Strategie e modelli organizzativi per le sfide della Sicurezza in banca

Transcript

1 Strategie e modelli organizzativi per le sfide della Sicurezza in banca Ing. Roberto Lorini Executive Vice President VP Tech Convegno ABI Banche e Sicurezza 2008 Roma, 26 maggio 2008

2 Agenda Gli orientamenti della Sicurezza in un contesto bancario sempre più complesso Come impostare l organizzazione della Sicurezza Gli interventi prioritari per la Sicurezza Conclusioni 2

3 Lo scenario attuale dell industria finanziaria è caratterizzato da una esigenza crescente di soluzioni di Sicurezza Mercato - Concentrazione - Acquisizioni - Internazionalizzazione - Competizione - Perimetro crescente della sicurezza - Aumento rischi di incidenti e frodi - Continuità operativa e Crisis Management su larga scala - Protezione di dati sensibili - Miglioramento rapporto cost/income ratio Regolamentazione - Continuità operativa (Basilea II) - Privacy - Corporate Governance - Sistemi di pagamento (SEPA) - Finanza (MiFID) - Sicurezza Fisica (SECA) - Ammende e sanzioni penali - Perdita di immagine e competitività - Perdita di dati - Riduzione time-to-market Innovazione - Multicanalità - Nuove filiali - Nuovi servizi di pagamento - Sicurezza nelle comunicazioni - Sicurezza nello sviluppo di applicazioni - Continuità dei servizi 3

4 Le Sicurezza in banca opera in contesti sempre più complessi in cui è chiamata ad una triplice sfida Gruppo -Tutela di asset di più banche -Contesti nazionali diversi -Molti investimenti -Molte risorse da coordinare 1 Riduzione delle perdite attraverso l incremento dei livelli di protezione 2 Creazione di valore per la banca soddisfacendo le esigenze di sicurezza delle diverse funzioni della banca e società del gruppo Banca -Tutela di asset di una banca -Contesto nazionale unico -Limitati investimenti -Poche risorse da coordinare 3 Conseguimento di sinergie attraverso una maggiore efficienza dei costi operativi e una razionalizzazione degli investimenti Dimensione Nazionale Dimensione Internazionale 4

5 La Sicurezza deve evolvere in una logica di servizi per le Funzioni di Direzione, Operations e Mercato Governance - Sicurezza informazioni - Sicurezza fisica - Continuità operativa - Gestione delle frodi - Rapporti istituzionali Sicurezza Valore per le funzioni di Direzione - Organizzazione - Risk Management - Compliance - Human Resources - Audit Innovazione per le funzioni di Business - Corporate/retail banking - Secure payment - Multicanalità Servizi per le funzioni di Operation - Sistemi Informativi - Real Estate 5

6 Definire Competence Center per presidiare tutte le tematiche di sicurezza, facilitare l integrazione di nuove banche e realizzare sinergie Orientamento Competence Center I Orientamento alla regulation e al rispetto della legge Tipico delle imprese finanziarie con una organizzazione divisionale per area geografica con enfasi alla tutela fisica delle persone, degli asset e della reputazione in relazione alle attività criminali, diffuso nel contesto americanoanglosassone, focalizzato su attività di: Regulation Asset Protection Investigation Policy & Standard II Orientamento alla gestione dei rischi operativi Tipico delle imprese finanziarie con una organizzazione divisionale per area di business con enfasi sulla tutela dei rischi operativo/ contingenti in relazione alle diverse tipologie di business, diffuso nel contesto europeo continentale, focalizzato su attività di: Information Risk Business Interruption Risk Fraud Risk Compliance Risk III Orientamento alla erogazione di servizi di supporto Tipico delle imprese finanziarie con una organizzazione mista divisionale/funzionale con enfasi sulla gestione operativa dei servizi di supporto, diffuso nel contesto regionale domestico, focalizzato su attività di: Information Fraud Management Physical Bus. Continuity e Disaster Recovery 6

7 Impostare un modello organizzativo che sappia erogare servizi di sicurezza alla banca o al gruppo Banca/Gruppo CEO/COO Orientamento alla regulation e al rispetto della legge -Regulation -Investigation -Asset protection -Policy & Standard Orientamento alla gestione dei rischi operativi Private Banking Corporate Banking Italia Francia Spagna Gran Bretagna Real Estate IT -Information Risk -Fraud Risk -Business Interruption Risk -Compliance Risk Retail Banking Germania Russia Orientamento alla erogazione di servizi di supporto U.S.A. -Information -Physical -Bus. Continuity e Dis. Recovery -Fraud Management 7

8 Agenda Gli orientamenti della Sicurezza in un contesto bancario sempre più complesso Come impostare l organizzazione della Sicurezza Gli interventi prioritari per la Sicurezza Conclusioni 8

9 Il primo passo è definire i processi all interno di ogni Competence Center Information Governance Operations Definizione policy Definizione procedure operative Pianificazione e Controllo Sviluppo soluzioni Gestione operativa Monitoraggio Physical Governance Operations Definizione policy Definizione procedure operative Pianificazione e Controllo Sviluppo soluzioni Gestione operativa Monitoraggio Governance Operations Definizione policy Definizione procedure operative Pianificazione e Controllo Sviluppo soluzioni Gestione operativa Monitoraggio 9

10 Successivamente, assegnare le responsabilità alle diverse funzioni aziendali secondo driver definiti dal management Governance Operations Competence Center Definizione policy Definizione procedure operative Pianificazione e Controllo Sviluppo soluzioni Gestione operativa Monitoraggio Information IT Information Technology Sicurezza Information Technology Information Technology Information Technology Physical IT Real Estate Sicurezza Real Estate Real Estate Real Estate IT Sicurezza Possibili driver -Attività di governance prevalentemente alla -Operations da assegnare a funzioni con cui creare sinergie di costo e di investimenti 10

11 La realtà più frequente è quella di un organizzazione con Competence Center distribuiti Banca ABC ESEMPLIFICATIVO CEO/COO Organizzazione Real Estate Information Technology Business Business Cont. - Governance Physical Sec. - Governance Information Sec. - Governance Fraud Mgmt - Governance Banche a dimensione nazionale presentano spesso i Competence Center distribuiti fra diverse funzioni senza avere una Direzione Sicurezza (assenza di visione di business, di razionalizzazione di costi e investimenti) A livello di Competence Center vi è integrazione tra attività di Governance e Operations 11

12 Organizzazione con concentrazione di attività sotto un unica Direzione Banca ABC ESEMPLIFICATIVO CEO/COO Al crescere della complessità, nasce l esigenza di una Direzione dedicata alla Sicurezza Real Estate Information Technology Ad essa possono essere assegnati tutti i Competence Center Information Sec. - Governance Physical Sec. - Governance Business Cont. - Governance Fraud Mgmt - Governance Presenza della nelle decisioni di business 12

13 Organizzazione con Governance alla e Operations distribuite Banca ABC ESEMPLIFICATIVO CEO/COO Attività di Governance assegnate ad una struttura unica di sicurezza Real Estate Information Technology Attività di Operations della sicurezza assegnate alle fabbriche Information Sec. - Governance Physical Sec. - Governance Business Cont. - Governance Fraud Mgmt - Governance Physical Sec. Information Sec. Forti sinergie a livello di Operations (es. ICT-ICT, gestione immobili-sicurezza fisica, ) 13

14 Organizzazione per la Sicurezza di un Gruppo internazionale Holding ABC CEO/COO Information Sec. - Group governance Physical Sec. - Group governance Business Cont. - Group governance Fraud Mgmt - Group governance Information Technology ESEMPLIFICATIVO Attività di Governance riconosciuto ad una struttura unica di sicurezza a livello di Holding Benefici da standardizzazione: possibilità di organizzare le diverse banche secondo modelli omogenei nei diversi paesi con semplificazione della macchina gestionale Banca X Paese W CEO/COO Banca Y Paese Z CEO/COO Information Technology Information Technology Local Governance Physical Sec. Business Cont. Fraud Mgmt ICT Disaster Recovery Local Governance Physical Sec. Business Cont. Fraud Mgmt ICT -Operations Disaster Recovery -Operations 14

15 Strategie di Gruppo: la famiglia professionale della Sicurezza Holding CEO/COO Banca A Banca B CEO/COO CEO/COO CEO/COO Banca n La famiglia professionale comprende chi in banca o nel gruppo si occupa di sicurezza a tutti i livelli Qualunque sia la sua collocazione in azienda, risponde funzionalmente al Chief Officer Obiettivi: Diffondere e condividere strategie, processi, informazioni e strumenti Formare una cultura comune Favorire la mobilità Legame funzionale 15

16 Strategie di Gruppo: il ruolo del Chief Officer per la governance della sicurezza Chief Officer Competence Center Committees (costituiti da security manager di tutte le realtà del Gruppo) Information Physical Fraud Management Business Continuity & Disaster Recovery Ruolo Leve Coordinamento nella definizione e realizzazione di piani di sicurezza che riducano le perdite, creino valore per le altre funzioni e conseguano sinergie Coordinamento Committees Approvazione budget Definizione e valutazione MbO 16

17 Agenda Gli orientamenti della Sicurezza in un contesto bancario sempre più complesso Come impostare l organizzazione della Sicurezza Gli interventi prioritari per la Sicurezza Conclusioni 17

18 Risk Analysis: gestire i rischi di sicurezza informatica in una ottica legata alle priorità per il business Accertamento e analisi del rischio Gestione e controllo del rischio Fasi Risk Assessment Risk Analysis Risk Management Risk Monitoring Risk Mastering Obiettivi - Identificare le aree di rischio - Individuare cause e conseguenze che caratterizzano il rischio -Decidere cosa fare - Monitorare lo stato dei rischi per identificare possibili scostamenti Attività - Classificazione delle aree di rischio - Identificazione di rischi specifici - Prioritizzazione dei rischi identificati - Valutazione delle minacce - Analisi delle vulnerabilità - Stima degli impatti verso il business - Modello di propen- sione al rischio - Identificazione delle contromisure - Piano di azione - Policy, procedure e linee guida - Definizione dei Key Risk Indicator (KRI) - Definizione dei Key Performance Indicator (KPI) - Costruzione del Tableau de Bord 18

19 Il Tableau de Bord per la raccolta e la diffusione degli indicatori di sicurezza - È focalizzato sui risultati attesi dalla sicurezza per la protezione delle risorse, dei servizi e dei processi della Banca - Offre una visione complessiva della performance attraverso un articolazione delle informazioni per funzioni, processi e contromisure - È un report con indicatori a cadenza predefinita per tipo di informazione - È orientato alla decisioni, alle discussioni ed all azione - Realizza un uniformità di presentazione e coordinamento di informazioni provenienti da fonti diverse 19

20 Il portale della Sicurezza: uno strumento che semplifica l accesso di tutti gli utenti ai servizi e che diffonde cultura Utenti Banca Portale Sicurezza Servizi di sicurezza Richiesta badge Consultazione normativa di sicurezza informatica... Gli utenti della Banca hanno bisogni di sicurezza logica/informatica, fisica e di continuità operativa......e dal Portale saranno guidati in maniera semplice ed intuitiva alla risoluzione dei propri problemi... Db analisi dati Business Continuity Notifiche di vulnerabilità di sicurezza informatica Normativa di sicurezza informatica Contatto per richiesta badge Indicatore del livello di rischio della Sicurezza di Banca......richiedendo i servizi gestiti dalla Sicurezza 20

21 I servizi della Sicurezza per il monitoraggio integrato: fisico, logica e frodi Clienti Utenti interni Top Mgmt Istituti e consorzi Mondo esterno Clienti Presentation Servizi Servizi di management Servizi di supervisione Servizi di audit Servizi di advisory Operation Center professionals Procedure operative Procedure per l utilizzo di sistemi e infrastrutture Procedure e template per la reportistica Procedure per il trattamento dei dati Strumenti del SOC Contesto operativo Strumenti operativi Manage Strumenti di analisi e correlazione Video Mgmt IDS Mgmt Fraud Mgmt Patch Mgmt Log Correlation Audit Monitor Policy e procedure aziendali Filiali Eventi sicurezza fisica ATM e POS Banking on line Eventi frodi Firewall Antivirus e IDS Eventi sicurezza informatica IT Systems 21

22 I servizi della Sicurezza per il Crisis Management: gestione delle crisi su prodotti, servizi e asset della banca Rischi di crisi Contact Management Operation Emergency hotline Clienti Intelligence & Analysis Istituzioni Dipendenti FFOO Funzioni utente Help Desk Unità di crisi Stampa Supporto unità di crisi Emergency Response - Rischi di interruzione della continuità dei sistemi: eventi che compromettono la continuità dei servizi informatici - Violazione sicurezza su risorse umane, asset materiali, asset immateriali Supporting Tools Information Management Event Management Event database Tableau de Bord - Deterioramento reputazione: eventi con impatto sul brand value aziendale Sources SOC Integrato Human Resources Sistema Informativo News & Media Reti Territoriali Centri Back-office Canali Diretti Supply chain Partners & Authority Sedi Direzionali - Salute/sicurezza sul lavoro: eventi con impatto sulla salute dei dipendenti o di collaboratori - Rischi di supply chain: Eventi con impatto sulle forniture core aziendali 22

23 I servizi della sicurezza per il controllo accessi: integrazione fisico logica per dipendenti e clienti PROCESSI HR Management Amministrazione delle utenze COMPLIANCE (normative interne e legali) Gestione degli accessi Audit & Reporting Audit Management Sicurezza TECNOLOGIA INTERFACCE E SISTEMI DI AUTENTICAZIONE Utente/password Certificato One-time password Smartcard Badge Accessi logici Accessi fisici SERVIZI Sistemisti & Help Desk Utenti Corporate Utenti di filiale Consulenti Trading on line Partner Federation Dipendenti Terze parti Clienti - Il controllo accessi non è un problema esclusivamente tecnologico: crea una effettiva relazione tra l organizzazione, i processi, le risorse e i servizi erogati - Permette di gestire la compliance con le normative interne, bancarie e legali - Migliora il livello di sicurezza e di controllo dei servizi erogati - È un fattore abilitante per l ampliamento degli orizzonti di business in ottica di federation e multicanalità 23

24 L innovazione della Sicurezza per la Nuova Filiale FILIALE ACCESSO TRASPORTO CONTENUTO Radio Corporate TV Video vetrine WEB ATM RFID Videosorveglianza IP Sicurezza terminali LAN Set Top Box ADSL UMTS Wi-Fi / Wi- Max Fibra Satellite Sicurezza dell accesso Network Provider Sicurezza trasporto Sicurezza dell accesso ai contenuti Multimediali Governo della sicurezza Rispetto di Normative e Standard DB clienti Applicazioni core banking Sicurezza dei contenuti - Le banche stanno sviluppando servizi evoluti di comunicazione istituzionale e commerciale verso la clientela: Radio di filiale Corporate TV Video vetrine interattive WEB ATM Video sorveglianza IP Riconoscimento clienti con RFID - Fattore abilitante è l infrastruttura di rete a banda larga - È necessario garantire la sicurezza dai terminali utilizzati dall utente in filiale o da casa sino all accesso ai contenuti 24

25 Agenda Gli orientamenti della Sicurezza in un contesto bancario sempre più complesso Come impostare l organizzazione della Sicurezza Gli interventi prioritari per la Sicurezza Conclusioni 25

26 Come impostare un percorso di sviluppo della sicurezza in banca -Visione sistemica delle problematiche di sicurezza di tutte le altre funzioni della Banca (Direzione, Business e Operations) -Impostazione di un modello organizzativo per erogare servizi di Sicurezza in realtà con diversi gradi di complessità -Correlazione tra costi e investimenti della e risultati di business -Capacità di governare rischi, performance e progetti -Introduzione di soluzioni di sicurezza (gestione identità digitale, monitoraggio integrato, gestione incidenti e crisi, ) La Sicurezza va governata, organizzata e realizzata in modo pervasivo nel business di una banca di dimensioni nazionali così come di un gruppo internazionale 26

27 VP Tech è il partner di clienti importanti per ciò che riguarda la gestione di progetti in ambito di sicurezza aziendale Profilo di VP Tech Obiettivo: portare al mercato un offerta di servizi in ambito security capace di coniugare aspetti consulenziali, tecnologici ed economici al fine di creare valore per i propri clienti Consulenza e Soluzioni di Sicurezza Strategia di posizionamento della sicurezza Organizzazione e governo dei processi di sicurezza Progettazione/realizzazione soluzioni di sicurezza Pianificazione di sistemi di Intelligence Organizzazione per practices: security consulting, security solutions, security technology, innovazione Referenze principali: telecomunicazioni, industria, sanità e pubblica amministrazione, presenza nel mercato finance Forti legami con il mondo universitario e con centri di R&D e realtà tecnologiche a livello nazionale e internazionale Certificata ai sensi della norma ISO 9001: professionisti dedicati alla Sicurezza 27

28 Referenze 28

29 29