Risk Management Using

Транскрипт

1 Risk Management Using Paolo Bocchiola Sessione di studio Torino 28/11/2013

2 Agenda Definizione Risk Appetite Risk Management Using COBIT5 for Risk Risk Function perspective Risk Management perspective Risk response Benefici 2

3 Allienamento con gli Standard Cobit5 for Risk è un framework in grado di supportare gli standard di mercato nella definizione delle procedure di Risk Management ISO 31000:2009 Cobit5 for Risk copre tutti i principi di questo standard con i propri enablers, e ne espande i concetti per quanto concerne IT Risk Management ISO 27005:2011 Cobit5 for Risk considera tutti i rischi e non solo quelli legati ad InformationSecurity. Inoltre definisce enfatizzandoli i processi di allinemento con gli obbiettivi di business. CoSO-ERM Cobit5 for Risk, seppure meno focalizzato sui controlli, copre tutti i principi di questo standard e ne espande i concetti per quanto concerne nell utilizzo dei modelli di governance nell enterprise 3

4 IT Risk Definition Un rischio è genericamente definito come la combinazione di una probabilità di un evento e dell impatto delle sue conseguenze. (ISO Guide 73) IT Risk o Rischio IT è il Rischio Operativo associato all uso, al possesso, al coinvolgimento operativo, all influenza ed alla adozione della IT nel contesto aziendale. Il Rischio IT non è solo Information Security ma può colpire ogni processo. 4

5 Risk Appetite Avverso Risk Appetite o la propensione al rischio rappresenta il livello di rischio che un organizzazione è disposta ad accettare in assenza di ogni azione richiesta per minimizzarla. Minimo Il Risk Appetite di ogni singola azienda è una decisione strategica del management e si può classificare con i seguenti livelli: Cauto La propensione al rischio è uno dei pilastri dell imprenditoria: nei secoli solo chi ha saputo rischiare in modo calcolato ha ottenuto il massimo dei profitti portando innovazione e ridefinendo il mercato. Affamato Aperto 5

6 Risk Management Possiamo suddividere IT RISK nelle seguenti categorie Associato con le mancate opportunità di usare le nuove tecnologie per migliorare l efficienza del business o per aprire a nuove iniziative Associato con Il contributo che IT può dare al business in termini di nuovi processi e progetti di investimento Associato con tutti gli aspetti del business as usual dei sistemi e dei servizi IT che possono portare al danneggiamento o alla riduzione del valore d impresa. 6

7 Ciclo del Rischio IT Governance Management 7

8 Risk Management Le procedure di IT Risk management si possono riassumere in queste cinque macro funzioni: Identificare Proteggere Rilevare Far crescere nell organizzazione la coscienza della gestione dell IT Risk e del sui impatto sui sistemi, sugli assets, sui dati e sulle capacità operative. Sviluppare ed implementare le appropriate contromisure atte a mitigare i rischi nell effettuazione dei servizi critici di un azienda,seguendo le priorità stabilite nel processo aziendale di risk management Sviluppare ed implementare i meccanismi di identificazione di possibili minacce. Rispondere Sviluppare ed implementare le attività necessarie per rispondere ad un attacco, seguendo le priorità stabilite nel processo aziendale di risk management. Ripristinare Sviluppare ed implementare le attività necessarie per riprendere i processi ed I servizi critici che sono stati oggetto di un incidente, seguendo le priorità stabilite nel processo aziendale di risk management. COBIT5 for Risk applica i principi generali di COBIT secondo lo schema: 8

9 COBIT5 for Risk COBIT5 for Risk permette di raggiungere il risultato di gestire il rischio IT dando due prospettive Risk Function perspective: che descrive cosa è necessario per costruire e sostenere un processo aziendale di governo e gestione dei principali rischi Risk Management perspective: che descrive come i processi di governo e gestione definiti possano essere utilizzati per identificare, proteggere, rilevare, rispondere, e ripristinare i processi critici su base giornaliera. 9

10 Risk Function Perspective Nella RISK Function Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l uso degli Enablers 10

11 Processi COBIT di Supporto 11

12 Risk Management Perspective Nella RISK Management Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l uso di: Dei processi principali di IT Risk Management, che devono essere utilizzati per implementare procedure efficaci di risk management che forniscano valore aggiunto per gli Stakeholders Questi processi contengono le attività di Risk Function e: They support the enterprise in obtaining stakeholder value and enterprise objectives while optimising resources and risk 12

13 Risk Management Perspective Nella RISK Management Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l uso di: Dei processi principali di IT Risk Management, che devono essere utilizzati per implementare procedure efficaci di risk management che forniscano valore aggiunto per gli Stakeholders Dei cosiddetti Risk Scenarios, ossia dei possibili fattori di rischio che danno una misura immediata dello stesso. I cosiddetti Risk Scenario sono una descrizione dei possibili eventi che se si verificano possono avere un impatto non determinabile sugli obbiettivi aziendali. Sappiamo che possiamo definire gli scenari partendo dalla figura qui sopra in cui l elenco completo dei possibili scenari può essere ottenuto combinando tutti i possibili fattori 13

14 Risk Management Perspective Nella RISK Management Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l uso di: Dei processi principali di IT Risk Management, che devono essere utilizzati per implementare procedure efficaci di risk management che forniscano valore aggiunto per gli Stakeholders Dei cosiddetti Risk scenarios, ossia dei possibili fattori di rischio che danno una misura immediata dello stesso. I possibili scenari ottenuti dalla combinazione delle tipologie descritte sopra sono 111 suddivisi in 20 categorie e sono tutti riportati in COBIT 5 For Risk. Come descritto in precedenza uno scenario di rischio può diventare un opportunità se si considerano gli aspetti positivi. 14

15 Risk Management Perspective Nella RISK Management Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l uso di: Dei processi principali di IT Risk Management, che devono essere utilizzati per implementare procedure efficaci di risk management che forniscano valore aggiunto per gli Stakeholders Dei cosiddetti Risk scenarios, ossia dei possibili fattori di rischio che danno una misura immediata dello stesso. Dei COBIT 5 enablers, che devono essere usati per mitigare il rischio. 15

16 Si ma in pratica? Occorre definire un workflow e COBIT5 for Risk ci dice come: 1) Valuta tutti gli scenari indicati da COBIT 2) Fai un assessement degli scenari con gli obbiettivi del Management 3) Definisci una Risk Map. 4) Valuta con il management se i rischi eccedono la propensione 5) Aggiungi degli scenari non previsti ma possibili 6) Ripeti l assessment ad intervalli regolari, dettati dalla priorità data allo scenario 16

17 Risk Assessment Definiti gli scenari COBIT 5 ci permette di fare un risk assessment e di calcolare probabilità ed impatto, utilizzando per il secondo anche grandezze eterogeene 1. Occorre definire una frequenza su base annua Anualized Rate of Occurency (ARO) 2. Occorre definire con il business delle categorie di impatto. Single Loss Expectation (SLE) Il prodotto ARO* SLE è ciò che deve essere notificato al Senior Management ARO * SLE = ALE (Anualized Loss Expectation) Ovviamente più il valore ottenuto è alto più il Rischio è Critico. 17

18 Risk Assessment Dai Process Enablers mi è facile definire tutti i componenti usando come riferimento il capitolo 5 del manuale COBIT 5 Enabling IT Related Goals and Metrics Process Goals and Metrics 18

19 Si ma in pratica? Dai Process Enablers mi è facile definire tutti i componenti usando come riferimento il capitolo 5 del manuale COBIT 5 Enabling IT Related Goals and Metrics Process Goals and Metrics RACI Charts Mappings 19

20 Risk Assessment Dai Process Enablers mi è facile definire tutti i componenti usando come riferimento il capitolo 5 del manuale COBIT 5 Enabling IT Related Goals and Metrics Process Goals and Metrics RACI Charts Mappings Input/output e Activities dei singolo sottoprocesso. 20

21 Si ma in pratica? A questo punto ho tutti i parametri per definire con il managment il cosiddetto Risk Response Workflow Posso decidere che tipo di risposta dare al mio scenario di rischio Posso decidere quali parametri utilizzare per gestire il rischio Posso decidere la priorità con cui affrontare i rischi derivati dagli scenari 21

22 Risk Response Posso ora riportare al management i dati del mio Inherent risk e sulla base del loro Risk Appetite definire una Risk Tollerance. Se il rischio deve essere gestito allora occorre definire i cosiddetti Key Risk Indicators (KRI) I Key Risk Indicators devono essere implementati nei processi per fornire puntualmente lo stato di esposizione ad un particolare rischio e fornire un utile indicazione al management. Il calcolo dei KRI è un processo continuo che deve essere implementato a livello operativo e la cui verifica deve essere fatta dal mamagement. Key Risk High Level KRI Calculation Amber Red Number of systems in scope for entitlement Entitlement review reviews for which the entitlements have not been reviewed on time Functional ID inventory Percentage number of missing functional ID s within Ffunctional ID inventory FID entitlement review Calculate percentage number of Functional IDs not being reviewed. Joiners Information Security Number of New Hires not having met the Training Mandatory IS training requirements after 90 days Leavers Information Security Number of leavers with no IS Exit Checklist Exit Checklist completed Independent Audit log Percentage of Severs/devices/instances without Review function independant audit trail log review Audit tool/facility - Log Percentage of unjustified exceptions within the Review exceptions appropriate period. Control Frequency 0 1 Semiannual 3% 5% Monthly 3% 5% Monthly 0 1 Monthly 0 1 Monthly 3% 5% Monthly 3% 5% Monthly 22

23 Benefici COBIT definisce la misura del livello di maturità oltre che con i risk indicators anche con i Capability Levels. Per ottenere questo ricorro al process assessment (PAM) di Cobit. Posso analizzare ogni singolo processo e definire il livello di attuazione di Best Practices e work products, ricavate dagli enablers dei processi per determinare il capability level 23

24 QUESTIONS & COMMENTS Paolo Bocchiola Senior Consultant IT Risk Management/IT Auditing