Rischi emergenti nell informatica a supporto del business

Documenti analoghi
Il governo della complessità dell'it nel contesto attuale. A.I.E.A. 20 luglio 2011

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

Il governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale

NOTE PER AUDIZIONE POSTE ITALIANE PER DECRETO LEGGE N 105/2019 POSTE ITALIANE

I RAPPORTI CON LA FUNZIONE DI INTERNAL AUDIT

STRUTTURA FILIALE ESTERA HUB

FIGURE PROFESSIONALI FILIALE ESTERA HUB

PERCORSO FORMATIVO CYBER SECURITY. by SIMULWARE & IAMA SP. sales professional

FIGURE PROFESSIONALI FILIALE ESTERA HUB

Copyright IKS srl

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio

GENERALI GROUP Ufficio del Dirigente Preposto. L integrazione delle best practice per una best practice de facto. Padova, 13 Novembre 2008

CONSULENZE E SERVIZI PROFESSIONALI REVICOM SOCIETA DI REVISIONE LEGALE S.R.L.

Digital Transformation e Cloud. Stefano Inelli 22 Novembre 2017

Risultati survey ZeroUno

Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici

Variabili organizzative e patrimoniali come elementi sinergici nella disciplina prudenziale

Il Vertice aziendale di Sogei è composto dal Consiglio di Amministrazione e dalla figura del Presidente e Amministratore Delegato.

Cybersecurity, come difendersi dal furto dati

Indirizzo Servizi Commerciali Articolo 3, comma 1, lettera f) D.Lgs. 13 aprile 2017, n. 61

Banca Popolare di Milano

Iniziativa : "Sessione di Studio" a Torino. Torino, 17 aprile aprile p.v.

SPC L2 - Proposta Integrazione Servizi Professionali

Il Sistema dei Controlli Interni e il Governo Societario nella prospettiva della nuova Vigilanza Bancaria Europea. Valerio Pesic

Schema delle sessioni

L ICT per la tua azienda

Syllabus. Versione 1.0 novembre 2017 (Rev.2, gennaio 2018) Copyright AICA Associazione Italiana per l Informatica ed il Calcolo Automatico

BANCHE E SICUREZZA 2017

SERVICE MANAGEMENT E ITIL

Indirizzi di saluto e apertura dei lavori

INTERAZIONI TRA I DIVERSI ORGANI DI CONTROLLO DELLA GOVERNANCE NEL SISTEMA TRADIZIONALE

SAS70 lo standard per la valutazione dei controlli interni delle aziende di outsourcing. Ottobre 2008

IT Management and Governance

Utilizzo congiunto di COBIT e ITIL

Osservatorio normativo EY

Apertura dei lavori. Convegno Banche e Sicurezza Roma, 4-5 giugno Giovanni PIROVANO Comitato Presidenza ABI

Le difficoltà del passaggio dalla funzione di Ispettorato a Internal Audit Convegno Nazionale AIEA - 19 maggio 2004

Risultati, cioè attenzione ai risultati.

Advanced Security Operations

I trend emergenti e lo scenario di riferimento

L AUDITING DEI BCP: PROBLEMATICHE

COMPLIANCE MANAGEMENT

Open banking: scenario oltre l orizzonte

Servizio L2.S3.9 - Servizi professionali

L attività di vigilanza dell OdV

INNOVAZIONE TECNOLOGICA PER LA NUOVA FILIALE E INTELLIGENZA ARTIFICIALE IN BANCA

l assistenza tecnica professionale per la tua azienda

InfoCamere: Sicurezza degli asset digitali delle CCIAA italiane. Enrico Notariale 14/12/2017

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Offerta di servizi consulenziali alle società di calcio professionistico Labet Srl. All rights reserved.

CLASSIFICAZIONE CONSIP PUBLIC APPENDICE 2 AL CAPITOLATO TECNICO LOTTO 2. Descrizione dei profili professionali

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

La Qualità in UniTN. ATTUATO un percorso di rinnovamento su sistemi informativi, organizzazione, processi

La trasformazione digitale della Banca

MARKETING STRATEGICO

AREA E: INNOVAZIONE TECNOLOGICA

Politica per la Gestione del Servizio

LA SICUREZZA IN BANCA: LE RISPOSTE OPERATIVE

IL SOFTWARE PER LA GESTIONE DEI PROCESSI DI VALUTAZIONE, SVILUPPO E FORMAZIONE

DISPOSIZIONE ORGANIZZATIVA n.106/ad del 27 marzo Servizi Informatici e Tecnologici

DATA ANALYTICS E CUSTOMER ENGAGEMENT. From the Single version of the truth To the Single customer view Trought Quality customer view

Privacy by Design: evoluzione e implicazioni

PAYMENT RESEARCH PROGRAM

RACCOGLIE LE COMPETENZE E LE ESPERIENZE MATURATE DA ENGINEERING IN 35 ANNI DI PRESENZA AL FIANCO DELLA PUBBLICA AMMINISTRAZIONE

S f r u t t a r e l e p o t e n z i a l i t à d e i B i g D a t a i n a m b i t o S i c u r e z z a. M i l a n o, 9 a p r i l e

Curriculum Vitae. Informazioni anagrafiche. Titoli di studio e altri titoli. Qualifiche professionali ed attestati. Conoscenze linguistiche

Il Gruppo MPS. Il Consorzio Operativo Gruppo MPS. Le aziende consorziate: Numero dipendenti:

Sessione di studio AIEA 15 dicembre 2004, Milano. IT Governance Modello di gestione. Michele Barbi, CISA - Etnoteam

Percorso di Alta Formazione «DIGITAL MANAGEMENT & BIG DATA NELLE ISTITUZIONI FINANZIARIE» Kick off 10 giugno 2016

I BENEFICI ECONOMICI DELL INTERNET SEARCH PER L ACQUISIZIONE DI NUOVI CLIENTI RETAIL

Compliance in Banks 2011

Strategic Management in Local Banking

Iniziativa : "Sessione di Studio" a Roma. Roma, 19 aprile Hotel Universo. 17 aprile p.v.

I CONTROLLI A DISTANZA L esperienza della BANCA POPOLARE DI SONDRIO. La partecipazione al progetto, la scelta di adottare SCD e l implementazione

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Assessment sul comparto antiriciclaggio

Cybersecurity per la PA: approccio multicompliance Sogei

L unica realtà di servizi professionali creata per assistere le aziende nella gestione integrata dei rischi d impresa.

IT IS BUSINESS: Il Caso UBI Banca

Francesco Manganaro. Nome

NELLA VOSTRA ORGANIZZAZIONE?

Gestione della conoscenza organizzativa e processi aziendali. Simone Sordo

Le iniziative Consip a supporto

Dall informatica dell Inail all Inail digitale Sintesi di un percorso di valorizzazione delle persone e di ripensamento dell organizzazione.

Un sistema flessibile di pianificazione e controllo: il progetto SIGEST

La Sicurezza Online. Quando il rischio diventa un opportunità di business. Luigi Altavilla, Head of Antifraud Security Department, Global Operations

Risk Governance: disegno e funzionamento

COBIT 5 for Information Security

AREE FUNZIONALI PIANIFICAZIONE MARKETING PRODUZIONE E LOGISTICA RICERCA E SVILUPPO FINANZA ORGANIZZAZIONE E PERSONALE AMMINISTRAZIONE E CONTROLLO

Indice. Foreword by Phil Tarling pag. XI Prefazione di Luigi Abete È XIII Introduzione È XV Ringraziamenti È XIX

Corporate Presentation Enway Corporate Presentation

L A 1.B 2.C 3. per il governo dell IT in tempi di crisi. Allineamento al business Budget di spesa Compliance e sicurezza

Le iniziative Consip a supporto

SOGEI IL SISTEMA INFORMATIVO DELLA FISCALITA

GRC. Governance, Risk & Compliance. Company Profile. Roma, Maggio 2019

COSTI & BUSINESS 2008 Le scelte di sourcing: IN o OUT La cogestione e il disaster recovery della server farm

SHARING IS CARING. Veronica Borgogna BANCOMAT S.p.A.

Gli imperativi strategici ed operativi per il CFO in uno scenario di crescente globalizzazione e competizione

Il Cambiamento e l Innovazione nella Professione: il Controllo Direzionale

CALENDARIO CORSI 2018

Transcript:

Rischi emergenti nell informatica a supporto del business Cetif - 15 ottobre 2009 - sergio.tagni@popso.it 1

Indice 1. Il contesto attuale di riferimento e l evoluzione dei controlli in ambito IT 2. Recenti evoluzioni nell ambito degli strumenti informatici a supporto delle procedure e delle funzioni di controllo 3. Il controllo dei log sergio.tagni@popso.it 2

Contesto attuale Normativa Mercati Congiuntura Concorrenza Fornitori Tecnologia Smaterializzazione rapporti / Web 2.0 / Web Semantico Società e stili di vita Cultura (percezione interna e del pubblico) Assett (importanza degli intangible vs tangible ) Aumento della complessità operativa e gestionale sergio.tagni@popso.it 3

L informatica in azienda Nuove tecnologie: necessità di cambiamento skill del personale Multicanalità Costi Soddisfazione richieste utenti (interni ed esterni) Normativa diretta e indiretta Modernizzazione sistemi legacy Approccio per servizi Integrazione del ciclo di vita delle applicazioni Strumenti a disposizione (portatili, SmartPhone.. ) Bpa/Bpm. Nuovi rischi emergenti da governare nel continuo sulla base di specifici processi sergio.tagni@popso.it 4

Nuove normative Il sistema dei controlli in ambito IT Nuove figure di controllo legate al business con necessità di sensibilizzazione specifica alle tematiche IT. Ottica specialistica su singole tematiche e di governo a livello aziendale. Necessità di relazioni tra le varie parti interessate Nuovi rischi ovvero rischi noti riproposti con modalità differente (frodi, furto di identità, cittadinanza di rete, malware in generale, timing della sicurezza, paradigmi di sviluppo software ) Possibile ulteriore e problematica concentrazione sui risultati immediati, mancanza di attenzione nei controlli Aumento della complessità e necessario ricorso a metodologie e strumenti innovativi. Tematiche sempre piu spinte di governo del rischio e conseguente correlazione stretta con la parte IT sergio.tagni@popso.it 5

Rischi Informatici / Esposizioni minacce tipologie di attacco Dispositivi mobili Posta elettronica Memorie esterne Malware Phishing Clonazioni Bancomat Reti Wireless Hackers Social Network Clonazioni Carte di credito sergio.tagni@popso.it 6

L evoluzione dei controlli interni in ambito informatico Sicurezza Auditing Gestione del rischio? sergio.tagni@popso.it 7

Indice 1. Il contesto attuale di riferimento e l evoluzione dei controlli in ambito IT 2. Recenti evoluzioni nell ambito degli strumenti informatici a supporto delle procedure e delle funzioni di controllo 3. Il controllo dei log sergio.tagni@popso.it 8

Strumenti e metodologie introdotte dalla banca a supporto del controllo COBIT ISO 27000 ITIL COSO S.C.I. ACCORDI DI SERVIZIO INCIDENTI PROGETTI.. Financial Customer IT Vs Business Internal Process Learning & Growth COMPLESSITA AntiPhishing Internet Banking Transaction Monitoring log collector SIEM CRUSCOTTO GESTIONALE log collector SIEM Un modo per avvicinare l informatica al business considerando contesti non esclusivamente tecnologici sergio.tagni@popso.it 9

CRUSCOTTO GESTIONALE Visione di alto livello Mission del S.I. Gestione efficiente della macchina operativa Multicanalità Gestione efficace della domanda Accounting delle Iniziative progettuali e dei costi operativi Customer Perspective Livello di erogazione dei servizi Aumentare la Fruibilità dei canali Compliance Customer Satisfaction Financial Perspective Riduzione dei costi unitari Controllo dei costi operativi Controllo del Budget multicanale Controllo dei costi delle richieste Internal Process Perspective Convergenza dei Processi Project Management Financial Management Service Transition (*) Learning & Growth Perspective Gestione volumi delle risorse Tecnologia Abilitante Gestione risorse sergio.tagni@popso.it 10

CRUSCOTTO GESTIONALE - L integrazione nel sistema dei controlli interni Guida per il governo del sistema informatico Strumento diretto di controllo fruibile in base alle diverse necessità (responsabile di struttura, compliance, Dirigente preposto, Sicurezza, certificazioni volontarie ) Correlazione con le analisi dei rischi (ambito tipicamente di sicurezza) Correlazione con le analisi di processo (assimilabili a KRI normalmente ad un livello abbastanza alto es. intere fasi operative) sergio.tagni@popso.it 11

COMPLESSITA Visione aziendale d insieme Economia Mondiale Mercati finanziari Infrastruttura Segmento di mercato Ecosistema Azienda sergio.tagni@popso.it 12

COMPLESSITA - Una possibile e concreta misura E uno strumento che ha definito e consente di rappresentare numericamente il grado di complessità dei dati oggetto di analisi sergio.tagni@popso.it 13

Indice 1. Il contesto attuale di riferimento e l evoluzione dei controlli in ambito IT 2. Recenti evoluzioni nell ambito degli strumenti informatici a supporto delle procedure e delle funzioni di controllo 3. Il controllo dei log sergio.tagni@popso.it 14

SIEM - I log Il controllo dei sistemi informatici puo essere ottenuto mediante la rilevazione delle evidenze prodotte, la correlazione degli eventi registrati e la gestione delle informazioni archiviate Requisito essenziale: la sicurezza in termini di garanzia dell origine del dato, integrità nel trasporto e nell archiviazione, possibilità di analisi. sergio.tagni@popso.it 15

SIEM I log Non è consolidato uno standard sicuro per la produzione, la gestione e il trasporto dei log. Necessità quindi di stabilire procedure specifiche per garantire la qualità di quanto analizzato e archiviato Auspicabile uno strumento utile a dare dignità ai vari log aziendali diversamente difficilmente opponibili (la normativa, ovviamente, pone l accento sulla specifica materia) L onere della prova in caso di contestazioni è sempre più spesso a carico delle banche Strumento utilizzabile, oltre che dalla funzione IT, da audit, compliance e sicurezza sergio.tagni@popso.it 16

SIEM. Logica di funzionamento Internet Banking Transaction Monitoring AntiPhishing Collettore Log SIEM Applicazioni/ sistemi aziendali Collettore Log sergio.tagni@popso.it 17

SIEM Logica di funzionamento 2 Analisi interna / esterna Sistemi Aziendali efraud Network (data base) Risk Score Transazioni segnalate Risk Engine Gestione delle Regole Gestione dei Casi Online Banking Risultato dell attività investigativa sergio.tagni@popso.it 18

SIEM Esempio di funzionamento ( esterno ) Il sistema accede alla base dati del fornitore (efraud database) del servizio per identificare eventuali sorgenti malevoli Costruisce un profilo comportamentale dinamico dell utente e calcola un parametro di rischio per ogni azione svolta in funzione dello scostamento dal profilo attuale. Sulla base del rischio stimato è possibile adottare delle contromisure specifiche automatizzate o manuali Accentra in un unico contenitore tutte le informazioni raccolte In tutte queste azioni il sistema è in grado di apprendere dal suo stesso funzionamento. Applicazione di un rating all operazione per stabilire la rischiosità stessa sergio.tagni@popso.it 19

SIEM Contesti di applicabilità (Normativa) 1. Amministratori di sistema 2. Immodificabilità dei dati in ambito Finanza 3. Controlli informatici nell ambito dei dati contabili ( dirigente preposto d.lg. 262/2005) 4.. sergio.tagni@popso.it 20

SIEM Utilizzi potenziali in ambito tradizionale Collezione degli ordini area finanza con le caratteristiche necessarie al controllo (appropriatezza, adeguatezza ecc.) nel formato originale. Estrazione parametrizzata (esterna al sistema di business): Controlli in loco (riscontri materiali ordini) Compliance (Appropriatezza abusi di mercato ecc.) Revisione interna (aggiornamento dei rischi e dei presidi sugli stessi) Sicurezza (controllo accessi) sergio.tagni@popso.it 21

Sergio Tagni I.S. Auditor Banca Popolare di Sondrio sergio.tagni@popso.it 0342528509 sergio.tagni@popso.it 22

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back