Risk Management Using

Похожие документы
Approccio alla gestione del rischio

HSE Manager. L Integrazione delle analisi di rischio tipiche del ruolo con i processi di risk management aziendali

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

MEGA Process Oriented & Risk Driven Solution

ITIL e PMBOK Service management and project management a confronto

Pubblicazioni COBIT 5

SERVICE MANAGEMENT E ITIL

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

La Governance come strumento di valorizzazione dell'it verso il business

FORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t

Cybersecurity per la PA: approccio multicompliance Sogei

Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

COBIT 5 for Risk Workshop. Comprensivo dell utilizzo di Risk Scenarios: Using COBIT 5 for Risk

Introduzione a COBIT 5 for Assurance

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

ENTERPRISE RISK MANAGEMENT IL PUNTO DI VISTA DI SAS

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice

UX-PM level 1: Adopting UX

KeyMap Analisi del Rischio

Consulenza e Software, insieme per la certificazione ISO : presentazione di un caso reale

SharePoint Governance

Operations Management Team

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

Gestione dei rischi di progetto

COBIT 5 for Risk Marco Salvato

ISO 50001: uno strumento di efficienza e sostenibilità

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

L OUTSOURCING IT: BEST PRACTICE E AUDITING

Processo di gestione del rischio d informazione finanziaria

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

Il Continuous Auditing come garanzia di successo dell IT Governance

AXXEA INNOVATION, TECHNOLOGY & BUSINESS

Kit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.

Università di Macerata Facoltà di Economia

Associazione Italiana Information Systems Auditors

Third Party Assurance Reporting

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA BS Sistemi Informativi S.p.A.

LA GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI A TUTELA DEL PATRIMONIO AZIENDALE

IBM - IT Service Management 1

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

SAFER, SMARTER, GREENER

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

Qualification Program in Information Security Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

Assicurazioni Generali S.p.A. La presentazione è stata realizzata da Assicurazioni Generali ed è riservata esclusivamente ai soci CeTIF.

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Il cambiamento nelle organizzazioni

Un'efficace gestione del rischio per ottenere vantaggi competitivi

TÜV Rheinland Italia

IDENTIFICAZIONE DEGLI EVENTI. Corso di risk management Prof. Giuseppe D Onza

Risk Governance: disegno e funzionamento

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

IL MODELLO CAF GENERALITA E STRUTTURA

Software. Engineering

Percorso professionalizzante Internal audit in banca

I contenuti e i vantaggi della certificazione ISO in relazione agli obblighi del Dlgs 102/2014

Procedure di Adeguamento SGA ISO 14001:2015 Indicazioni Operative. N. Anzalone - Milano

KPIs, informazione non-finanziaria e creazione di valore aziendale: confusione o convergenza?

ISO 9001:2015 LA STRUTTURA DELLA NORMA

La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001

Транскрипт:

Risk Management Using Paolo Bocchiola Sessione di studio Torino 28/11/2013

Agenda Definizione Risk Appetite Risk Management Using COBIT5 for Risk Risk Function perspective Risk Management perspective Risk response Benefici http://www.isaca.org/cobit/pages/risk-product-page.aspx 2

Allienamento con gli Standard Cobit5 for Risk è un framework in grado di supportare gli standard di mercato nella definizione delle procedure di Risk Management ISO 31000:2009 Cobit5 for Risk copre tutti i principi di questo standard con i propri enablers, e ne espande i concetti per quanto concerne IT Risk Management ISO 27005:2011 Cobit5 for Risk considera tutti i rischi e non solo quelli legati ad InformationSecurity. Inoltre definisce enfatizzandoli i processi di allinemento con gli obbiettivi di business. CoSO-ERM Cobit5 for Risk, seppure meno focalizzato sui controlli, copre tutti i principi di questo standard e ne espande i concetti per quanto concerne nell utilizzo dei modelli di governance nell enterprise 3

IT Risk Definition Un rischio è genericamente definito come la combinazione di una probabilità di un evento e dell impatto delle sue conseguenze. (ISO Guide 73) IT Risk o Rischio IT è il Rischio Operativo associato all uso, al possesso, al coinvolgimento operativo, all influenza ed alla adozione della IT nel contesto aziendale. Il Rischio IT non è solo Information Security ma può colpire ogni processo. 4

Risk Appetite Avverso Risk Appetite o la propensione al rischio rappresenta il livello di rischio che un organizzazione è disposta ad accettare in assenza di ogni azione richiesta per minimizzarla. Minimo Il Risk Appetite di ogni singola azienda è una decisione strategica del management e si può classificare con i seguenti livelli: Cauto La propensione al rischio è uno dei pilastri dell imprenditoria: nei secoli solo chi ha saputo rischiare in modo calcolato ha ottenuto il massimo dei profitti portando innovazione e ridefinendo il mercato. Affamato Aperto 5

Risk Management Possiamo suddividere IT RISK nelle seguenti categorie Associato con le mancate opportunità di usare le nuove tecnologie per migliorare l efficienza del business o per aprire a nuove iniziative Associato con Il contributo che IT può dare al business in termini di nuovi processi e progetti di investimento Associato con tutti gli aspetti del business as usual dei sistemi e dei servizi IT che possono portare al danneggiamento o alla riduzione del valore d impresa. 6

Ciclo del Rischio IT Governance Management 7

Risk Management Le procedure di IT Risk management si possono riassumere in queste cinque macro funzioni: Identificare Proteggere Rilevare Far crescere nell organizzazione la coscienza della gestione dell IT Risk e del sui impatto sui sistemi, sugli assets, sui dati e sulle capacità operative. Sviluppare ed implementare le appropriate contromisure atte a mitigare i rischi nell effettuazione dei servizi critici di un azienda,seguendo le priorità stabilite nel processo aziendale di risk management Sviluppare ed implementare i meccanismi di identificazione di possibili minacce. Rispondere Sviluppare ed implementare le attività necessarie per rispondere ad un attacco, seguendo le priorità stabilite nel processo aziendale di risk management. Ripristinare Sviluppare ed implementare le attività necessarie per riprendere i processi ed I servizi critici che sono stati oggetto di un incidente, seguendo le priorità stabilite nel processo aziendale di risk management. COBIT5 for Risk applica i principi generali di COBIT secondo lo schema: 8

COBIT5 for Risk COBIT5 for Risk permette di raggiungere il risultato di gestire il rischio IT dando due prospettive Risk Function perspective: che descrive cosa è necessario per costruire e sostenere un processo aziendale di governo e gestione dei principali rischi Risk Management perspective: che descrive come i processi di governo e gestione definiti possano essere utilizzati per identificare, proteggere, rilevare, rispondere, e ripristinare i processi critici su base giornaliera. 9

Risk Function Perspective Nella RISK Function Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l uso degli Enablers 10

Processi COBIT di Supporto 11

Risk Management Perspective Nella RISK Management Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l uso di: Dei processi principali di IT Risk Management, che devono essere utilizzati per implementare procedure efficaci di risk management che forniscano valore aggiunto per gli Stakeholders Questi processi contengono le attività di Risk Function e: They support the enterprise in obtaining stakeholder value and enterprise objectives while optimising resources and risk 12

Risk Management Perspective Nella RISK Management Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l uso di: Dei processi principali di IT Risk Management, che devono essere utilizzati per implementare procedure efficaci di risk management che forniscano valore aggiunto per gli Stakeholders Dei cosiddetti Risk Scenarios, ossia dei possibili fattori di rischio che danno una misura immediata dello stesso. I cosiddetti Risk Scenario sono una descrizione dei possibili eventi che se si verificano possono avere un impatto non determinabile sugli obbiettivi aziendali. Sappiamo che possiamo definire gli scenari partendo dalla figura qui sopra in cui l elenco completo dei possibili scenari può essere ottenuto combinando tutti i possibili fattori 13

Risk Management Perspective Nella RISK Management Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l uso di: Dei processi principali di IT Risk Management, che devono essere utilizzati per implementare procedure efficaci di risk management che forniscano valore aggiunto per gli Stakeholders Dei cosiddetti Risk scenarios, ossia dei possibili fattori di rischio che danno una misura immediata dello stesso. I possibili scenari ottenuti dalla combinazione delle tipologie descritte sopra sono 111 suddivisi in 20 categorie e sono tutti riportati in COBIT 5 For Risk. Come descritto in precedenza uno scenario di rischio può diventare un opportunità se si considerano gli aspetti positivi. 14

Risk Management Perspective Nella RISK Management Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l uso di: Dei processi principali di IT Risk Management, che devono essere utilizzati per implementare procedure efficaci di risk management che forniscano valore aggiunto per gli Stakeholders Dei cosiddetti Risk scenarios, ossia dei possibili fattori di rischio che danno una misura immediata dello stesso. Dei COBIT 5 enablers, che devono essere usati per mitigare il rischio. 15

Si ma in pratica? Occorre definire un workflow e COBIT5 for Risk ci dice come: 1) Valuta tutti gli scenari indicati da COBIT 2) Fai un assessement degli scenari con gli obbiettivi del Management 3) Definisci una Risk Map. 4) Valuta con il management se i rischi eccedono la propensione 5) Aggiungi degli scenari non previsti ma possibili 6) Ripeti l assessment ad intervalli regolari, dettati dalla priorità data allo scenario 16

Risk Assessment Definiti gli scenari COBIT 5 ci permette di fare un risk assessment e di calcolare probabilità ed impatto, utilizzando per il secondo anche grandezze eterogeene 1. Occorre definire una frequenza su base annua Anualized Rate of Occurency (ARO) 2. Occorre definire con il business delle categorie di impatto. Single Loss Expectation (SLE) Il prodotto ARO* SLE è ciò che deve essere notificato al Senior Management ARO * SLE = ALE (Anualized Loss Expectation) Ovviamente più il valore ottenuto è alto più il Rischio è Critico. 17

Risk Assessment Dai Process Enablers mi è facile definire tutti i componenti usando come riferimento il capitolo 5 del manuale COBIT 5 Enabling IT Related Goals and Metrics Process Goals and Metrics 18

Si ma in pratica? Dai Process Enablers mi è facile definire tutti i componenti usando come riferimento il capitolo 5 del manuale COBIT 5 Enabling IT Related Goals and Metrics Process Goals and Metrics RACI Charts Mappings 19

Risk Assessment Dai Process Enablers mi è facile definire tutti i componenti usando come riferimento il capitolo 5 del manuale COBIT 5 Enabling IT Related Goals and Metrics Process Goals and Metrics RACI Charts Mappings Input/output e Activities dei singolo sottoprocesso. 20

Si ma in pratica? A questo punto ho tutti i parametri per definire con il managment il cosiddetto Risk Response Workflow Posso decidere che tipo di risposta dare al mio scenario di rischio Posso decidere quali parametri utilizzare per gestire il rischio Posso decidere la priorità con cui affrontare i rischi derivati dagli scenari 21

Risk Response Posso ora riportare al management i dati del mio Inherent risk e sulla base del loro Risk Appetite definire una Risk Tollerance. Se il rischio deve essere gestito allora occorre definire i cosiddetti Key Risk Indicators (KRI) I Key Risk Indicators devono essere implementati nei processi per fornire puntualmente lo stato di esposizione ad un particolare rischio e fornire un utile indicazione al management. Il calcolo dei KRI è un processo continuo che deve essere implementato a livello operativo e la cui verifica deve essere fatta dal mamagement. Key Risk High Level KRI Calculation Amber Red Number of systems in scope for entitlement Entitlement review reviews for which the entitlements have not been reviewed on time Functional ID inventory Percentage number of missing functional ID s within Ffunctional ID inventory FID entitlement review Calculate percentage number of Functional IDs not being reviewed. Joiners Information Security Number of New Hires not having met the Training Mandatory IS training requirements after 90 days Leavers Information Security Number of leavers with no IS Exit Checklist Exit Checklist completed Independent Audit log Percentage of Severs/devices/instances without Review function independant audit trail log review Audit tool/facility - Log Percentage of unjustified exceptions within the Review exceptions appropriate period. Control Frequency 0 1 Semiannual 3% 5% Monthly 3% 5% Monthly 0 1 Monthly 0 1 Monthly 3% 5% Monthly 3% 5% Monthly 22

Benefici COBIT definisce la misura del livello di maturità oltre che con i risk indicators anche con i Capability Levels. Per ottenere questo ricorro al process assessment (PAM) di Cobit. Posso analizzare ogni singolo processo e definire il livello di attuazione di Best Practices e work products, ricavate dagli enablers dei processi per determinare il capability level 23

QUESTIONS & COMMENTS Paolo Bocchiola Senior Consultant IT Risk Management/IT Auditing +393357492587 paolo@paolobocchiola.com www.paolobocchiola.com

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back