Rischi emergenti nell informatica a supporto del business Cetif - 15 ottobre 2009 - sergio.tagni@popso.it 1
Indice 1. Il contesto attuale di riferimento e l evoluzione dei controlli in ambito IT 2. Recenti evoluzioni nell ambito degli strumenti informatici a supporto delle procedure e delle funzioni di controllo 3. Il controllo dei log sergio.tagni@popso.it 2
Contesto attuale Normativa Mercati Congiuntura Concorrenza Fornitori Tecnologia Smaterializzazione rapporti / Web 2.0 / Web Semantico Società e stili di vita Cultura (percezione interna e del pubblico) Assett (importanza degli intangible vs tangible ) Aumento della complessità operativa e gestionale sergio.tagni@popso.it 3
L informatica in azienda Nuove tecnologie: necessità di cambiamento skill del personale Multicanalità Costi Soddisfazione richieste utenti (interni ed esterni) Normativa diretta e indiretta Modernizzazione sistemi legacy Approccio per servizi Integrazione del ciclo di vita delle applicazioni Strumenti a disposizione (portatili, SmartPhone.. ) Bpa/Bpm. Nuovi rischi emergenti da governare nel continuo sulla base di specifici processi sergio.tagni@popso.it 4
Nuove normative Il sistema dei controlli in ambito IT Nuove figure di controllo legate al business con necessità di sensibilizzazione specifica alle tematiche IT. Ottica specialistica su singole tematiche e di governo a livello aziendale. Necessità di relazioni tra le varie parti interessate Nuovi rischi ovvero rischi noti riproposti con modalità differente (frodi, furto di identità, cittadinanza di rete, malware in generale, timing della sicurezza, paradigmi di sviluppo software ) Possibile ulteriore e problematica concentrazione sui risultati immediati, mancanza di attenzione nei controlli Aumento della complessità e necessario ricorso a metodologie e strumenti innovativi. Tematiche sempre piu spinte di governo del rischio e conseguente correlazione stretta con la parte IT sergio.tagni@popso.it 5
Rischi Informatici / Esposizioni minacce tipologie di attacco Dispositivi mobili Posta elettronica Memorie esterne Malware Phishing Clonazioni Bancomat Reti Wireless Hackers Social Network Clonazioni Carte di credito sergio.tagni@popso.it 6
L evoluzione dei controlli interni in ambito informatico Sicurezza Auditing Gestione del rischio? sergio.tagni@popso.it 7
Indice 1. Il contesto attuale di riferimento e l evoluzione dei controlli in ambito IT 2. Recenti evoluzioni nell ambito degli strumenti informatici a supporto delle procedure e delle funzioni di controllo 3. Il controllo dei log sergio.tagni@popso.it 8
Strumenti e metodologie introdotte dalla banca a supporto del controllo COBIT ISO 27000 ITIL COSO S.C.I. ACCORDI DI SERVIZIO INCIDENTI PROGETTI.. Financial Customer IT Vs Business Internal Process Learning & Growth COMPLESSITA AntiPhishing Internet Banking Transaction Monitoring log collector SIEM CRUSCOTTO GESTIONALE log collector SIEM Un modo per avvicinare l informatica al business considerando contesti non esclusivamente tecnologici sergio.tagni@popso.it 9
CRUSCOTTO GESTIONALE Visione di alto livello Mission del S.I. Gestione efficiente della macchina operativa Multicanalità Gestione efficace della domanda Accounting delle Iniziative progettuali e dei costi operativi Customer Perspective Livello di erogazione dei servizi Aumentare la Fruibilità dei canali Compliance Customer Satisfaction Financial Perspective Riduzione dei costi unitari Controllo dei costi operativi Controllo del Budget multicanale Controllo dei costi delle richieste Internal Process Perspective Convergenza dei Processi Project Management Financial Management Service Transition (*) Learning & Growth Perspective Gestione volumi delle risorse Tecnologia Abilitante Gestione risorse sergio.tagni@popso.it 10
CRUSCOTTO GESTIONALE - L integrazione nel sistema dei controlli interni Guida per il governo del sistema informatico Strumento diretto di controllo fruibile in base alle diverse necessità (responsabile di struttura, compliance, Dirigente preposto, Sicurezza, certificazioni volontarie ) Correlazione con le analisi dei rischi (ambito tipicamente di sicurezza) Correlazione con le analisi di processo (assimilabili a KRI normalmente ad un livello abbastanza alto es. intere fasi operative) sergio.tagni@popso.it 11
COMPLESSITA Visione aziendale d insieme Economia Mondiale Mercati finanziari Infrastruttura Segmento di mercato Ecosistema Azienda sergio.tagni@popso.it 12
COMPLESSITA - Una possibile e concreta misura E uno strumento che ha definito e consente di rappresentare numericamente il grado di complessità dei dati oggetto di analisi sergio.tagni@popso.it 13
Indice 1. Il contesto attuale di riferimento e l evoluzione dei controlli in ambito IT 2. Recenti evoluzioni nell ambito degli strumenti informatici a supporto delle procedure e delle funzioni di controllo 3. Il controllo dei log sergio.tagni@popso.it 14
SIEM - I log Il controllo dei sistemi informatici puo essere ottenuto mediante la rilevazione delle evidenze prodotte, la correlazione degli eventi registrati e la gestione delle informazioni archiviate Requisito essenziale: la sicurezza in termini di garanzia dell origine del dato, integrità nel trasporto e nell archiviazione, possibilità di analisi. sergio.tagni@popso.it 15
SIEM I log Non è consolidato uno standard sicuro per la produzione, la gestione e il trasporto dei log. Necessità quindi di stabilire procedure specifiche per garantire la qualità di quanto analizzato e archiviato Auspicabile uno strumento utile a dare dignità ai vari log aziendali diversamente difficilmente opponibili (la normativa, ovviamente, pone l accento sulla specifica materia) L onere della prova in caso di contestazioni è sempre più spesso a carico delle banche Strumento utilizzabile, oltre che dalla funzione IT, da audit, compliance e sicurezza sergio.tagni@popso.it 16
SIEM. Logica di funzionamento Internet Banking Transaction Monitoring AntiPhishing Collettore Log SIEM Applicazioni/ sistemi aziendali Collettore Log sergio.tagni@popso.it 17
SIEM Logica di funzionamento 2 Analisi interna / esterna Sistemi Aziendali efraud Network (data base) Risk Score Transazioni segnalate Risk Engine Gestione delle Regole Gestione dei Casi Online Banking Risultato dell attività investigativa sergio.tagni@popso.it 18
SIEM Esempio di funzionamento ( esterno ) Il sistema accede alla base dati del fornitore (efraud database) del servizio per identificare eventuali sorgenti malevoli Costruisce un profilo comportamentale dinamico dell utente e calcola un parametro di rischio per ogni azione svolta in funzione dello scostamento dal profilo attuale. Sulla base del rischio stimato è possibile adottare delle contromisure specifiche automatizzate o manuali Accentra in un unico contenitore tutte le informazioni raccolte In tutte queste azioni il sistema è in grado di apprendere dal suo stesso funzionamento. Applicazione di un rating all operazione per stabilire la rischiosità stessa sergio.tagni@popso.it 19
SIEM Contesti di applicabilità (Normativa) 1. Amministratori di sistema 2. Immodificabilità dei dati in ambito Finanza 3. Controlli informatici nell ambito dei dati contabili ( dirigente preposto d.lg. 262/2005) 4.. sergio.tagni@popso.it 20
SIEM Utilizzi potenziali in ambito tradizionale Collezione degli ordini area finanza con le caratteristiche necessarie al controllo (appropriatezza, adeguatezza ecc.) nel formato originale. Estrazione parametrizzata (esterna al sistema di business): Controlli in loco (riscontri materiali ordini) Compliance (Appropriatezza abusi di mercato ecc.) Revisione interna (aggiornamento dei rischi e dei presidi sugli stessi) Sicurezza (controllo accessi) sergio.tagni@popso.it 21
Sergio Tagni I.S. Auditor Banca Popolare di Sondrio sergio.tagni@popso.it 0342528509 sergio.tagni@popso.it 22