Il rischio informatico: quali approcci, quali soluzioni



Documenti analoghi
La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

Università di Macerata Facoltà di Economia

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013

Direzione Centrale Sistemi Informativi

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

VALUTAZIONE DEL LIVELLO DI SICUREZZA

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Esperienze di analisi del rischio in proggeti di Information Security

5.1.1 Politica per la sicurezza delle informazioni

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Esternalizzazione della Funzione Compliance

Il Risk Management Integrato in eni

Associazione Italiana Information Systems Auditors

Gestione della Sicurezza Informatica

Raggiungere gli obiettivi strategici e preservare il valore creato nel tempo

Approfondimento. Controllo Interno

Processi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

Organizzazione e pianificazione delle attività di marketing

Business Process Management

1- Corso di IT Strategy

Un approccio complessivo alla Gestione della Performance Aziendale. Sestri Levante maggio 2003

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

ENTERPRISE RISK MANAGEMENT IL PUNTO DI VISTA DI SAS

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

Fattori critici di successo

Modello dei controlli di secondo e terzo livello

REALIZZARE UN MODELLO DI IMPRESA

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

Politica per la Sicurezza

A cura di Giorgio Mezzasalma

La reingegnerizzazione dei processi nella Pubblica Amministrazione

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

Creating Your Future

QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

ISIPM Base. Project Management epmq: Project Management Fundamentals (ISIPM Base) Gruppo C Conoscenze Manageriali di Base Syllabus da a 3.4.

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

Audit & Sicurezza Informatica. Linee di servizio

L internal auditing nell Agenzia delle Entrate: una realtà in evoluzione. Dott. Salvatore Di Giugno Direttore Centrale Audit e Sicurezza

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

MANUALE DELLA QUALITÀ Pag. 1 di 6

Infrastruttura di produzione INFN-GRID

PROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

Manuale della qualità. Procedure. Istruzioni operative

MANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ

figure professionali software

Il mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation

COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

Comprendere il Cloud Computing. Maggio, 2013

MANDATO INTERNAL AUDIT

Linea 4. Accompagnamento alla certificazione di Qualità. - Documento operativo preliminare: struttura e attività previste -

Credex LA PIATTAFORMA PER LA GESTIONE DELLA CATENA ESTESA DEL VALORE DEL RECUPERO CREDITI. ABI Consumer Credit Roma, 27 marzo 2003

Presidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico

La certificazione CISM

Banche e Sicurezza 2015

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

Controllo Interno. Aree Territoriali. RUO Sviluppo Organizzativo e Pianificazione

Qualità è il grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000:2005)

Operational Risk Management & Business Continuity Fonti Informative e punti di contatto

ISO 9001:2015 e ISO 14001:2015

Gestione Operativa e Supporto

DEFINIO REPLY FINANCIAL PLATFORM

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

Il catalogo MARKET. Mk6 Il sell out e il trade marketing: tecniche, logiche e strumenti

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager

Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

I progetti di Innovazione tecnologica del Ministero dell Economia e delle Finanze e la misurazione del loro impatto

I dati in cassaforte 1

REALIZZAZIONE DEL SISTEMA DEI CONTROLLI INTERNI IN AGOS ITAFINCO SPA

TAURUS INFORMATICA S.R.L. Area Consulenza

Incentive & La soluzione per informatizzare e gestire il processo di. Performance Management

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

AZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

*(67,21(,03$77,25*$1,==$7,9,(

Riunione del Comitato di gestione Monitoraggio APQ - 18/12/03

DOCUMENTO DI VALUTAZIONE DEL RISCHIO STRESS DA LAVORO CORRELATO

MANDATO DI AUDIT DI GRUPPO

LA CERTIFICAZIONE. Dr.ssa Eletta Cavedoni Responsabile Qualità Cosmolab srl Tortona

Sistemi di Gestione dei Dati e dei Processi Aziendali. Computer-Assisted Audit Technique (CAAT)

Funzionigramma delle Direzioni Regionali della Divisione Banca dei Territori

IL SISTEMA DI CONTROLLO INTERNO

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI

Transcript:

Il rischio informatico: quali approcci, quali soluzioni Ing. Andrea Agosti, Senior Manager VP Tech Seminario di studio Anssaif Roma, 26 Gennaio 2006 Gli interrogativi del seminario Come stimare la probabilità di accadimento di una determinata minaccia sui sistemi e processi ICT? Se esistesse una stima oggettiva delle probabilità di accadimento di eventi causali, le Aziende potrebbero trarne dei vantaggi? Chi è responsabile di calcolare la vulnerabilità dell ICT? Sono chiare le relazioni fra ICT Analysis, ORM e Business Continuity Management? Ha senso ipotizzare un ICT Analysis Manager? Se sì, dove collocarlo? E vero che esistono anche soluzioni di mitigazione del rischio ICT a basso costo? Ad esempio, quali? 1 1

Contenuti del documento ICT, rischi e business continuity La gestione dei rischi ICT Uno strumento low cost: ICT Analysis Tool Uno strumento evoluto: il Tableau de Bord per la misurazione dei rischi ICT 2 management, ICT Analysis e Business Continuity contribuiscono sinergicamente alla protezione del business Fornisce e aggiorna la mappa dei rischi ai quali l azienda è esposta e che richiedono contromisure di varia natura all interno dell organizzazione Enterprise Management ICT Analysis Protezione del business aziendale Business continuity Fornisce il legame tra i rischi aziendali e le minacce alla tutela del patrimonio informativo ed alla disponibilità del sistema informativo Fornisce le soluzioni per garantire la continuità dei processi di business a seguito di eventi di natura straordinaria e/o catastrofici L obiettivo congiunto di Management, ICT Analysis e Business Continuity è quello di guidare l azienda attraverso i rischi di natura non competitiva verso gli obiettivi di business (patrimoniali, reddituali e di creazione del valore) stabiliti dai vertici aziendali 3 2

Il rischio ICT costituisce un tassello all interno di una mappa più estesa dei rischi aziendali Sono rischi d azienda (business risks) ad alto livello direttamente determinati dall incertezza associa-ta ad ogni attività imprenditoriale Credit the default (or failure to fulfil obligations in a timely manner) of a borrower or a counterparts Market unexpected changes in market prices or rates (e.g. equity, commodity, interest, foreign exchange) Operational Strategic inadequate or failed internal processes, people, and systems or from external events unexpected changes in the competitive environment or trends that damage operating economics Sono rischi operativi (operational risks) determinati dalle scelte effet-tuate circa le modalità operative di gestione e conduzione del business Process People Events System ineffective or inefficient business processes staff constrains, people incompetence, dishonesty or corporate culture catastrophic single events (e.g natural or system unavailability, undercapacity, unau- man-made disasters, thorized access and internal or external use and integrity loss frauds) Sono rischi di sistema (system risks) associati alla tecnologia adottata per l automazione di determina-ti processi di business IT Security Capacity Management violations of integrity, availability and confidentiality of data and IT services inadequate capacity inadequate planning process for management IT operational operations of IT systems system 4 Il rischio ICT dovrebbe essere indirizzato da un comitato aziendale ad hoc che riunisce le principali direzioni aziendali Stakeholder Azionisti Enti normativi e regolatori Ruolo Finalità Ruolo Finalità Ruolo Finalità - Consiglio di Amministrazione - Armonizza le esigenze degli stakeholder - Verifica i risultati - Amministratore Delegato - Sicurezza di Gruppo - Fornisce visibilità e committment - Definisce il modello - Valuta le attività - Fornisce lo strumento - Comunica i risultati - Monitora i risultati - Comitato di Business Unit - Identifica le aree di criticità dei processi di business - Valuta gli impatti derivanti dalle criticità - Comitato di IS Provider - Identifica i requisiti di sicurezza - Progetta soluzioni applicative e infrastrutturali di sicurezzaù - Monitora le prestazioni delle soluzioni di sicurezza La gestione del rischio IT è un processo condiviso tra tutte le strutture aziendali e integrato all interno dei processi aziendali, in accordo ad una visione di governo dall alto (CEO e Corporate Security) e di esecu-zione dal basso (Business Unit e internal/external IS Provider) 5 3

Contenuti del documento ICT, rischi e business continuity La gestione dei rischi ICT Uno strumento low cost: ICT Analysis Tool Uno strumento evoluto: il Tableau de Bord per la misurazione dei rischi ICT 6 Il modello per la valutazione dei rischi ICT è ormai ben noto all interno delle organizzazioni medio/grandi pubbliche e private Rischio IT Fattori determinanti Minacce Vulnerabilità Impatti Tecnologia Processi/ organizzazione Risorse umane Brand Competitività Operatività Sanzioni Elementi caratteristici Gli elementi caratteristici relativi alle minacce ed alle vulnerabilità dei servizi IT sono specifici del rischio IT Tecnologia Processi/ organizzazione Risorse umane Gli elementi caratteristici relativi agli impatti sono da ricondursi ad una analisi preventiva dei rischi di business dell organizzazione 7 4

La gestione del rischio non deve essere occasionale ma deve essere inserita all interno di un processo aziendale Fasi Obiettivi Assessment Attività - Classificazione delle aree di rischio Accertamento e analisi Analysis - Valutazione delle minacce Management - Modello di propensione al rischio Gestione e controllo Monitoring - Identificare le aree di - Svolgere una analisi - Effettuare le scelte più - Monitorare lo stato dei rischio e di incertezza per il business che hanno impatto sulle tematiche di IT Security dettagliata delle cause, delle conseguenze e delle dinamiche che caratterizzano il rischio IT Security adeguate per determinare un profilo di rischio IT Security adeguato alle caratteristiche dell organizzazione rischi in esame al fine di identificare precocemente eventuali deviazioni - Definizione di Key Indicator METODOLOGIA VPTECH Mastering - Identificazione dei rischi specifici - Analisi delle vulnerabilità - Identificazione delle contromisure - Definizione di Key Security Performace Ind. - Prioritizzazione dei rischi identificati - Stima degli impatti verso il business - Piano di azione - Costruzione del Tableau de Bord Tempi di esecuzione - Tempistiche legate alla - Tempistiche legate allo - Tempistiche legate alle - Tempistiche legate pianificazione strategica (generalmente 1-3 anni) sviluppo di nuovi progetti tecnologici (generalmente inferiore all anno) dinamiche di evoluzione di minacce, vulnerabilità e impatti all identificazione precoce di deviazioni dalla norma, generalmente real-time o near real-time 8 A parte i rischi trasferibili ed eliminabili, il vero problema consiste nella convivenza con i rischi residui accettati La gestione del rischio tecnologico si deve ricondurre all interno di un framework che consenta di ricondurre i rischi individuati all interno di un sistema di supporto alle decisioni caratterizzato da quattro criteri: accettare, ridurre, trasferire oppure eliminare Effetto sorpresa : devono essere esternalizzati a società assicuratrici specializzate per la corretta gestione economica Alta Trasferisci Elimina Effetto bombardamento : devono essere eliminati dalla gestione aziendale gli elementi tecnologici che ne contribuiscono Severità dell impatto Accetta Riduci Effetto fastidio : costituiscono un fenomeno accettabile in quanto non pregiudicano il conseguimento degli obiettivi prestabiliti Bassa Effetto tarlo : devono essere opportunamente ridotti in modo da limitarne la frequenza di accadimento Bassa Frequenza di accadimento Alta 9 5

Contenuti del documento ICT, rischi e business continuity La gestione dei rischi ICT Uno strumento low cost: ICT Analysis Tool Uno strumento evoluto: il Tableau de Bord per la misurazione dei rischi ICT 10 La fase di accertamento e analisi dei rischi di IT Security: la metodologia online di VP Technologies STRUMENTO VPTECH 11 6

I benefici dello srtumento di analisi del rischio di sicurezza informatica adottata da VP Technologies Benefici Orientamento ai processi di business Metodologia - Consente di attivare ed eseguire un piano di gestione dei rischi informatici in una logica coerente con i processi di business aziendali Tecnologia na Coerenza con la Business Continuity - Consente di agganciarsi alla fase di Business Impact Analsysis di un piano preesistente di Business Continuity - Consente il porting delle informazioni di mappatura dei processi aziendali e dei risultati della Business Impact Analysis Apertura dei modelli e della tecnologia - Consente di personalizzare e tarare il modello di calcolo del rischio sulla base di esigenze, caratteristiche e obiettivi specifici del business dell organizzazione cliente - Consente di utilizzare tecnologie aperte e standard in modo da semplificare le fasi di sviluppo e manutenzione evolutiva dello strumento informatico Flessibilità di adattamento ad esigenze specifiche Approccio collaborativo - Consente di introdurre all interno della fasi della metodologia nuovi domini, contromisure, minacce, vulnerabilità e asset specifici per l organizzazione del cliente - Consente di utilizzare le conoscenze presenti all interno dell organizzazione per la costruzione di un modello del rischio condiviso e aderente alla realtà effettiva - Consente di estendere rapidamente lo strumento informatico al fine di integrare le porzioni relative alle specificità da introdurre per il cliente - Consente di semplificare la partecipazione e la collaborazione tra i diversi attori sparsi all interno dell organizzazione utilizzando tecnologie client-server basate su Web Integrazione all interno dell organizzazione - Consente di integrare l attività di analisi e gestione del rischio all interno dei processi di business dell organizzazione cliente - Consente di integrare lo strumento informatico con le tecnologie informatiche già utilizzate all interno dei processi di business dell azienda cliente 12 Le possibili evoluzioni dello strumento di base all interno delle organizzazioni più complesse IT Asset Inventory - Integrazione con gli inventory aziendali delle risorse di Information Technology (sedi, locali, reti, sistemi, applicazioni) e delle basi di dati - Realizzazione di un inventory della IT Security collegato agli altri inventory aziendali Management Interface - Definizione dei ruoli e dei diritti di accesso (role-based access) al sistema di risk management in accordo alle responsabilità in azienda - Interfaccia web-based per gestire in collaborazione e distribuzione il processo di risk management IT Management System Vulnerability Monitoring - Sistema automatico distribuito di analisi della vulnerabilità tecnologiche di reti, sistemi ed applicazioni - Analisi multidimensionale delle vulnerabilità di ogni singolo componente delle infrastruttura tecnologiche Knowledge - Base dati delle contromisure di IT security strategiche sull azienda, tecnologiche sulle infrastrutture informatiche e organizzative sulle politiche, procedure e standard di sicurezza - Base dati delle minacce interne ed esterne sulle risorse IT Una soluzione di Information Management scalabile, flessibile, enterprise-wide in grado di raccogliere e distribuire le informazioni corrette alle persone di riferimento al momento opportuno, in modalità sicura 13 7

Contenuti del documento ICT, rischi e business continuity La gestione dei rischi ICT Uno strumento low cost: ICT Analysis Tool Uno strumento evoluto: il Tableau de Bord per la misurazione dei rischi ICT 14 La gestione dei rischi ICT ha l obiettivo ultimo di creare valore per il business dell azienda Fase Monitorare i rischi originati dall utilizzo dell IT per informare il Top Management sui rischi d impresa e suggerire le eventuali misure da adottare Obiettivi Controllare i sistemi, i processi e le risorse allocate ai servizi di IT al fine di identificare tempestivamente e preventivamente i potenziali elementi in grado di determinare una situazione di rischio per il conseguimento degli obiettivi di business dell impresa Riportare al top management (e.g. board of director, audit committee) le informazioni necessarie e sufficienti affinché possano essere prese le decisioni ottimali per una corretta corporate governance e tutela degli interessi degli shareholder e degli stakeholder Consigliare sia il top management che gli executive/line managers sulle adeguate misure da intraprendere al fine di riportare i rischi di Information Technology all interno di una logica di gestione positiva del rischio Business s Dalla formalizzazione dei rischi di non conseguire gli obiettivi di business dell impresa IT s alla derivazione dei rischi determinati dall utilizzo delle tecnologie IT nei processi di business Key Indicator all identificazione delle variabili chiave da misurare al fine di quantificare i livelli di rischio Targets e confrontarli costantemente con gli obiettivi prestazionali stabiliti in sede di pianificazione Actions al fine di intraprendere le azioni correttive opportune per ricondursi ai target pianificati 15 8

Le componenti non quantificabili dei rischi ICT debbono essere costantemente monitorate con i Key Indicator Business s Brand Competitività Rischio di perdita di immagine Rischio di perdita presso le differenti categorie competitivo del vantaggio di stakeholder all interno della propria industry Sanzioni Rischio di inadempimenti ad obblighi statutari, legali e/o regolamentatori Perdite Rischio di perdite finanziarie dirette e/o compromissione della posizione finanziaria ESEMPLIFICATIVO Operatività Rischio di rallentamento dei processi di business e di creazione del valore Information Technology s Misconfiguration Virus Rischio di presenza di configurazioni non sicure sui sistemi e sulle applicazioni Rischio di diffusione di virus sui server e sulle postazioni di lavoro Sniffing Rischio di intercettazione del traffico sulla rete aziendale Intrusion Rischio di accesso non autorizzato ai sistemi aziendali Staff Shortage Rischio di blocco dei sistemi per assenza di personale specializzato di supporto IT Key Indicator (IT KRI) Antivirus % postazioni di lavoro con SW antivirus aggiornato Awarness % di personale neoassunto che ha ricevuto una formazione di base sulla sicurezza Esterni % esterni che soggiornano presso le sedi aziendali al di fuori del normale orario di lavoro Etica Livello di percezione del brand PosteItaliane presso la comunità Internet Servizi % di servizi insicuri presenti sui sistemi di produzione 16 all interno di un Tableau de Bord direzionale con livelli di sintesi differenti per i vari livelli aziendali SECURITY TABLEAU DE BORD EXECUTIVE SUMMARY Gen Feb Mar Apr Mag Giu Lug Ago Set Ott Nov Dic 2004 RISERVATEZZA LA RISERVATEZZA DELLE INFORMAZIONI HA SUPERATO LA SOGLIA DI NORMALITA 40 60 100 20 80 INTEGRITA 24 0 100 40 60 0 100 LUG AGO SET OTT NOV DIC GEN FEB MAR 20 80 DISPONIBILITA L INTEGRITA DELLE INFOR- MAZIONI RICHIEDE UNA ADEGUATA ATTENZIONE 48 0 100 0 LUG AGO SET OTT NOV DIC GEN FEB MAR 100 Allarme Criticità Attenzione Anomalia Normalità 0 LUG AGO SET OTT NOV DIC GEN FEB MAR 17 9

Il tableau de bord degli indicatori di rischio deve essere costruito a partire da un knowledge management della sicurezza Dalla pianificazione delle soluzioni di sicurezza basata sull analisi del rischio al controllo dei risultati basato sulla misurazione degli indicatori di rischio (KRI) e di prestazione (KPI) Livello 1 Identificazione degli obiettivi e misurazione dei risultati in termini di rischio IT Aree di Criticità aziendale Key Indicators 2 Analizzare le dinamiche e gestire l evoluzione del rischio IT Analisi e gestione del Rischio 3 Identificare i requisiti di sicurezza e misurare i risultati in termini di prestazioni Requisiti di sicurezza Key Performance Indicators 4 Progettare le soluzioni di sicurezza e il sistema di Security Knowledge Management Soluzioni di sicurezza Security Knowledge Management 18 Grazie per l attenzione! 19 10

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back