Presentazione di PowerPoint - PowerPoint PPT Presentation

About This Presentation
Title:

Presentazione di PowerPoint

Description:

Title: Presentazione di PowerPoint Author: Anthony Cecil Wright Last modified by: Anthony Cecil Wright Created Date: 9/14/2004 10:10:27 AM Document presentation format – PowerPoint PPT presentation

Number of Views:41
Avg rating:3.0/5.0
Slides: 32
Provided by: AnthonyCe
Category:

less

Transcript and Presenter's Notes

Title: Presentazione di PowerPoint


1
Convegno La Banca Aperta Milano, 14 ottobre 2004
I progetti dellAssociazione
Ing. Anthony Cecil Wright Presidente
2
ANSSAIF
  • Associazione Nazionale degli Specialisti di
    Sicurezza in Aziende di Intermediazione
    Finanziaria.

3
ANSSAIF
  • L'Associazione è stata costituita per perseguire
    i seguenti obiettivi
  • 1) contribuire alla maturazione, in tutte le sedi
    opportune, anche universitarie, della
    consapevolezza dei problemi connessi alla
    necessaria protezione dei beni informatici, dei
    dati e delle informazioni, per garantirne la
    riservatezza, l'integrità e la disponibilità____
    __________________________________________________
    ____________________
  • 2) promuovere studi e ricerche nel campo della
    sicurezza ICT (Information and Communication
    Technology), curando altresì di individuare
    processi e momenti di integrazione della
    sicurezza logica e di quella fisica_____________
    __________________________________________________
    ___________
  • 3) conservare il patrimonio di esperienze
    professionali degli specialisti di sicurezza del
    settore, anche al termine della loro attività
    lavorativa______________________________________
    ____________________________________
  • 4) curare la condivisione di esperienze e
    conoscenze atte a migliorare l'attività
    professionale degli associati___________________
    __________________________________________________
    _____
  • 5) curare la promozione culturale e
    l'aggiornamento dei soci________________________
    __________________________________________________
  • 6) concorrere alla formazione di giovani
    specialisti_____________________________________
    ____________________________________
  • 7) fornire informazioni sulla regolamentazione in
    ordine a tutti gli aspetti concernenti gli
    obblighi delle Aziende e dei Responsabili della
    sicurezza nei confronti delle norme.

4
Premessa
  • I principi ispiratori dei progetti
  • I nuovi progetti costituiscono una pressione non
    indifferente
  • Sulle aziende, sotto il profilo economico ed
    organizzativo
  • Sugli addetti alla Sicurezza e alla Continuità
    operativa
  • Sugli esperti di Organizzazione ed ICT.

5
Domande
  • Le organizzazioni sono strutturate in modo
    ottimale per fare fronte alle nuove sfide?
  • Le metodologie di analisi del rischio operativo
    sono adeguate alle esigenze di valutazione dei
    rischi ICT?
  • Esistono esperienze consolidate di business
    continuity planning and management alle quali
    fare riferimento?

6
I progetti dellAssociazione
  • ANSSAIF, in linea con le indicazioni della Banca
    dItalia ed i progetti dellABI, cerca di dare
    il suo con-tributo, innanzitutto, di information
    sharing a chi si occupa di assicurare la
    continuità dei processi di business ed operativi.

7
I progetti dellAssociazione
  • Information sharing
  • Forum, email, conference call, ecc.
  • B.C. osservatorio sullo stato di avanzamen-to
    nei maggiori gruppi bancari.
  • Security awareness collaborazione tramite un
    osservatorio sulle iniziative di sicurezza in
    Italia ed estero. Costituzione di un labora-torio
    su particolari tecniche di cyber crime.

8
I progetti dellAssociazione
  • Inoltre, un contributo a chi già si sta occupando
    di questi temi.
  • Basilea 2 Lanalisi del rischio ICT
  • Stima della probabilità di accadimento e della
    possibile perdita economica, quale contributo
    alla cost justification.
  • Proposta di creazione di indicatori di
    benchmarking sullo stato della Sicurezza ICT in
    banca.

9
Costruzione di indicatori sullo stato della
Sicurezza ICT
  • Lindicatore di rischio ICT di sistema viene
    proposto in due modi
  • A livello totale, per analisi andamentale
  • A livello di media, per raffronti interni da
    parte di ogni azienda.

10
Costruzione di indicatori sullo stato della
Sicurezza ICT
  • Lindicatore citato può essere calcolato con un
    prodotto, definito a livello di sistema, che
    ponga domande identiche, per gli stessi ambienti
    infor-matici ed informativi scelti, a tutte le
    banche partecipanti.
  • ANSSAIF sta attualmente eseguendo una
    sperimentazione fra alcuni partecipan-ti.

11
Ipotesi indici di raffronto
Banche / punt. medio Generale M1550 Dettaglio Policy67 D/R 90
A 1234 24 34
B 1670 97 45

12
Domanda
  • Nellesempio presentato, la Banca A potrebbe
    avere uno sconto sugli accantonamneti per
    rischio operativo?

13
Basilea 2 Lanalisi del rischio ICT.
  • Servono informazioni che, ad esempio, nellarea
    crediti già esistono
  • La probabilità di avere perdite,
  • Lammontare della possibile perdita,
  • La probabilità che proprio quello sia lammontare
    della perdita.
  • Chi ci dà questa informazione?
  • Il passato? Ossia, la loss collection?
  • Quanti eventi ICT risultano in tale DB?

14
Probabilità di subire una perdita di ammontare X
15
Perdita X
16
Probabilità perdita media
17
La Business Continuity.
  • La Banca dItalia ha inviato una lettera,
    contenente linvito a seguire le condi-vise linee
    guida sulla continuità opera-tiva, ed un
    questionario per conoscere lo stato dellarte nel
    tema in oggetto.
  • ANSSAIF ha condotto una prima piccola indagine
    fra i propri soci per conoscere come le banche
    stanno procedendo. Le risultanze vengono qui di
    seguito rap-presentate in estrema sintesi.

18
Lindagine ANSSAIF Quali scelte al momento in
tema BC?
  • Il progetto è stato avviato, la conduzione è
    nella capo gruppo nellambito Organizzazione /
    Sistemi Informativi (il D/R nella Società di IT).
  • Lo Sponsor del progetto è stato generalmen-te
    definito a livello DG o AD.
  • Viene nominato un BCM generalmente in ambito Capo
    Gruppo / Holding, con referenti nelle UU.OO. e
    Società del gruppo (questi, a volte, sono i
    responsabili della Sicurezza).
  • La figura del BCM e BCP a volte non coincide.

19
Quali scelte al momento in tema BC? (cont.ne)
  • Viene eseguita una risk analysis preliminare.
  • Vengono censiti e classificati tutti i processi.
  • Sono coinvolte pienamente le UU.OO.
  • Priorità di soluzione viene al momento data ai
    processi di sistema e al D/R.
  • I Comitati di Crisi vengono costituiti sia a
    livello di Capo Gruppo che di singola Società.
  • Comitati snelli. Più enfasi sugli emergency
    Team.
  • Approccio pragmatico, con forte coinvolgimen-to
    delle funzioni aziendali competenti.

20
Quali scelte al momento in tema BC? (cont.ne)
  • Forte integrazione fra R.U., Orga., IT, B.U., e
    Risk Management.
  • Stretta collaborazione con gli outsourcer,
    supportati da società di consulenza
    specia-lizzate.
  • Alcuni hanno scelto una Società per impostare il
    progetto e la BIA, ed unaltra per
    lindividua-zione delle possibili soluzioni.
  • Elevato coinvolgimento del CdA.
  • Investimenti iniziali previsti molto elevati (da
    15 a 40 mil.).

21
Ma, che in realtà cosè la B.C.?
BCI- Business Continuity Institute
22
Cambiamenti organizzativi
  • Un grande gruppo bancario ha eseguito un
    benchmarking delle soluzioni organizzative per la
    Sicurezza (ICT e fisica) e la B.C.
  • I soci ANSSAIF hanno esaminato lo studio ed hanno
    discusso su quale dovrebbe essere lindirizzo
    auspicato.

23
Tre modelli 1) CSO
  • Dal punto di vista organizzativo si osservano tre
    modelli di riferimento
  • La costituzione di una struttura organizzativa ad
    hoc dipendente direttamente dal CEO e/o dal BoD,
    presieduta da un Chief Security Officer (CSO),
    chiamato anche Global Security Officer, che ha la
    responsabilità globale della sicurezza (interna,
    esterna, fisica, logica, personale), sia per la
    componente strategica/di governo che operativa

24
2) CISO
  • La gestione della sicurezza logica allinterno di
    strutture IT, con la costituzione di un Chief
    Information Security Officer (CISO), dipendente
    direttamente dal CIO, che ha la responsabilità
    della protezione delle informazioni e,
    eventualmente, di altri aspetti strettamente
    correlati, quali, ad esempio, la sicurezza
    fisica, la pianificazione e sviluppo delle
    architetture di sicurezza, gli incidenti
    informatici

25
3) misto
  • La centralizzazione delle funzioni di controllo
    strategico della sicurezza in una struttura
    esistente in staff al CEO (ad esempio nella
    struttura di Risk Management, ove questa è
    preposta al governo dei rischi) responsabile
    della definizione delle policy, delle priorità e
    delle linee guida per tutto il Gruppo, con la
    costituzione di un Comitato di controllo cui è
    demandata la responsabilità sul rischio,
    delegando la parte di governo operativo al CISO,
    per la parte IT, oppure ad altre strutture
    operative (ad esempio la Logistica) preposte al
    presidio delle diverse tipologie di rischio

26
Quale formulazione?
  • Innanzitutto, come anche ribadito dallABI, è
    poco produttivo considerare ancora separate le
    due sicurezze.
  • B.C., significa definire le misure preventive, di
    emergenza e di ripristino che consentano di
    fronteggiare efficacemente i rischi di business
    interruption.
  • E ciò in base allanalisi dei rischi, alla
    determi-nazione delle vulnerabilità, alla
    valutazione dellimpatto economico, legale,
    reputazionale, derivante dal verificarsi di
    eventi anche disastrosi che sfruttino le
    vulnerabilità esistenti.

27
Conclusione
  • Continuità operativa, sicurezza ICT e sicurezza
    fisica sono tesi ad un comune indirizzo, e quindi
    preferibilmente sotto un unico respon-sabile.
  • Il Risk management indica, ed aggiorna,la
    metodologia e gli strumenti di analisi.
  • Dove posizionare la struttura di Sicurezza e B.C.
    è una scelta aziendale. Ciò che è importante è
    che abbia credibilità.
  • Il personale deve provenire da non trascurabili
    esperienze in ICT, Organizzazione, Auditing, e
    Forze di Polizia.

28
Cyber CrimeIl rischio è anche dallinterno
  • Infatti
  • Ignoranza,
  • Disattenzione,
  • Complicità,
  • possono aiutare bande criminali esterne. Come
    combatterle? Quanto bisogna investire?
  • Non più di quanto si possa credere.

29
Che fare?
  • La via è quella che in modo naturale abbiamo già
    avviato
  • Investire a migliorare linformativa su quello
    che avviene anche allestero (la news letter è
    uno di questi mezzi laltro è quello che abbiamo
    chiamato laboratorio)
  • Stimolare la raccolta di dati sugli incidents
  • Continuare sulla strada delle sinergie con
    Associazioni, Enti ed Università.

30
Conclusione dellintervento
  • Linformation sharing è il nostro primo
    obiettivo, e utilizziamo
  • news letter,
  • studi e ricerche,
  • Conference call per soluzioni,
  • Email, per rapide risposte,
  • Convegni dei soli soci con relatori sia interni
    che esterni,
  • Forum su internet.

31
Ho concluso
  • Grazie per la vostra cortese attenzione.
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Presentazione di PowerPoint" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!