), finanziamento, organizzazione, progetti, sicurezza (security e safety), continuità aziendale. Progetto: personale, tecnologia, costo, tempistica, risorse, supporto operativo, qualità, inadempienza da parte del fornitore di servizi esterno e sicurezza. Operativo: personale, tecnologia, costo, tempistica, risorse, supporto operativo, qualità, inadempienza da parte del fornitore di servizi esterno, sicurezza, malfunzionamento dell infrastruttura, continuità aziendale e servizio clienti. 9

10 Framework per la gestione dei rischi informatici Livello strategico Livello di programmazione Livello di progetto Livello operativo Decis. sulla strategia aziendale Decisioni che trasformano la strategia in azioni Decisioni necessarie per consentire la concretizzazione delle azioni 10

11 L organizzazione per la gestione dei rischi TI Per un governo efficace dell informatica, l alta direzione deve essere in grado di riconoscere e identificare i rischi informatici e assicurare che i rischi più importanti siano gestiti. Data la complessità e la rapidità di cambiamento nell informatica, formazione e consapevolezza sono essenziali per assicurare che i rischi siano riconosciuti, non solo da parte dell alta direzione, ma a tutti i livelli intermedi dell organizzazione. È sempre più comune la creazione di una funzione interna di gestione dei rischi oppure di avvalersi di una consulenza esterna regolare in modo da monitorare i rischi e informare l azienda. La tenuta di un catalogo o registro dei rischi può essere di aiuto per assicurare che un esame approfondito abbia luogo su base regolare e fornire alla direzione la garanzia che i rischi sono gestiti. 11

12 Le migliori prassi per la gestione dei rischi TI Ignorare il rischio Assessment del rischio: Analisi del rischio - identificazione -stima Valutazione del rischio Trattamento del rischio: Evitare il rischio Mitigare il rischio Trasferire il rischio Accettare il rischio Gestione dei rischi = (Assessment del rischio + Trattamento del rischio) n 12

13 Le migliori prassi per la gestione dei rischi TI Una volta che l azienda ha stabilito la propria propensione al rischio e identificato i rischi alla quale è soggetta, può procedere alla definizione della strategia per la gestione del rischio e chiarire le responsabilità. A dipendenza del tipo di rischio e della sua importanza, la direzione può optare, essenzialmente, tra: 1) mitigare il rischio, introducendo dei controlli per esempio acquisire e installare tecnologia per la sicurezza in modo da proteggere l infrastruttura informatica 2) trasferire il rischio, condividendolo con dei partner oppure optando per una copertura assicurativa 3) accettare il rischio riconoscendolo formalmente e tenendolo sotto controllo monitorandolo. 13

14 Le migliori prassi per la gestione dei rischi TI Framework OGC per la gestione dei rischi Integrare questi elementi e riesaminare Definire un framework Identificare i rischi Identificare i probabili proprietari dei rischi Ottenere conferma dell efficacia Valutare i rischi Concretare queste contromisure Identificare delle risposte adeguate al rischio Fissare dei livelli accettabili di rischio 14

15 Le migliori prassi per la gestione dei rischi TI Sondaggio Il sondaggio ITGI 1 mostra che sono stati svolti dei Risk assessment in diversi ambiti: 1. progetti informatici 75% 2. sistemi informativi (applicazioni) 74% 3. infrastruttura informatica 74% 4. processi informatici 73% 5. progetti aziendali 68% 6. personale 63% 7. processi aziendali 60% 8. collegamento dei SI con i clienti 57% 9. informazione aziendale (information assets) 55% 10. collegamento dei SI con i fornitori 51% 1 Da uno studio realizzato nel 2004 da IT Governance Institute (ITGI) e Lighthouse Global 15

16 Le migliori prassi per la gestione dei rischi TI Sondaggio Il sondaggio ITGI 1 mostra che le tecniche più utilizzate per lo svolgimento dei Risk assessment sono le seguenti: 1. valutazione degli effetti sull azienda 77% 2. valutazione delle vulnerabilità 71% 3. valutazione delle minacce 64% 4. valutazione della probabilità di accadimento 64% 5. valutazione sulla base di controlli documentati 62% 6. valutazione sulla base di regolamenti e standard 53% 7. valutazione sulla base degli obiettivi di controllo 51% 1 Da uno studio realizzato nel 2004 da IT Governance Institute (ITGI) e Lighthouse Global 16

17 Le migliori prassi per la gestione dei rischi TI Secondo la ricerca condotta da ITGI, le aziende hanno dimostrato un interesse crescente nell adozione di framework per la gestione dei rischi e di best practices per il governo dell informatica tra i quali: COSO per la gestione dei rischi aziendali (ERM Framework) COBIT per il governo e il controllo dell informatica ISO per la sicurezza informatica ITIL per la gestione del servizio informatico 17

18 Le migliori prassi per la gestione dei rischi TI Per le attvità di governo dell informatica, gestione dei rischi informatici, sicurezza informatica e revisione informatica i principali strumenti sono i seguenti. Si ricorda che, in certi casi, la copertura è parziale, mentre in altri esiste una certa sovrapposizione. Ambito Controlli Metriche, analisi comparative, FCS, indicatori Organizzazione, ruoli e processi Personale Tecnologie Governo dell'informatica Strumenti COBIT, ISO 17799, migliori prassi, buon senso COBIT, CMMI, ITIL, migliori prassi, buon senso COBIT, ISO 17799, ITIL, SW-CMM, ISO 15504, migliori prassi, buon senso P-CMM, migliori prassi, buon senso NIST, ISO 17799, migliori prassi, buon senso 18

19 Le migliori prassi per la gestione dei rischi TI Sondaggio È stato chiesto ai dirigenti informatici quanto bene la loro azienda applicava le seguenti best practices. Ecco i risultati: Migliori prassi Molto bene Piuttosto bene Assunzione della responsabilità del processo di gestione dei rischi da parte dei singoli membri 28% 48% dell'alta direzione Comunicazione chiara a tutto il personale del regolamento concernente la gestione dei rischi 21% 46% Adozione di un framework per la gestione dei rischi 21% 49% Una cultura organizzativa che sostiene l'assunzione ponderata dei rischi e l'innovazione 20% 47% La gestione del rischio è una componente integrata nei processi gestionali ed è applicata 17% 45% coerentemente Stretta relazione tra la gestione dei rischi e il raggiungimento degli obiettivi aziendali 23% 43% Valutazione e gestione dei rischi associati al fatto di operare con altre aziende 20% 46% Monitoraggio attivo e riesame regolare dei rischi 23% 45% 19

20 Le responsabilità per la gestione dei rischi TI in ultima analisi è la linea l utenza dei servizi informatici la responsabile dei rischi del suo settore, compreso i rischi informatici la direzione dovrebbe stabilire il mandato per la gestione dei rischi e assegnare le risorse umane e finanziarie per sviluppare un piano di gestione dei rischi progettato per proteggere gli interessi aziendali e monitorare l efficacia della gestione dei rischi in pratica, vista la complessità e gli aspetti tecnici coinvolti, la funzione sistemi informativi (FSI) aziendale deve assistere e collaborare con i dirigenti della linea per assicurare che siano previste delle sicurezze adeguate i revisori segnalano all alta direzione i rischi che non sono gestiti adeguatamente e pianificano le revisioni secondo i principali rischi aziendali. 20

21 Le responsabilità per la gestione dei rischi TI L OGC raccomanda quanto segue in relazione alla responsabilità per la gestione dei rischi: assegnare la responsabilità per gestire i rischi principali a livello di alta direzione; assicurare che ogni rischio abbia un responsabile (proprietario). Ci potrebbero essere più responsabili per le azioni necessarie a mitigare i rischi; assicurarsi che tutte le persone designate siano consapevoli di di tali compiti e possiedano l autorità necessaria per assumersi la relativa responsabilità; adottare un meccanismo per segnalare punti aperti o questioni da chiarire, in ultima istanza alla persona che assume la responsabilità generale. 21

22 Le responsabilità per la gestione dei rischi TI ITGI nel documento Board Briefing on IT Governance, 2nd edition suggerisce i seguenti ruoli e responsabilità per la gestione dei rischi: Ruolo Consiglio di amministrazione Comitato strategico per l'informatica Direzione generale Direzioni di linea Direzione informatica Responsabilità essere consapevoli dell'esposizione ai rischi informatici e al loro contenimento valutare l'efficacia della direzione nel monitoraggio dei rischi informatici fornire indicazioni di alto livello per l'acquisizione e l'utilizzo delle risorse informatiche per esempio le alleanze strategiche sorvegliare il finanziamento globale dell'informatica a livello aziendale adottare un modello per la gestione del rischio, il controllo e il governo aziendale (corporate governance) integrare le responsabilità per la gestione del rischio nell'organizzazione monitorare il rischio informatico e accettare i rischi informatici residui Fornire le valutazioni sugli effetti settoriali al processo di gestione del rischio aziendale valutare i rischi, mitigarli in modo efficiente e renderli visibili agli stakeholder attivare un modello per il governo e il controllo dell'informatica assicurare che i ruoli cruciali per la gestione dei rischi informatici siano definiti in modo adeguato e dotati di personale sufficiente e competente 22

23 Possibile piano d azione Non esiste un solo approccio alla gestione dei rischi che possa soddisfare tutte le organizzazioni. Tuttavia esistono principi e approcci collaudati che dovrebbero essere considerati. I seguenti enti propongono degli esempi: The Queensland Government s Risk Management Best Practice Guide (Australia) Information Security Forum s Corporate Governance Requirements for Information Risk Management (Gran Bretagna) OGC s Management of Risk: Guidance for Practitioners (GB) ITGI s Board Briefing on IT Governance (USA) 23

24 Possibile piano d azione Fissare l obiettivo La guida del governo statale del Queensland raccomanda di cominciare con la definizione chiara dell ambito e del perimetro della gestione dei rischi informativi mediante: l identificazione dei processi aziendali che fanno affidamento sull integrità e la disponibilità delle informazioni per la presa delle decisioni essenziali; l identificazione e la gestione delle questioni da considerare nella valutazione dei rischi di sicurezza delle informazioni; l identificazione delle informazioni che devono essere protette e gestite, e le strutture di governo che devono essere attivate per tali informazioni. 24

25 Possibile piano d azione Passi per l attuazione (parte 1 di 2) 1. Sviluppare un piano di progetto 2. Identificare le maggiori aree di responsabilità e/o dove gli effetti sono maggiori 3. sviluppare una checklist dei requisiti minimi per ogni area di controllo obbligatoria 4. Svolgere delle riunioni/workshop con i rappresentanti delle aree identificate nel punto 2 per: identificare i controlli minimi in vigore identificare i controlli minimi non in vigore e valutare i possibili effetti e la probabilità di accadimento determinare il livello di rischio per i controlli non in vigore determinare l importanza dei controlli mancanti e definire un orizzonte temporale per la sistemazione dei controlli chiave 25

26 Possibile piano d azione Passi per l attuazione (parte 2 di 2) 5. Pianificare e attuare i controlli che proteggono le area scoperte che espongono l organizzazione a un rischio elevato 6. Realizzare i controlli rimanenti con effetti minori e condurre una valutazione dettagliata dell ambiente informatico 7. Attuare una gestione continuata del rischio. 26

27 Conclusione la gestione dei rischi informatici è la pietra d angolo del governo dell informatica il rischio è duplice: da un lato è il fare male qualcosa, dall altro è il non essere in grado di cogliere un opportunità di utilizzare le TI per esempio per fornire un valore aggiunto all azienda o per migliorare l efficienza operativa è necessaria una guida: quale è l effetto delle TI sull azienda? quali sono le questioni cruciali? come si può essere sicuri che i rischi principali sono sotto controllo? quando si dovrebbero correre dei rischi TI per abilitare la crescita aziendale? nell 80% delle aziende 1 è la direzione TI che si occupa degli effetti dei rischi informatici (solo nel 37% delle aziende c è l impegno della linea) e questo denota uno scarso coinvolgimento da parte dei responsabili dei processi aziendali. 1 Da uno studio realizzato nel 2004 da IT Governance Institute (ITGI) e Lighthouse Global 27

28 Conclusione < 25% delle aziende 1 esaminano regolarmente i rischi e le minacce provenienti dall esterno e questo è preoccupante tenuto conto dell esternalizzazione di molteplici attività (outsourcing e service provider) e la globalizzazione delle aziende utilizzatrici delle TI le aziende hanno dimostrato un interesse crescente nell adozione di buone prassi, modelli e metodologie per il governo dell informatica quali per esempio COBIT per il governo e il controllo dell informatica, ISO per la sicurezza informatica e ITIL per la gestione del servizio informatico. Con l adozione di queste prassi, si dovrebbe assistere a un maggior numero di assessment utilizzando questi strumenti come metro di paragone. Queste analisi potrebbero incoraggiare un interesse maggiore sui rischi informatici da parte dell alta direzione. 1 Da uno studio realizzato nel 2004 da IT Governance Institute (ITGI) e Lighthouse Global 28

29 Referenze Information Risks: Whose Business Are They? edito da IT Governance Institute nella collana IT Governance Domain Practices and Competencies ( 29

30 Fine 30