Presentazione di PowerPoint

1
Il rischio accettato
Giusto bilanciamento fra rischio e costo delle
contromisure
Ing. Anthony Cecil Wright, Direzione Risk
Management BCM Presidente ANSSAIF
2
Un caso recente
3
(No Transcript)
4
Ora
5
Mi domando

• Erano insufficienti le misure di rilevazione e di
  spegnimento dellincendio?
• Oppure, non era presente il numero minimo di
  persone richiesto per gestire lemergenza?
• E se fosse così, lAssicurazione paga, o solleva
  eccezioni?
• Il piano di esodo e gestione della crisi era mai
  stato provato?
• Le persone presenti quella notte, avevano avuto
  lopportuno training?

6
Basilea
7
Uno dei casi ricordati dal Comitato era il 1995,
la Barings aveva 303 anni
8
Basilea le cause dei fallimenti
9
Una domanda
In Azienda c'è la dovuta sensibilità alla
Sicurezza? Ci sono i dovuti investimenti?
10
Gli investimenti negli ultimi anni

• Prevalentemente investimenti nel rifacimento dei
  sistemi informativi (euro anno 2000 Mergers
  Acquisitions logistica ecc.) e poco in
  Sicurezza ICT (tra l1 ed il 3 del budget)
• Nei prodotti e canali di comunicazione con il
  Cliente, nella maggior parte dei casi, non si
  sono privilegiati gli aspetti di sicurezza.
• Si è investito in sistemi ERP per il recupero di
  produttività, ma non ci si è resi conto che la
  Sicurezza è indispensabile per raggiungere gli
  obiettivi.

11
Riacquisire la fiducia da parte del consumatore

• Restoring the integrity of the fiduciary
  relationship is absolutely essential to business
  at this time.
• (Eliot Spitzer HBR may 2004)

12
Perché tante perplessità nellinvestire in
sicurezza?

• Provo a citarne alcune possibili cause
• La sicurezza non è ancora diffusamente percepita
  in azienda come un plus.
• Insufficiente conoscenza dei rischi ICT da parte
  del Vertice Aziendale e dei dipendenti (cfr.
  risultanze dello Psychological Risk Assessment
  della Soc.NTS)
• Ancora poche aziende eseguono annualmente
  unanalisi approfondita del rischio ICT.
• La gestione del rischio ICT in azienda, dal punto
  di vista metodologico ed organizzativo, non è
  ancora allo stesso livello degli altri rischi
  (credito, mercato, tasso, ecc.).

13
Perché tante perplessità nellinvestire in
sicurezza?

• Assenza di dati quantitativi a livello italiano
  assenza di rilevazioni sistematiche su un
  campione rappre-sentativo di aziende
• Omessa denuncia, in diversi casi, dei sinistri
  informatici subiti
• Scarsa diffusione di una raccolta sistematica
  degli incidents a livello aziendale
• Le spinte esogene sono ancora insufficienti.
• Anche i consumatori non percepiscono ancora il
  beneficio derivante da robuste misure di sicurezza

14
Perché tante perplessità nellinvestire in
sicurezza?

• Assenza di metodi e standard per la
  quantizzazione del rischio-ritorno.
• Non è ancora applicato uno standard accettato e
  chiaro che leghi fra loro risk analysis,
  business continuity, business impact analysis,
  crisis management,

15
Cosa fare?

• The real challenge is to integrate all the
  different operational risk components in a
  consistent and efficient way.
• (da Operational Resilience The Art of Risk
  Management IBM)

16
Come?
vi espongo la mia idea...
17
Come?

• Migliorare il livello di comunicazione delle
  esigenze di investimenti in Sicurezza attraverso
• Una migliore chiarezza dei rispettivi ruoli dei
  principali attori in azienda
• Un metodo in grado di fornire stime di possibili
  perdite economiche il più possibile attendibili
• La valutazione di ipotesi alternative, fra le
  quali laccettazione del rischio residuo
• Un processo di individuazione delle soluzioni,
  semplice, fattibile, condiviso a livello
  aziendale.

18
1. Chiarire i ruoli La Business Continuity

• E necessario un Business Continuity Manager?
• Se sì, chi è? In quale struttura è collocato?
• Chi indica la metodologia da utilizzare per la
  B.C.M?
• Lanalisi del rischio ICT è inclusa nella BCM?
• Chi fornisce le probabilità daccadimento?
• Chi fa il calcolo costi / benefici delle diverse
  soluzioni a mitigazione del rischio?

19
La Business Continuity
20
Banca dItalia Sistema dei controlli interni

• I controlli di linea, diretti ad assicurare il
  cor-retto svolgimento delle operazioni. Essi sono
  effettuati dalle stesse strutture produttive ()
• I controlli sulla gestione dei rischi, che hanno
  lobiettivo di concorrere alla definizione delle
  metodologie di mitigazione del rischio, () di
  controllare la coerenza delloperatività delle
  singole aree produttive con gli obiettivi di
  ri-schio-rendimento assegnati. Essi sono affidati
  a strutture diverse da quelle produttive
• Lattività di revisione interna, volta a
  individu-are andamenti anomali, ().

21
I ruoli una macro ipotesi, per discussione

• Security Manager
• Sviluppo e gestione degli strumenti e metodi a
  protezione degli asset vulnerability assessment
  partecipazione in tutte le attività di
  pianificazione, controllo e test.
• Global Risk Management
• Metodologia, indicatori.
• Organizzazione
• Normativa, processi, ICT risk analysis, crisis
  management, definizione soluzioni recovery e
  resumption.

22
I ruoli

• Sistemi Informativi
• Definizione, pianificazione e test del Piano di
  Disaster Recovery coinvolgimento in tutte le
  attività di analisi e pianificazione.
• Business Units
• Definizione possibili perdite definizione ed
  aggiorna-mento dei processi critici
  partecipazione nelle fasi di scelta delle
  contromisure formazione / informazione del
  personale relativamente ai piani di gestione
  della continuità validazione dei test dei piani.
• R.U., Legale, Comunicazione, I.A.
• Partecipazione in tutte le fasi di definizione e
  pianificazione.

23
2. Dati quantitativi la valutazione dei sinistri

• Per una stima della probabilità di accadimento di
  un sinistro e per la valutazione del possibile
  danno, ci servono dei dati di base. Esistono?
• Italia
• LFTI, in collaborazione con SPACE-Univ. Bocconi,
  pubblica annualmente lOsservatorio Criminalità
  ICT
• lInternational Crime Analysis Association esegue
  da qualche tempo uno studio approfondito.
• Da oltre otto anni negli USA cè lindagine
  CSI/FBI, ricco anche di dati economici, ed
  analoga esiste da due anni in Australia (AusCert
  e polizia federale).
• Negli UK abbiamo degli studi della
  PriceWaterhouse-Coopers e NHTCU (Scotland Yard).
  

24
Un esempio
25
I dati quantitativi

• Una valutazione qualitativa, ripetuta
  annual-mente, delle possibili perdite economiche,
  su-bibili dallazienda e suddivise per tipologia
  di evento, è assolutamente indispensabile.
• La valutazione qualitativa è basata su una
  autovalutazione dei responsabili delle business
  units e dei process owners, secondo una
  me-todologia basata su standard generalmente
  accettati.
• Lautovalutazione, però, tende a sovrastimare le
  perdite economiche del proprio ambito.

26
I dati quantitativi

• I dati dellautovalutazione devono essere perciò
  confrontati con dati quantitativi.
• Tali dati devono provenire da loss collection
  interna allazienda e da basi dati esterne.
• Solo da tale confronto, si può auspicare di
  giungere ad una valutazione abbastanza oggettiva
  delle possibili perdite economiche a fronte di
  eventi dannosi che, sfruttando delle
  vulnerabilità, colpiscano le risorse a supporto
  dei processi di business.

27
I dati quantitativi un possibile metodo

• Se
• EL qualitativa gtgtgt EL quantitativa ?
  ElqualElquant
• Se
• ElqualitatitivaltltEL quantitativa? esame cause

28
Dati quantitativi un possibile metodo

• Stima della possibile perdita massima
• ELmax(e)SiSt(?(i)xLmax(i,t)/C(e,i,t)) / m x n
• Ove (i1,m), (t1,n) Lmax perdita massima
  regi-strata al tempo t, dallindagine i, per
  levento e, pon-derata con il peso ? e
  C(e,i,t)n.totale casi denunciati.
• ELmed(e) SiSt(?(i) x Lmed(i,t) / m x n
• Ove (i1,m), (t1,n) Lmed perdita media
  regi-strata al tempo t, dallindagine i, per
  levento e, pon-derata con il peso ?.
• ELtot(e) ELmax(e) ELmed(e) x p(e)
• Ove p(e) è la probabilità di accadimento
  dellevento e
• p(e) SiSt (?(i) x F(i,t)), ove F frequenza
  evento e rilevata al tempo t per lindagine i.

29
Dati quantitativi un possibile metodo

• Quello riportato rappresenta una possibile
  moda-lità di stima della possibile perdita
  economica per tipologia di evento e lho
  riportata per provocare il dibattito.
• Ai dati quantitativi menzionati, si devono
  aggiun-gere dei Key Performance Indicators
  necessa-ri a tenere sotto osservazione i fenomeni
  e a formulare previsioni di possibili perdite
  econo-miche.

30
Esempio di calcolo Stima della probabilità di
accadimento

• Media delle frequenze
• Riportate dalle indagini
• Nhtcu UK (2002)
• Auscert (2002-2003)
• Csi USA (1999-2003)

31
Il processo
Ciclo di sensibilizzazione del personale
dellAzienda alla Sicurezza
Individuazione delle vulnerabilità e delle
possibili perdite economiche Tramite analisi del
rischio ICT sulle risorse
Business Impact Analysis e determinazione dei
processi critici per la Continuità del business
Raffronto con le valutazioni quantitative
Individuazione delle contromisure più idonee e
cost justified
32
Il processo (cont.ne)
Stima di indicatori di rischio (scorecard)
Comunicazione del possibile livello di rischio
attuale e prospettico, Ossia, dopo la messa in
esercizio delle contromisure proposte
Raccolta sistematica e classificazione degli
incidents di ICT security e loro correlazione ai
KPI
Presentazione periodica di rapporti al management
sullandamento del livello di rischio (PD, EL,
ecc.) e sulle azioni in corso
33
Esempio la metodologia IBM
Scenario di Riferimento
34
Conclusione

• Investimenti in Companys ICT Security
  awareness,
• una maggiore chiarezza dei ruoli tra Business
  Continuity Manager, Security Manager, Global Risk
  Manager,
• un processo di Companys Resilience suppor-tato
  da metodi chiari e condivisi,
• non potranno che migliorare la capacità di
  co-municazione e pianificazione delle esigenze in
  termini di continuità del business, e di qualità
  dei prodotti e dei servizi offerti dallAzienda
  ai suoi Clienti.

35
e ricordiamoci che non esiste solo il BS7799
36
Grazie per lattenzione, e