Banche e Sicurezza 2015

Documenti analoghi
VALUTAZIONE DEL LIVELLO DI SICUREZZA

Esternalizzazione della Funzione Compliance

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

ORDINE DI SERVIZIO n. 38/14 TUTELA AZIENDALE

MANDATO DI AUDIT DI GRUPPO

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013

La certificazione CISM

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015)

Compliance Sistema di Governo Il Sistema di Compliance di SIA

Regolamento sui limiti al cumulo degli incarichi ricoperti dagli Amministratori del Gruppo Banco Popolare

MODELLO TEORICO DEI REQUISITI DI PROFESSIONALITA DEGLI AMMINISTRATORI

Servizi di revisione contabile e verifica delle informazioni finanziarie nel processo di listing e post listing

PROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1

Modello dei controlli di secondo e terzo livello

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013

1- Corso di IT Strategy

Vision strategica della BCM

Associazione Italiana Information Systems Auditors

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Approfondimento. Controllo Interno

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

MANDATO INTERNAL AUDIT

SISTEMA DI GESTIONE PER LA QUALITÀ E CERTIFICAZIONE ISO 9001 ed PER L'UNIVERSITÀ DI CAMERINO PROGETTO DI MASSIMA

Vigilanza bancaria e finanziaria

Nuove funzioni e responsabilità del Risk Management. Presentazione alla Conferenza Il governo dei rischi in banca: nuove tendenze e sfide

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

Sicurezza, Rischio e Business Continuity Quali sinergie?

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

Audit & Sicurezza Informatica. Linee di servizio

ABICS 2.0: l implementazione in azienda del sistema di servizi progettato dall Associazione

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

LA VALUTAZIONE DELL ATTIVITA del CONSIGLIO DI AMMINISTRAZIONE

Basilea 2: Vincere insieme la sfida del RATING

L attività di Internal Audit nella nuova configurazione organizzativa

Assessorato allo Sviluppo Economico Direzione Cultura Turismo e Sport Servizio Promozione Economica e Turistica

Direzione Centrale Sistemi Informativi

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS

NUMERICA RISK STP FUNZIONI FONDAMENTALI SII

Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO ed ISO P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

Linea 4. Accompagnamento alla certificazione di Qualità. - Documento operativo preliminare: struttura e attività previste -

Manuale del sistema di gestione U.O. FUNZIONE PROGETTUALE DEDICATA ALLA GESTIONE DELLE EMERGENZE IN AMBITO SANITARIO

DIPARTIMENTO INFORMATIVO e TECNOLOGICO

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

Approvazione CDA del 25 giugno Limiti al cumulo di incarichi ricoperti dagli amministratori di Unipol Gruppo Finanziario S.p.A.

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

ALLEGATO 2 FIGURE PROFESSIONALI DI FILIALE IMPRESE

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

SISTEMA DEI CONTROLLI INTERNI

Processo di gestione del rischio

Allegato B) PROCEDURA PER LA GESTIONE AZIENDALE DEI CASI DI EVENTI SENTINELLA 1. PREMESSA E INDICAZIONI GENERALI

La normativa UNI EN ISO serie Introduzione alla Vision 2000 Lezione 6 marzo 2001

Sistemi Qualità Certificazione ISO9001

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Progetto BPR: Business Process Reengineering

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

AMMINISTRAZIONE, FINANZA E CONTROLLO

RISCHIO OPERATIVO. Gruppo di lavoro AIFIRM "Rischio operativo": oggetto, sfide e stato dell'arte

PIANO DI PREVENZIONE DELLA CORRUZIONE

TAURUS INFORMATICA S.R.L. Area Consulenza

La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa

Intranet e risorse umane. Un portale per: - Apprendere - Conoscere - Comunicare. - erogare Servizi in rete

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

Codice di Corporate Governance

Politica per la Sicurezza

*(67,21(,03$77,25*$1,==$7,9,(

Esperienze di analisi del rischio in proggeti di Information Security

5.1.1 Politica per la sicurezza delle informazioni

La Formazione: elemento chiave nello Sviluppo del Talento. Enzo De Palma Business Development Director

Presidenza del Consiglio dei Ministri

REGOLAMENTO DI FUNZIONAMENTO

Piano di Sviluppo Competenze

PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION

Capitolo 4 - Teoria della manutenzione: la gestione del personale

A cura di Giorgio Mezzasalma

Funzionigramma delle Direzioni Regionali della Divisione Banca dei Territori

MODELLO DI COMUNICAZIONE FINANZIARIA

PROVINCIA DI MATERA. Regolamento per il funzionamento. dell Ufficio Relazioni con il Pubblico della Provincia di Matera

Transcript:

Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015

Premessa Il percorso di adeguamento alla Circolare 263 2 Luglio 2013 Emissione XV aggiornamento della Circolare 263 31 Gennaio 2014 Invio della relazione di Gap Analysis 263 Capitolo 7 a Banca d'italia 1 Febbraio 2014 Avvio implementazione Action Plan 263 8 Aprile 2014 Richiesta di approfondimento, da parte di Banca d'italia, sulla Gap Analysis relativa al Capitolo 9 Le Nuove disposizioni di vigilanza prudenziale per le banche introducono, come elemento di novità: il Capitolo 7 Il sistema dei controlli interni ; il Capitolo 8 Il sistema informativo ; il Capitolo 9 La continuità operativa ; richiedendo ai destinatari della normativa di condurre un'autovalutazione della propria situazione rispetto alle previsioni della norma ( Gap Analysis ) e di avviare le opportune azioni di adeguamento ( Action Plan 263 ). 6 Giugno 2014 Nota di chiarimento in merito all'applicazione della Circolare 263 1 Febbraio 2015 Entrata in vigore della Circolare 263 (Cap. 8) 2

Premessa Principali interventi in materia di Sicurezza Informatica Il Gruppo Intesa Sanpaolo ha avviato un insieme di attività finalizzate ad adeguare la gestione della sicurezza informatica del Gruppo introducendo nuove modalità operative. 1 Funzione specialistica di Sicurezza delle risorse ICT Delegati alla funzione di Sicurezza Informatica i compiti specialistici in materia di sicurezza delle risorse ICT, compreso il presidio di conformità 2 Informativa Definita una migliore informativa verso gli Organi Societari 3 Gestione integrata del Rischio Informatico Definita una gestione integrata del Rischio Informatico, come il rischio di incorrere in perdite economiche, reputazionali e di mercato in relazione all utilizzo della tecnologia 4 Presidi tecnici ed organizzativi Aggiornati i presidi per assicurare la sicurezza informatica e il sistema di gestione dei dati, incluso il modello dei controlli e il processo di ICT Security Incident Mgmt 3

I principali interventi definiti nel contesto di Intesa Sanpaolo Presidio di conformità della normativa in materia di sicurezza informatica Funzione di Sicurezza Informatica Relazioni periodiche Flussi informativi Funzione di Conformità La Funzione di Sicurezza Informatica riveste il ruolo di Funzione Specialistica di Gruppo in materia di sicurezza informatica: Funzione specialistica di conformità rispetto ai temi di sicurezza informatica, incluso il presidio dei controlli; Aggiornamento ed integrazione dell'impianto normativo interno al fine di garantire la rispondenza con la normativa esterna, i principali standard internazionali e best practices di settore. La Funzione di conformità esprime, sulla base delle informazioni fornite dalla Funzione di Sicurezza Informatica e dalle verifiche direttamente condotte, una valutazione autonoma in merito a: rischio di non conformità alla normativa in materia di Sicurezza Informatica; adeguatezza dei presidi posti in essere per la relativa mitigazione e, ove ne ravvisi la necessità, richiede di dare corso agli opportuni interventi di rafforzamento. 4

I principali interventi definiti nel contesto di Intesa Sanpaolo Gestione integrata del rischio informatico Intesa Sanpaolo ha definito un processo di analisi e valutazione del Rischio Informatico di Gruppo coordinato dalla funzione Risk Management a cui concorrono le funzioni aziendali competenti, il business e le funzioni di controllo: La nuova metodologia di analisi del rischio ICT viene applicata: annualmente, per eseguire una valutazione complessiva del Rischi ICT o delle procedure in esercizio; ad evento, in presenza di situazioni che possono modificare il complessivo livello di rischio (ad es. gravi incidenti, diffusione di notizie su nuove vulnerabilità o minacce) ovvero in caso di progetti innovativi o modifiche a componenti. Le Linee Guida per il governo del rischio informatico di Gruppo definiscono : Fasi del processo di governo del Rischio Informatico; Ruoli e responsabilità degli Organi Societari e delle Funzioni aziendali coinvolte; Flussi di aggiornamento verso gli Organi Aziendali. La Funzione di Sicurezza Informatica conduce in modo autonomo un'analisi periodica del Rischio di Sicurezza Informatica e contribuisce, con questa, al processo integrato del più generale Rischio Informatico. 5

I principali interventi definiti nel contesto di Intesa Sanpaolo Modello dei controlli di sicurezza informatica (1 di 2) Il Gruppo Intesa Sanpaolo ha aggiornato e formalizzato il modello di gestione dei controlli interni in ambito Sicurezza Informatica: Compliance Capitolo 7 - Circolare 263; Regolamento del Sistema dei Controlli Interni Integrato, documento di governance che definisce le responsabilità, modalità di coordinamento e i flussi informativi degli Organi e delle funzioni con compiti di controllo. 6

I principali interventi definiti nel contesto di Intesa Sanpaolo Modello dei controlli di sicurezza informatica (2 di 2) Normativa Esterna ISO27001 PCI-DSS Circolare 263 Presidio e Analisi Mitiga Integrazione normativa interna Definizione dei controlli Impatti Generano Vulnerabilità Possono sfruttare Minacce interne ed esterne Identifica 7

I principali interventi definiti nel contesto di Intesa Sanpaolo Integrazione tra i processi di Incident e Crisis Management Intesa Sanpaolo ha avviato una serie di attività di adeguamento atte a rafforzare il processo di ICT Security Incident Management: Componenti del modello operativo ISP-CERT ISP-CERT Obiettivi Istituzione di un Computer Emergency Response Team (CERT) interno; Servizi e procedure Preparazione e prevenzione Organizzazione e risorse Risorse e Competenze Tecnologia Ticketing system Governo Policy interne Presidio costante, mediante un'attività di intelligence, dell'evoluzione degli scenari di attacco allo scopo di individuare ed anticipare le possibili minacce; Rilevazione Analisi Risposta Ripristino Ruoli e responsabilità Organizzazione Knowledge DB Sistema gestione chiavi Infrastruttura Access control Indicatori Cruscotto gestionale Raccordo del CERT con gli altri presidi interni ad Intesa per la gestione degli incidenti (es. Incident Management, MOGC, SOC, etc.); Indirizzo dell'attività di estensione delle modalità operative individuate a tutte le Società del Gruppo Intesa Sanpaolo. Abilitatori e Strumenti Information Sharing Affiliiazioni / Certificazioni Command & Control model Threat Intelligence Standard Esercitazioni Componenti 8

Le modalità di attuazione sulla Banche e Società del Gruppo Modalità di gestione e piano di roll-out Intesa Sanpaolo ha avviato un programma strutturato per assicurare il recepimento e il rispetto degli indirizzi di Information Security definiti da Capogruppo da parte delle Banche e delle Filiali estere, garantendo così la coerenza con gli obiettivi strategici sulle tematiche di Information Security definiti a livello di Gruppo Razionali assetti organizzativi accentrati o meno rispetto a Capogruppo vincoli normativi o esigenze di business legate allo specifico contesto modalità operative consolidate nel tempo Modello di Gestione Società con Gestione accentrata Legal Entity per le quali Capogruppo, interagendo con un eventuale Referente di Sicurezza, indirizza in modo centralizzato le tematiche legate alla Sicurezza Informatica, secondo principi e modelli di Governance definiti a livello di Gruppo. Società coordinate e controllate Legal Entity italiane ed estere che indirizzano in modo autonomo, sotto il controllo del proprio Responsabile di Sicurezza, le tematiche legate alla Sicurezza Informatica, ma sempre tramite il coordinamento e il controllo di Capogruppo che detta i principi di Governance validi a livello di Gruppo Perimetro di applicazione 74 Banche e Società Italiane 15 Uffici di Rappresentanza 13 Filiali Corporate 12 Banche Estere 3 Banche Corporate 9

Conclusioni Il XV aggiornamento della Circolare 263 ha rappresentato per tutto il settore bancario un'importante opportunità di crescita, specie per quel che riguarda il presidio delle tematiche legate alla sicurezza informatica. identificare in modo tempestivo i possibili rischi ai quali l'organizzazione può essere esposta, in modo da intraprendere le necessarie contromisure affinché questi risultino accettabili; definire un approccio risk-based per la gestione dei sistemi informativi indirizzando, in modo opportuno, investimenti e strategie; monitorare costantemente l'efficacia delle misure di sicurezza implementate, avendo una visione consapevole degli scenari di minaccia non solo interni, ma anche esterni; costruire un'efficace e concreta difesa partendo dalle informazioni riguardanti gli attacchi subiti; comunicare direttamente con il business ed ottenere ulteriore commitment sulle tematiche legate all'information Technology. 10

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back