Sicurezza, Rischio e Business Continuity Quali sinergie?

Documenti analoghi
Esternalizzazione della Funzione Compliance

Sistema dei Controlli interni Gestione coordinata delle aree di miglioramento

PROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1

L approccio alla gestione integrata dei processi e dei controlli in BPB

Direzione Centrale Sistemi Informativi

L internal auditing nell Agenzia delle Entrate: una realtà in evoluzione. Dott. Salvatore Di Giugno Direttore Centrale Audit e Sicurezza

Cloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010

Sicurezza delle utenze privilegiate

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Approfondimento. Controllo Interno

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

*(67,21(,03$77,25*$1,==$7,9,(

Modello dei controlli di secondo e terzo livello

5.1.1 Politica per la sicurezza delle informazioni

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

Banche e Sicurezza 2015

Presentazione di Arthur D. Little Integrazione di sistemi di gestione

A cura di Giorgio Mezzasalma

1- Corso di IT Strategy

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

Il modello di ottimizzazione SAM

Il sistema di misurazione e valutazione della performance di Éupolis Lombardia

MANUALE DELLA QUALITÀ Pag. 1 di 6

Alla c.a. Sindaco/Presidente Segretario Generale Dirigente competente

REALIZZAZIONE DEL SISTEMA DEI CONTROLLI INTERNI IN AGOS ITAFINCO SPA

LO SVILUPPO DELLE COMPETENZE PER UNA FORZA VENDITA VINCENTE

SCELTA DELL APPROCCIO. A corredo delle linee guida per l autovalutazione e il miglioramento

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

ABICS 2.0: l implementazione in azienda del sistema di servizi progettato dall Associazione

Il Risk Management Integrato in eni

Corso di Qualificazione per. Auditor Interni. dei. Sistemi di Gestione per la Qualità UNI EN ISO 9001:2008 PROGRAMMA DEL CORSO 24 ORE

QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO ed ISO P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

Ruolo e attività del punto nuova impresa

Organizzazione e sistemi di gestione

VALUTAZIONE DEL LIVELLO DI SICUREZZA

ILMS. Integrated Learning Management System

consulenza e soluzioni applicative al servizio dei Confidi

COMUNE DI VENTOTENE PROVINCIA DI LATINA REGOLAMENTO SUL SISTEMA DEI CONTROLLI INTERNI

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

VIDEOSORVEGLIANZA E CERTIFICAZIONE

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Internal Audit Innovazione e misurazione delle performances

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

DIPARTIMENTO INFORMATIVO e TECNOLOGICO

Servizio Valutazioni immobiliari. La soluzione per la stima dei beni posti in garanzia delle esposizioni creditizie

Business Process Management

PROGETTO SECURITY ROOM

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

Il Sistema integrato qualità, ambiente e sicurezza

Compliance Sistema di Governo Il Sistema di Compliance di SIA

Controllo Interno. Aree Territoriali. RUO Sviluppo Organizzativo e Pianificazione

OHSAS 18001:2007 Sistemi di Gestione della Sicurezza e della Salute sul Lavoro

EA 03 Prospetto economico degli oneri complessivi 1

Il trasferimento del rischio operativo mediante polizze assicurative

LA FORMAZIONE COME STRUMENTO ELETTIVO PER LA DIFFUSIONE DELLA CULTURA DELLA SICUREZZA, DELLA DIFFUSIONE DELLE CONOSCENZE

INFORMAZIONE FORMAZIONE E CONSULENZA. benchmark ingbenchmarking benchmarkingbench marking

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Automation Solutions

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

LA RETE DEGLI URP DELLA PROVINCIA DI MANTOVA

Il Valore Aggiunto del Sistema dei Controlli Interni Integrato

THS: un idea semplice, per un lavoro complesso.

Un'efficace gestione del rischio per ottenere vantaggi competitivi

QUESTIONARIO 3: MATURITA ORGANIZZATIVA

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Esperienze di analisi del rischio in proggeti di Information Security

Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive

Fattura elettronica e conservazione

ANTONELLA LAVAGNINO COMUNICAZIONE & MARKETING

Dialogare con il cliente esterno ed interno per un miglior servizio al cittadino. Giusi Miccoli - Amministratore Unico ASAP

Un'efficace gestione del rischio per ottenere vantaggi competitivi

LEADERSHIP,KNOWLEDGE,SOLUTIONS, WORLDWIDE SEGI REAL ESTATE

La reingegnerizzazione dei processi nella Pubblica Amministrazione

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

Miglioramento continuo

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING)

sviluppa le opportunità, riduce i rischi.

LIFE09ENVIT EnvironmentalCOoperation model for Cluster - Acronimo: ECO-CLUSTER

Il Green Public Procurement a Cinisello Balsamo

Il Project Management nell Implementazione dell'it Service Operations

Osservatorio Solvency II Operational Transformation

IL MANAGER COACH: MODA O REQUISITO DI EFFICACIA. Nelle organizzazioni la gestione e lo sviluppo dei collaboratori hanno una importanza fondamentale.

Transcript:

Sicurezza, Rischio e Business Continuity Quali sinergie? ABI Banche e Sicurezza 2016 John Ramaioli Milano, 27 maggio 2016

Agenda Ø Il contesto normativo ed organizzativo Ø Possibili sinergie Ø Considerazioni finali 2

Il contesto normativo Le normative esterne, disposizioni di settore e standard di riferimento anche di recente emanazione definiscono un approccio che in genere contempla definizione di una metodologia, formalizzazione ruoli e responsabilità e esecuzione dei controlli; si individuano inoltre una serie di elementi comuni Disposizioni di Vigilanza Prudenziale (285/13) Sicurezza pagamenti su internet (BCE, EBA, PSD) Coinvolgimento figure apicali Misure di sicurezza e continuità congrue con il rischio Tutela del risparmio e mkt finanziari (262/2005) Approccio risk based Responsabilità amministrativa (231/2001) Sistema integrato controlli Analisi su Processi e Asset Tutela della privacy (GDPR e 196/93) Tracciatura degli incidenti Framework Nazionale per la Cybersecurity.. Awareness utenti e clienti Reportistica e trasparenza 3

Il contesto organizzativo Diverse strutture aziendali esercitano i controlli di competenza con un approccio a «Silos» Funzioni di Controllo Compliance Conformità alla Normativa vigente Risk Management Determinazione livelli di rischio operativo / informatico Audit Verifica agito nei processi di erogazione.. Regulators / revisori Analisi dei modelli di governo dei rischi e della sicurezza Funzione Sicurezza Riceve richieste simili da molti interlocutori differenti Analizza le normative di pertinenza o con impatto sulla sicurezza Svolge attività di controllo di propria responsabilità Assume funzione di «consulente» e facilitatore fra diverse interlocutori Emerge una forte esigenza di razionalizzare le proprie attività e di ridurre l effort a limitato valore aggiunto 4

Agenda Ø Il contesto normativo ed organizzativo Ø Possibili sinergie Ø Considerazioni finali 5

La ricerca delle Sinergie Diverse discipline evolvono secondo metodologie proprie ma hanno importanti punti di contatto I Sinergie Metodologiche Plan Plan Plan Do Do Do Rischio informatico Sicurezza Business Continuity Act Act Act Check Check Check II Sinergia operativa e di controllo II Sinergia operativa e di controllo Policy Awareness 6

Sinergie fra Rischio informatico e Business Continuity Rischio informatico e Continuità Operativa possono essere gestiti in modo estremamente vantaggioso per la Banca, adottando una metodologia integrata a fronte dei numerosi aspetti comuni in termini di approccio, processo e responsabilità I Tassonomia dei processi aziendali - approccio process oriented La valutazione degli impatti sui processi aziendali viene effettuata partendo dalla tassonomia dei processi della Banca II III Enterprise Architecture Disponibilità ed affinamento della mappatura dei componenti informatici / infrastrutture di base afferenti i processi di business come base per valutare l esposizione al rischio informatico e l indisponibilità dei servizi IT Owner di processo e referenti IT. Coinvolgimento dei medesimi process owner per la raccolta delle valutazioni di impatto e delle stesse strutture specialistiche IT per la valutazione delle componenti informatiche IV Raccordo con funzioni di controllo Raccordo con la politica complessiva di gestione del rischio della banca e con il relativo livello di accettazione del rischio (RAF); contributo similare al Sistema Integrato dei Controlli V Coinvolgimenti vertici aziendali I vertici aziendali (OFSS, OFG e l Organo con Funzione di Controllo) sono coinvolti, per entrambe le discipline, nel ruolo di indirizzo e ricevono reportistiche omogenee in ottica di approvazione e controllo 7

Sinergie fra Rischio Informatico, Attività operative, quali la gestione degli incidenti di sicurezza e la gestione delle frodi informatiche, se condotte con una visione sinergica, possono alimentare la continua evoluzione dei singoli processi di gestione del rischio informatico e della sicurezza I II III IV Oggettivazione delle analisi L introduzione di informazioni reali ed oggettive trasversali a differenti tipologie di eventi aumenta la capacità di rendere più robusta e meno soggettiva la fase di valutazione dei rischi Efficacia delle misure di sicurezza La condivisione delle attività di gestione degli eventi permette di creare sinergie importanti in termini di idoneità e gradualità delle contromisure tecnologiche e/o organizzative e di tempestività di intervento Reportistica integrata La creazione di report integrati verso i vertici aziendali viene facilitata dalla capacità di sviluppare indicatori omogenei e di definire e alimentare un unico archivio di informazioni rilevanti Processo di escalation ed Integrazione tra Incident e crisis management La gestione dei vari incidenti di sicurezza abbinata alla pluriennale esperienza sulla BC permette di utilizzare gli stessi meccanismi di escalation ed attivare le stesse strutture preposte alla crisi in particolare per lo scenario Cyber 8

Sinergie fra differenti esigenze di controllo Gran parte dei controlli di sicurezza fanno spesso riferimento ad alcuni standard riconosciuti internazionalmente: sono quindi trasversali e possono essere messi a fattor comune, rispondendo alle esigenze di verifica della sicurezza, alle necessità di compliance e a quelle delle Funzioni di Controllo aziendali. I II Ottimizzazione a armonizzazione Individuazione e descrizione dei controlli e relativa frequenza in relazione al rischio e/o ai differenti sottosistemi tecnologici Mappatura dei controlli con principali normative Analisi e individuazione controlli richiesti dalle normative (231, AdS, Privacy) e efficaci anche in risposta alle richieste delle FdC / revisori III IV Raccolta evidenze Creazione repository centralizzato per raccolta evidenze dei controlli eseguiti e delle eventuali anomalie riscontrate Reporting a funzioni apicali Relazione periodica dello stato dell arte della «sicurezza» con individuazione delle operazioni anomale riscontrate per Organi e funzioni di Controllo 9

Agenda Ø Il contesto normativo ed organizzativo Ø Possibili sinergie Ø Considerazioni finali 10

Considerazioni finali Sinergie tra discipline «confinanti» rappresentano non solo una necessità, ma anche una chiara opportunità per ottenere benefici in termini di efficienza operativa Evitare approccio a silos consente di mettere a fattor comune le esperienze e, di conseguenza, a meglio indirizzare la strategia ed i piani evolutivi della Sicurezza Fattore abilitante è certamente la possibilità di identificare un unica funzione specialistica che rappresenti su tutti questi temi il focal point per organi apicali, funzioni di Business e di controllo Valorizzazione delle persone che sanno «leggere» in modo integrato le diverse normative e suggerire approcci sinergici pur nella peculiarità delle singole discipline Competenze diversificate ed interfunzionali sempre più necessarie per presidiare ambiti e discipline solo all apparenza differenti e separate 11

Grazie per l attenzione! John Ramaioli Banca Popolare di Milano john.ramaioli@bpm.it

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back