Presentazione di PowerPoint - PowerPoint PPT Presentation

About This Presentation
Title:

Presentazione di PowerPoint

Description:

Title: Presentazione di PowerPoint Author: YPSWRAN Last modified by: Dott. Antonio Caricato Created Date: 2/10/2003 12:04:59 PM Document presentation format – PowerPoint PPT presentation

Number of Views:166
Avg rating:3.0/5.0
Slides: 37
Provided by: YPSW
Category:

less

Transcript and Presenter's Notes

Title: Presentazione di PowerPoint


1
Il rischio accettato
Giusto bilanciamento fra rischio e costo delle
contromisure
Ing. Anthony Cecil Wright, Direzione Risk
Management BCM Presidente ANSSAIF
2
Un caso recente
3
(No Transcript)
4
Ora
5
Mi domando
  • Erano insufficienti le misure di rilevazione e di
    spegnimento dellincendio?
  • Oppure, non era presente il numero minimo di
    persone richiesto per gestire lemergenza?
  • E se fosse così, lAssicurazione paga, o solleva
    eccezioni?
  • Il piano di esodo e gestione della crisi era mai
    stato provato?
  • Le persone presenti quella notte, avevano avuto
    lopportuno training?

6
Basilea
7
Uno dei casi ricordati dal Comitato era il 1995,
la Barings aveva 303 anni
8
Basilea le cause dei fallimenti
9
Una domanda
In Azienda c'è la dovuta sensibilità alla
Sicurezza? Ci sono i dovuti investimenti?
10
Gli investimenti negli ultimi anni
  • Prevalentemente investimenti nel rifacimento dei
    sistemi informativi (euro anno 2000 Mergers
    Acquisitions logistica ecc.) e poco in
    Sicurezza ICT (tra l1 ed il 3 del budget)
  • Nei prodotti e canali di comunicazione con il
    Cliente, nella maggior parte dei casi, non si
    sono privilegiati gli aspetti di sicurezza.
  • Si è investito in sistemi ERP per il recupero di
    produttività, ma non ci si è resi conto che la
    Sicurezza è indispensabile per raggiungere gli
    obiettivi.

11
Riacquisire la fiducia da parte del consumatore
  • Restoring the integrity of the fiduciary
    relationship is absolutely essential to business
    at this time.
  • (Eliot Spitzer HBR may 2004)

12
Perché tante perplessità nellinvestire in
sicurezza?
  • Provo a citarne alcune possibili cause
  • La sicurezza non è ancora diffusamente percepita
    in azienda come un plus.
  • Insufficiente conoscenza dei rischi ICT da parte
    del Vertice Aziendale e dei dipendenti (cfr.
    risultanze dello Psychological Risk Assessment
    della Soc.NTS)
  • Ancora poche aziende eseguono annualmente
    unanalisi approfondita del rischio ICT.
  • La gestione del rischio ICT in azienda, dal punto
    di vista metodologico ed organizzativo, non è
    ancora allo stesso livello degli altri rischi
    (credito, mercato, tasso, ecc.).

13
Perché tante perplessità nellinvestire in
sicurezza?
  • Assenza di dati quantitativi a livello italiano
    assenza di rilevazioni sistematiche su un
    campione rappre-sentativo di aziende
  • Omessa denuncia, in diversi casi, dei sinistri
    informatici subiti
  • Scarsa diffusione di una raccolta sistematica
    degli incidents a livello aziendale
  • Le spinte esogene sono ancora insufficienti.
  • Anche i consumatori non percepiscono ancora il
    beneficio derivante da robuste misure di sicurezza

14
Perché tante perplessità nellinvestire in
sicurezza?
  • Assenza di metodi e standard per la
    quantizzazione del rischio-ritorno.
  • Non è ancora applicato uno standard accettato e
    chiaro che leghi fra loro risk analysis,
    business continuity, business impact analysis,
    crisis management,

15
Cosa fare?
  • The real challenge is to integrate all the
    different operational risk components in a
    consistent and efficient way.
  • (da Operational Resilience The Art of Risk
    Management IBM)

16
Come?
vi espongo la mia idea...
17
Come?
  • Migliorare il livello di comunicazione delle
    esigenze di investimenti in Sicurezza attraverso
  • Una migliore chiarezza dei rispettivi ruoli dei
    principali attori in azienda
  • Un metodo in grado di fornire stime di possibili
    perdite economiche il più possibile attendibili
  • La valutazione di ipotesi alternative, fra le
    quali laccettazione del rischio residuo
  • Un processo di individuazione delle soluzioni,
    semplice, fattibile, condiviso a livello
    aziendale.

18
1. Chiarire i ruoli La Business Continuity
  • E necessario un Business Continuity Manager?
  • Se sì, chi è? In quale struttura è collocato?
  • Chi indica la metodologia da utilizzare per la
    B.C.M?
  • Lanalisi del rischio ICT è inclusa nella BCM?
  • Chi fornisce le probabilità daccadimento?
  • Chi fa il calcolo costi / benefici delle diverse
    soluzioni a mitigazione del rischio?

19
La Business Continuity
20
Banca dItalia Sistema dei controlli interni
  • I controlli di linea, diretti ad assicurare il
    cor-retto svolgimento delle operazioni. Essi sono
    effettuati dalle stesse strutture produttive ()
  • I controlli sulla gestione dei rischi, che hanno
    lobiettivo di concorrere alla definizione delle
    metodologie di mitigazione del rischio, () di
    controllare la coerenza delloperatività delle
    singole aree produttive con gli obiettivi di
    ri-schio-rendimento assegnati. Essi sono affidati
    a strutture diverse da quelle produttive
  • Lattività di revisione interna, volta a
    individu-are andamenti anomali, ().

21
I ruoli una macro ipotesi, per discussione
  • Security Manager
  • Sviluppo e gestione degli strumenti e metodi a
    protezione degli asset vulnerability assessment
    partecipazione in tutte le attività di
    pianificazione, controllo e test.
  • Global Risk Management
  • Metodologia, indicatori.
  • Organizzazione
  • Normativa, processi, ICT risk analysis, crisis
    management, definizione soluzioni recovery e
    resumption.

22
I ruoli
  • Sistemi Informativi
  • Definizione, pianificazione e test del Piano di
    Disaster Recovery coinvolgimento in tutte le
    attività di analisi e pianificazione.
  • Business Units
  • Definizione possibili perdite definizione ed
    aggiorna-mento dei processi critici
    partecipazione nelle fasi di scelta delle
    contromisure formazione / informazione del
    personale relativamente ai piani di gestione
    della continuità validazione dei test dei piani.
  • R.U., Legale, Comunicazione, I.A.
  • Partecipazione in tutte le fasi di definizione e
    pianificazione.

23
2. Dati quantitativi la valutazione dei sinistri
  • Per una stima della probabilità di accadimento di
    un sinistro e per la valutazione del possibile
    danno, ci servono dei dati di base. Esistono?
  • Italia
  • LFTI, in collaborazione con SPACE-Univ. Bocconi,
    pubblica annualmente lOsservatorio Criminalità
    ICT
  • lInternational Crime Analysis Association esegue
    da qualche tempo uno studio approfondito.
  • Da oltre otto anni negli USA cè lindagine
    CSI/FBI, ricco anche di dati economici, ed
    analoga esiste da due anni in Australia (AusCert
    e polizia federale).
  • Negli UK abbiamo degli studi della
    PriceWaterhouse-Coopers e NHTCU (Scotland Yard).

24
Un esempio
25
I dati quantitativi
  • Una valutazione qualitativa, ripetuta
    annual-mente, delle possibili perdite economiche,
    su-bibili dallazienda e suddivise per tipologia
    di evento, è assolutamente indispensabile.
  • La valutazione qualitativa è basata su una
    autovalutazione dei responsabili delle business
    units e dei process owners, secondo una
    me-todologia basata su standard generalmente
    accettati.
  • Lautovalutazione, però, tende a sovrastimare le
    perdite economiche del proprio ambito.

26
I dati quantitativi
  • I dati dellautovalutazione devono essere perciò
    confrontati con dati quantitativi.
  • Tali dati devono provenire da loss collection
    interna allazienda e da basi dati esterne.
  • Solo da tale confronto, si può auspicare di
    giungere ad una valutazione abbastanza oggettiva
    delle possibili perdite economiche a fronte di
    eventi dannosi che, sfruttando delle
    vulnerabilità, colpiscano le risorse a supporto
    dei processi di business.

27
I dati quantitativi un possibile metodo
  • Se
  • EL qualitativa gtgtgt EL quantitativa ?
    ElqualElquant
  • Se
  • ElqualitatitivaltltEL quantitativa? esame cause

28
Dati quantitativi un possibile metodo
  • Stima della possibile perdita massima
  • ELmax(e)SiSt(?(i)xLmax(i,t)/C(e,i,t)) / m x n
  • Ove (i1,m), (t1,n) Lmax perdita massima
    regi-strata al tempo t, dallindagine i, per
    levento e, pon-derata con il peso ? e
    C(e,i,t)n.totale casi denunciati.
  • ELmed(e) SiSt(?(i) x Lmed(i,t) / m x n
  • Ove (i1,m), (t1,n) Lmed perdita media
    regi-strata al tempo t, dallindagine i, per
    levento e, pon-derata con il peso ?.
  • ELtot(e) ELmax(e) ELmed(e) x p(e)
  • Ove p(e) è la probabilità di accadimento
    dellevento e
  • p(e) SiSt (?(i) x F(i,t)), ove F frequenza
    evento e rilevata al tempo t per lindagine i.

29
Dati quantitativi un possibile metodo
  • Quello riportato rappresenta una possibile
    moda-lità di stima della possibile perdita
    economica per tipologia di evento e lho
    riportata per provocare il dibattito.
  • Ai dati quantitativi menzionati, si devono
    aggiun-gere dei Key Performance Indicators
    necessa-ri a tenere sotto osservazione i fenomeni
    e a formulare previsioni di possibili perdite
    econo-miche.

30
Esempio di calcolo Stima della probabilità di
accadimento
  • Media delle frequenze
  • Riportate dalle indagini
  • Nhtcu UK (2002)
  • Auscert (2002-2003)
  • Csi USA (1999-2003)

31
Il processo
Ciclo di sensibilizzazione del personale
dellAzienda alla Sicurezza
Individuazione delle vulnerabilità e delle
possibili perdite economiche Tramite analisi del
rischio ICT sulle risorse
Business Impact Analysis e determinazione dei
processi critici per la Continuità del business
Raffronto con le valutazioni quantitative
Individuazione delle contromisure più idonee e
cost justified
32
Il processo (cont.ne)
Stima di indicatori di rischio (scorecard)
Comunicazione del possibile livello di rischio
attuale e prospettico, Ossia, dopo la messa in
esercizio delle contromisure proposte
Raccolta sistematica e classificazione degli
incidents di ICT security e loro correlazione ai
KPI
Presentazione periodica di rapporti al management
sullandamento del livello di rischio (PD, EL,
ecc.) e sulle azioni in corso
33
Esempio la metodologia IBM
Scenario di Riferimento
34
Conclusione
  • Investimenti in Companys ICT Security
    awareness,
  • una maggiore chiarezza dei ruoli tra Business
    Continuity Manager, Security Manager, Global Risk
    Manager,
  • un processo di Companys Resilience suppor-tato
    da metodi chiari e condivisi,
  • non potranno che migliorare la capacità di
    co-municazione e pianificazione delle esigenze in
    termini di continuità del business, e di qualità
    dei prodotti e dei servizi offerti dallAzienda
    ai suoi Clienti.

35
e ricordiamoci che non esiste solo il BS7799
36
Grazie per lattenzione, e
Write a Comment
User Comments (0)
About PowerShow.com