際際滷

際際滷Share a Scribd company logo

Agg. xv rischio informatico al

Alessandro Lo Martire
Alessandro Lo Martire

Rischio informatico, aggiornamento quindicesimo di BdI.

1 of 14
IL RISCHIO INFORMATICO AGGIORNAMENTO XV CIRCOLARE 263 BANCA DITALIA Alessandro Lo Martire 2015
DEFINIZIONE fonti e destinatari GOVERNO E ORGANIZZAZIONE CONTROLLO E COMPLIANCE ANALISI DEL RISCHIO CHANGE MANAGEMENT OUTSOURCING AGENDA
DEFINIZIONE fonti e destinatari Direttiva del Parlamento europeo e del Consiglio 2013/36/UE Articolo 51 (TUB): prevede che le banche inviino alla Banca dItalia le segnalazioni periodiche e i relativi documenti richiesti Articolo 53 (TUB): attribuisce alla Banca dItalia il potere di emanare disposizioni di carattere generale in materia di organizzazione amministrativa, contabile e controlli interni delle banche Articolo 67 (TUB): attribuisce alla Banca dItalia il potere di impartire alla capogruppo di un gruppo bancario disposizionisz concernenti il gruppo Delibera del CICR del 2 Agosto 1996 Decreto del Ministro dellEconomia e delle finanze Recommendations for the security of internet payments Principles for effective risk data aggregation and risk reporting Banche autorizzate in Italia Capogruppo di gruppi bancari Imprese di riferimento FONTI DESTINATARI 束il rischio di intercorrere in perdite economiche, di reputazione e di quote di mercato in relazione allutilizzo di tecnologia dellinformazione e della comunicazione (ICT). Nella rappresentazione integrata dei rischi aziendali a fini prudenziali (ICAAP), tale tipologia di rischio 竪 considerata, secondo specifici aspetti, tra rischi operativi, reputazionali e strategici損 IL RISCHIO INFORMATICO
Nellambito dellorganizzazione e dei controlli interni sono attribuiti agli organi e funzioni aziendali ruoli e responsabilit, relativi allo sviluppo e alla gestione del sistema informativo. Larticolazione dei compiti e delle responsabilit degli organi e delle funzioni aziendali deve essere chiaramente definita: agli organi societari sono assegnate le funzioni di GOVERNO E ORGANIZZAZIONE DEL SISTEMA INFORMATIVO Responsabilit di indirizzo e controllo del Sistema Informativo in ottica di sostegno alle strategie aziendali (ICT Governance) SUPERVISIONE STRATEGICA Compito di assicurare la completezza, adeguatezza, funzionalit e affidabilit del Sistema Informativo FUNZIONE DI GESTIONE Larticolazione organizzativa si ispira a criteri di funzionalit, efficienza e sicurezza FUNZIONE ICT Principio di separazione delle funzioni di controllo da quelle di supervisione e gestione
GOVERNO E ORGANIZZAZIONE Approvazione strategie di sviluppo del SI e del modello di riferimento per larchitettura dello stesso Approvazione della policy di sicurezza informatica Approvazione delle linee di indirizzo in materia di selezione del personale, incluso il ricorso a fornitori esterni Promozione, condivisione e aggiornamento in materia ICT informato con cadenza annuale circa ladeguatezza dei servizi erogati e il supporto di questi allevoluzione delloperativit aziendale in rapporto ai costi sostenuti ORGANO CON FUNZIONE DI SUPERVISIONE STRATEGICA Approvazione del quadro di riferimento organizzativo e metodologico per lanalisi del rischio informatico e promozione dellopportuna valorizzazione informativa sul rischio tecnologico e dellintegrazione con i sistemi di misurazione e gestione dei rischi ( in particolare operativi, reputazionali e strategici) Approvazione della propensione al rischio informatico coerentemente al risk framework aziendale informato con cadenza almeno annuale sulla situazione di rischio informatico rispetto alla propensione al rischio RISCHIO INFORMATICO
In ambito di valutazione del rischio, lorgano dispone di idonei flussi informativi concernenti il livello di rischio residuo per le diverse risorse informatiche, lo stato di implementazione dei presidi di attenuazione del rischio e gli incidenti registratisi nel periodo di riferimento GOVERNO E ORGANIZZAZIONE Definizione della struttura organizzativa della funzione ICT coerentemente alle linee strategiche e dellassetto organizzativo, metodologico e procedurale per il processo di analisi del rischio informatico, perseguendo un opportuno livello di raccordo con la funzione di risk management per i processi di stima del rischio operativo Approvazione del disegno dei processi di gestione del SI (tranne che nel caso di full outsourcing) e degli standard di data governance, le procedure di gestione dei cambiamenti e degli incidenti e il piano operativo delle iniziative informatiche Valutazione delle prestazioni della funzione ICT rispetto alle strategie e gli obiettivi fissati (assumendo gli opportuni interventi e iniziative di miglioramento) Approvazione della valutazione del rischio delle componenti critiche (che consentono il regolare svolgimento delle attivit di business) e riscontra la complessiva situazione del rischio informatico in rapporto alla propensione al rischio definita Monitoraggio del regolare svolgimento dei processi di gestione e controllo dei servizi ICT e assunzione di decisioni tempestive ove dovessero capitare gravi incidenti di sicurezza informatica ORGANO CON FUNZIONE DI GESTIONE
GOVERNO E ORGANIZZAZIONE Segue la redazione e laggiornamento della policy e ne assicura la coerenza dei presidi Partecipa alla valutazione del rischio potenziale e allindividuazione di presidi di sicurezza Assicura il monitoraggio nel continuo e segue lo svolgimento di test prima dellavvio di sistemi innovativi SICUREZZA INFORMATICA Dispone delle competenze specialistiche necessarie per assolvere ai propri compiti di assurance (ICT audit) in grado di fornire valutazione sui principali rischi tecnologici identificabili e sulla complessiva gestione del rischi informatico dellintermediario REVISIONE INTERNA Linee di riporto dirette a livello dellorgano con funzione di gestione per garantire lunitariet di visione gestionale e in ambito di rischio informatico Le responsabilit e gli assetti connessi con la pianificazione e il controllo del portafoglio di progetti informatici, con il governo dellevoluzione dellarchitettura e dellinnovazione tecnologica La realizzazione di opportuni meccanismi di raccordo con le linee di business (rilevazione delle esigenze di servizi informatici, promozione delle opportunit offerte dallevoluzione del SI) FUNZIONE ICT
CONTROLLO DEL RISCHIO INFORMATICO E COMPLIANCE ICT La gestione del complessivo rischio informatico si raccorda con il processo di analisi sulle singole risorse e le valutazioni vengono puntualmente documentate Le banche che possiedono un sistema di modelli interni validati sul rischio operativo devono integrare i dati sulle perdite operative in ambito ICT CONTROLLO RISCHI Assistenza su aspetti tecnici in caso di questioni legali relative al trattamento dei dati personali Coerenza degli assetti organizzativi alle normative esterne Analisi di conformit dei contratti di outsourcing RISPETTO REGOLAMENTI (INT/EXT) Sono chiaramente assegnate le responsabilit in merito allo svolgimento dei seguenti compiti di controllo di secondo livello SISTEMA DEI CONTROLLI INTERNI
Strumento di garanzia di efficacia ed efficienza delle misure di protezione delle risorse ICT AttoriCoinvolti Utente Responsabile Personale della funzione ICT Funzioni di controllo dei rischi Funzioni di sicurezza informatica Audit Classificazione risorse ICT in termini di rischio informatico Le risorse informatiche valutate vengono esaminate (la fase riguarda iniziative di nuovi progetti e modifiche rilevanti del SI) In ambito di valutazione dei rischi su componenti e applicazioni in essere vengono esaminati i dati relativi agli incidenti di sicurezza informatica verificatisi in passato Lanalisi determina il rischio residuo Il rischio residuo 竪 sottoposto allaccettazione dellutente responsabile in linea con la propensione al rischio Se il rischio residuo eccede la propensione al rischio vengono proposte soluzioni alternative o ulteriori [approvazione da parte dellorgano di gestione] Individuazione misure di attenuazione LANALISI DEL RISCHIO INFORMATICO VALUTAZIONE DEL RISCHIO POTENZIALE TRATTAMENTO DEL RISCHIO
Processo atto a proteggere le risorse in termini di Riservatezza Integrit Disponibilit Verificabilit Accountability Obiettivi del processo di gestione della sicurezza Principi di sicurezza sullutilizzo e la gestione del SI per diversi profili aziendali Ruoli, responsabilit e quadro organizzativo e metodologico di riferimento del processo di gestione dellICT Comunicazione, formazione e sensibilizzazione in materia ICT Richiami alle norme di legge (esterni) e alle norme interne che disciplinano le conseguenze di violazioni della policy Policy di Sicurezza approvazione dellorgano di supervisione strategica GESTIONE DELLA SICUREZZA INFORMATICA Presidi fisici di difesa e procedure di autorizzazione e controllo per laccesso fisico a sistemi e dati e regolamentazione dellaccesso a reti, sistemi, dati (principio del need to know) Procedure di autenticazione e segmentazione della rete di telecomunicazione (es. utenti interni / utenti esterni) Adozione di metodologie e tecniche di sviluppo sicuro del software e separazione degli ambienti di sviluppo, collaudo e produzione con adeguata formalizzazione delle procedure Monitoraggio degli accessi a scopo preventivo e del continuativo delle minacce e vulnerabilit e istituzione di regole di tracciabilit delle azioni svolte, per consentire la verifica ex post Sicurezza delle informazioni e delle risorse ICT
Procedura formalmente definita Predisposizione e periodico aggiornamento di un inventario ICT Prevede lautorizzazione formale di ogni cambiamento in ambiente di produzione e la pianificazione, il coordinamento e la documentazione degli interventi di modifica Collaudo e testing Sistema di gestione idoneo per il controllo dellimplementazione dei cambiamenti (inclusa la possibilit di ripristino della situazione ex ante) GESTIONE DEI CAMBIAMENTI Si faccia riferimento al principio di proporzionalit, alla complessit e al profilo tecnologico dellintermediario Le iniziative di ampio impatto sul SI e i gravi incidenti di sicurezza informatica vengono preventivamente comunicati a Banca dItalia Procedure formalmente definite Comunicazione secondo una procedura di escalation Definite e monitorate azioni correttive Documentazione Raccordo con il monitoraggio di sistemi, accessi e operazioni, favorendo lassunzione di iniziative di prevenzione Le procedure per gravi incidenti includono la cooperazione con le forze dellordine GESTIONE DEGLI INCIDENTI GESTIONE DEI CAMBIAMENTI E DEGLI INCIDENTI
Sono formalmente definiti i livelli di servizio che lintermediario si impegna ad osservare e sono inoltre definite procedure di backup (dati, software e configurazione) e di riprisitino Architetture disegnate in relazione al profilo di sicurezza informatica delle applicazioni ospitate (es. utilizzo del principio: no single point of failure) Collegamenti telematici opportunamente ridondati per evitare interruzioni del servizio Gestione del SI opportunamente automatizzata e si avvale di procedure standardizzate Le informazioni raccolte tramite monitoraggio alimentano il processo di capacity planning PROCESSI RELATIVI ALLACCESSO A DATI E SERVIZI TELEMATICI Capacity planning: processo di gestione volto a stimare la quantit di risorse ICT necessarie a fronteggiare le esigenze delle applicazioni aziendali Sistema di registrazione e reporting per tracciare le operazioni aziendali e i fatti di gestione per fornire informazioni sulle attivit aziendali e levoluzione dei rischi Completezza, correttezza, tempestivit definito uno standard di data governance: ruoli, responsabilit e metodi di misurazione delle performance Nel caso di ricorso a un data warehouse a fini di analisi e reporting le procedure sono documentate. Allo stesso modo sono documentate le procedure di gestione e aggregazione di dati e i processi di acquisizione di dati da provider esterni I dati sono conservati con granularit adeguata SISTEMA DI GESTIONE DEI DATI INFORMAZIONI / RISORSE ICT
Le norme riportate si applicano ai casi di full outsourcing o di esternalizzazione di componenti critiche del SI Esternalizzazionepressofornitorialdifuoridel gruppodiappartenenza Stima dei rischi delle risorse e dei servizi da esternalizzare Valutazione dei rischi dei possibili fornitori Valutazione della qualit dei subfornitori, della ridondanza delle linee di comunicazione utilizzate e delle tecnologie adottate Necessit di contenere il pi湛 possibile il grado di dipendenza da fornitori prevedendo opportune exit strategies Obbligo per il fornitore di osservare la policy di sicurezza informatica disciplinata la propriet di dati, software, documentazione, etc. Periodica produzione di copie di backup Ripartizione dei compiti e delle responsabilit attinenti i presidi di sicurezza Procedure di comunicazione Definizione dei livelli di servizio Predisposizione di misure di tracciamento per garantire laccountability Possibilit per lintermediario di conoscere lubicazione dei data center e unindicazione sul numero di addetti con accesso ai dati Obbligo per il fornitore, a fine rapporto contrattuale, di eliminare i dati riservati Nei contratti coi fornitori sono disciplinati i seguenti aspetti: Indicazioni particolari Particolare cautela 竪 da prestare nella valutazione di offerte di servizi in outsourcing erogati secondo modelli innovativi quali il cloud computing (privato, community, pubblico) ESTERNALIZZAZIONE DEL SISTEMA INFORMATIVO
ALLEGATO A

Recommended

GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
Alessio Farina
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
Barbieri & Associati Dottori Commercialisti - Bologna
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
CSI Piemonte
L'approccio al rischio e il principio di responsabilizzazione - Massimo Dura...
L'approccio al rischio e il principio di responsabilizzazione - Massimo Dura...L'approccio al rischio e il principio di responsabilizzazione - Massimo Dura...
L'approccio al rischio e il principio di responsabilizzazione - Massimo Dura...
CSI Piemonte
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guida
Ordine Ingegneri Lecco
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
Sicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuitySicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuity
Business Resiliente
LCR - LIQUIDITY COVERAGE RATIO
LCR - LIQUIDITY COVERAGE RATIOLCR - LIQUIDITY COVERAGE RATIO
LCR - LIQUIDITY COVERAGE RATIO
Alessandro Lo Martire
Vigilanza ed esperienza: come le norme e le metodologie evolvono
Vigilanza ed esperienza: come le norme e le metodologie evolvonoVigilanza ed esperienza: come le norme e le metodologie evolvono
Vigilanza ed esperienza: come le norme e le metodologie evolvono
Claudio Bergamini
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
TheBCI
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
Enrico Memmo
La Nuova Security
La Nuova SecurityLa Nuova Security
La Nuova Security
Francesco Tusino
Il Sistema di Risk Management applicato ai Censimenti generali
Il Sistema di Risk Management applicato ai Censimenti generaliIl Sistema di Risk Management applicato ai Censimenti generali
Il Sistema di Risk Management applicato ai Censimenti generali
Daniele Frongia
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptxGrumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
UNI - Ente Italiano di Normazione
DBA Progetti Enermanagement 2016
DBA Progetti Enermanagement 2016DBA Progetti Enermanagement 2016
DBA Progetti Enermanagement 2016
DBAGroup2016
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2
Pierluigi Sartori
STS-Sanita
STS-SanitaSTS-Sanita
STS-Sanita
Paolo Giorgini
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero Trust
Vincenzo Calabr嘆
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
walk2talk srl
Presentazione servizi gruppo ti 016 v3
Presentazione servizi gruppo ti 016 v3Presentazione servizi gruppo ti 016 v3
Presentazione servizi gruppo ti 016 v3
Massimo Bava
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Simone Onofri
Industria 4.0. Lucca, 5 luglio 2017 - VAR Sirio Industria "IoT - BigData - An...
Industria 4.0. Lucca, 5 luglio 2017 - VAR Sirio Industria "IoT - BigData - An...Industria 4.0. Lucca, 5 luglio 2017 - VAR Sirio Industria "IoT - BigData - An...
Industria 4.0. Lucca, 5 luglio 2017 - VAR Sirio Industria "IoT - BigData - An...
CONFINDUSTRIA TOSCANA NORD
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06
Pietro Monti
Il sistema informativo
Il sistema informativoIl sistema informativo
Il sistema informativo
Giovanni Carbonara
L'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuroL'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuro
AICQ Comitato Qualit del Software e Servizi ICT
Modello organizzativo-informatico per la gestione del Rischio Clinico
Modello organizzativo-informatico per la gestione del Rischio ClinicoModello organizzativo-informatico per la gestione del Rischio Clinico
Modello organizzativo-informatico per la gestione del Rischio Clinico
Gregorio Paccone
14a Conferenza Nazionale di Statistica
14a Conferenza Nazionale di Statistica14a Conferenza Nazionale di Statistica
14a Conferenza Nazionale di Statistica
Istituto nazionale di statistica

More Related Content

Similar to Agg. xv rischio informatico al (20)

Vigilanza ed esperienza: come le norme e le metodologie evolvono
Vigilanza ed esperienza: come le norme e le metodologie evolvonoVigilanza ed esperienza: come le norme e le metodologie evolvono
Vigilanza ed esperienza: come le norme e le metodologie evolvono
Claudio Bergamini
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
TheBCI
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
Enrico Memmo
La Nuova Security
La Nuova SecurityLa Nuova Security
La Nuova Security
Francesco Tusino
Il Sistema di Risk Management applicato ai Censimenti generali
Il Sistema di Risk Management applicato ai Censimenti generaliIl Sistema di Risk Management applicato ai Censimenti generali
Il Sistema di Risk Management applicato ai Censimenti generali
Daniele Frongia
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptxGrumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
UNI - Ente Italiano di Normazione
DBA Progetti Enermanagement 2016
DBA Progetti Enermanagement 2016DBA Progetti Enermanagement 2016
DBA Progetti Enermanagement 2016
DBAGroup2016
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2
Pierluigi Sartori
STS-Sanita
STS-SanitaSTS-Sanita
STS-Sanita
Paolo Giorgini
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero Trust
Vincenzo Calabr嘆
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
walk2talk srl
Presentazione servizi gruppo ti 016 v3
Presentazione servizi gruppo ti 016 v3Presentazione servizi gruppo ti 016 v3
Presentazione servizi gruppo ti 016 v3
Massimo Bava
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Simone Onofri
Industria 4.0. Lucca, 5 luglio 2017 - VAR Sirio Industria "IoT - BigData - An...
Industria 4.0. Lucca, 5 luglio 2017 - VAR Sirio Industria "IoT - BigData - An...Industria 4.0. Lucca, 5 luglio 2017 - VAR Sirio Industria "IoT - BigData - An...
Industria 4.0. Lucca, 5 luglio 2017 - VAR Sirio Industria "IoT - BigData - An...
CONFINDUSTRIA TOSCANA NORD
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06
Pietro Monti
Il sistema informativo
Il sistema informativoIl sistema informativo
Il sistema informativo
Giovanni Carbonara
L'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuroL'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuro
AICQ Comitato Qualit del Software e Servizi ICT
Modello organizzativo-informatico per la gestione del Rischio Clinico
Modello organizzativo-informatico per la gestione del Rischio ClinicoModello organizzativo-informatico per la gestione del Rischio Clinico
Modello organizzativo-informatico per la gestione del Rischio Clinico
Gregorio Paccone
14a Conferenza Nazionale di Statistica
14a Conferenza Nazionale di Statistica14a Conferenza Nazionale di Statistica
14a Conferenza Nazionale di Statistica
Istituto nazionale di statistica
Vigilanza ed esperienza: come le norme e le metodologie evolvono
Vigilanza ed esperienza: come le norme e le metodologie evolvonoVigilanza ed esperienza: come le norme e le metodologie evolvono
Vigilanza ed esperienza: come le norme e le metodologie evolvono
Claudio Bergamini
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
TheBCI
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
Enrico Memmo
La Nuova Security
La Nuova SecurityLa Nuova Security
La Nuova Security
Francesco Tusino
Il Sistema di Risk Management applicato ai Censimenti generali
Il Sistema di Risk Management applicato ai Censimenti generaliIl Sistema di Risk Management applicato ai Censimenti generali
Il Sistema di Risk Management applicato ai Censimenti generali
Daniele Frongia
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptxGrumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
UNI - Ente Italiano di Normazione
DBA Progetti Enermanagement 2016
DBA Progetti Enermanagement 2016DBA Progetti Enermanagement 2016
DBA Progetti Enermanagement 2016
DBAGroup2016
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2
Pierluigi Sartori
STS-Sanita
STS-SanitaSTS-Sanita
STS-Sanita
Paolo Giorgini
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero Trust
Vincenzo Calabr嘆
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
walk2talk srl
Presentazione servizi gruppo ti 016 v3
Presentazione servizi gruppo ti 016 v3Presentazione servizi gruppo ti 016 v3
Presentazione servizi gruppo ti 016 v3
Massimo Bava
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Simone Onofri
Industria 4.0. Lucca, 5 luglio 2017 - VAR Sirio Industria "IoT - BigData - An...
Industria 4.0. Lucca, 5 luglio 2017 - VAR Sirio Industria "IoT - BigData - An...Industria 4.0. Lucca, 5 luglio 2017 - VAR Sirio Industria "IoT - BigData - An...
Industria 4.0. Lucca, 5 luglio 2017 - VAR Sirio Industria "IoT - BigData - An...
CONFINDUSTRIA TOSCANA NORD
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06
Pietro Monti
Il sistema informativo
Il sistema informativoIl sistema informativo
Il sistema informativo
Giovanni Carbonara
L'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuroL'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuro
AICQ Comitato Qualit del Software e Servizi ICT
Modello organizzativo-informatico per la gestione del Rischio Clinico
Modello organizzativo-informatico per la gestione del Rischio ClinicoModello organizzativo-informatico per la gestione del Rischio Clinico
Modello organizzativo-informatico per la gestione del Rischio Clinico
Gregorio Paccone
14a Conferenza Nazionale di Statistica
14a Conferenza Nazionale di Statistica14a Conferenza Nazionale di Statistica
14a Conferenza Nazionale di Statistica
Istituto nazionale di statistica

Agg. xv rischio informatico al

  • 1. IL RISCHIO INFORMATICO AGGIORNAMENTO XV CIRCOLARE 263 BANCA DITALIA Alessandro Lo Martire 2015
  • 2. DEFINIZIONE fonti e destinatari GOVERNO E ORGANIZZAZIONE CONTROLLO E COMPLIANCE ANALISI DEL RISCHIO CHANGE MANAGEMENT OUTSOURCING AGENDA
  • 3. DEFINIZIONE fonti e destinatari Direttiva del Parlamento europeo e del Consiglio 2013/36/UE Articolo 51 (TUB): prevede che le banche inviino alla Banca dItalia le segnalazioni periodiche e i relativi documenti richiesti Articolo 53 (TUB): attribuisce alla Banca dItalia il potere di emanare disposizioni di carattere generale in materia di organizzazione amministrativa, contabile e controlli interni delle banche Articolo 67 (TUB): attribuisce alla Banca dItalia il potere di impartire alla capogruppo di un gruppo bancario disposizionisz concernenti il gruppo Delibera del CICR del 2 Agosto 1996 Decreto del Ministro dellEconomia e delle finanze Recommendations for the security of internet payments Principles for effective risk data aggregation and risk reporting Banche autorizzate in Italia Capogruppo di gruppi bancari Imprese di riferimento FONTI DESTINATARI 束il rischio di intercorrere in perdite economiche, di reputazione e di quote di mercato in relazione allutilizzo di tecnologia dellinformazione e della comunicazione (ICT). Nella rappresentazione integrata dei rischi aziendali a fini prudenziali (ICAAP), tale tipologia di rischio 竪 considerata, secondo specifici aspetti, tra rischi operativi, reputazionali e strategici損 IL RISCHIO INFORMATICO
  • 4. Nellambito dellorganizzazione e dei controlli interni sono attribuiti agli organi e funzioni aziendali ruoli e responsabilit, relativi allo sviluppo e alla gestione del sistema informativo. Larticolazione dei compiti e delle responsabilit degli organi e delle funzioni aziendali deve essere chiaramente definita: agli organi societari sono assegnate le funzioni di GOVERNO E ORGANIZZAZIONE DEL SISTEMA INFORMATIVO Responsabilit di indirizzo e controllo del Sistema Informativo in ottica di sostegno alle strategie aziendali (ICT Governance) SUPERVISIONE STRATEGICA Compito di assicurare la completezza, adeguatezza, funzionalit e affidabilit del Sistema Informativo FUNZIONE DI GESTIONE Larticolazione organizzativa si ispira a criteri di funzionalit, efficienza e sicurezza FUNZIONE ICT Principio di separazione delle funzioni di controllo da quelle di supervisione e gestione
  • 5. GOVERNO E ORGANIZZAZIONE Approvazione strategie di sviluppo del SI e del modello di riferimento per larchitettura dello stesso Approvazione della policy di sicurezza informatica Approvazione delle linee di indirizzo in materia di selezione del personale, incluso il ricorso a fornitori esterni Promozione, condivisione e aggiornamento in materia ICT informato con cadenza annuale circa ladeguatezza dei servizi erogati e il supporto di questi allevoluzione delloperativit aziendale in rapporto ai costi sostenuti ORGANO CON FUNZIONE DI SUPERVISIONE STRATEGICA Approvazione del quadro di riferimento organizzativo e metodologico per lanalisi del rischio informatico e promozione dellopportuna valorizzazione informativa sul rischio tecnologico e dellintegrazione con i sistemi di misurazione e gestione dei rischi ( in particolare operativi, reputazionali e strategici) Approvazione della propensione al rischio informatico coerentemente al risk framework aziendale informato con cadenza almeno annuale sulla situazione di rischio informatico rispetto alla propensione al rischio RISCHIO INFORMATICO
  • 6. In ambito di valutazione del rischio, lorgano dispone di idonei flussi informativi concernenti il livello di rischio residuo per le diverse risorse informatiche, lo stato di implementazione dei presidi di attenuazione del rischio e gli incidenti registratisi nel periodo di riferimento GOVERNO E ORGANIZZAZIONE Definizione della struttura organizzativa della funzione ICT coerentemente alle linee strategiche e dellassetto organizzativo, metodologico e procedurale per il processo di analisi del rischio informatico, perseguendo un opportuno livello di raccordo con la funzione di risk management per i processi di stima del rischio operativo Approvazione del disegno dei processi di gestione del SI (tranne che nel caso di full outsourcing) e degli standard di data governance, le procedure di gestione dei cambiamenti e degli incidenti e il piano operativo delle iniziative informatiche Valutazione delle prestazioni della funzione ICT rispetto alle strategie e gli obiettivi fissati (assumendo gli opportuni interventi e iniziative di miglioramento) Approvazione della valutazione del rischio delle componenti critiche (che consentono il regolare svolgimento delle attivit di business) e riscontra la complessiva situazione del rischio informatico in rapporto alla propensione al rischio definita Monitoraggio del regolare svolgimento dei processi di gestione e controllo dei servizi ICT e assunzione di decisioni tempestive ove dovessero capitare gravi incidenti di sicurezza informatica ORGANO CON FUNZIONE DI GESTIONE
  • 7. GOVERNO E ORGANIZZAZIONE Segue la redazione e laggiornamento della policy e ne assicura la coerenza dei presidi Partecipa alla valutazione del rischio potenziale e allindividuazione di presidi di sicurezza Assicura il monitoraggio nel continuo e segue lo svolgimento di test prima dellavvio di sistemi innovativi SICUREZZA INFORMATICA Dispone delle competenze specialistiche necessarie per assolvere ai propri compiti di assurance (ICT audit) in grado di fornire valutazione sui principali rischi tecnologici identificabili e sulla complessiva gestione del rischi informatico dellintermediario REVISIONE INTERNA Linee di riporto dirette a livello dellorgano con funzione di gestione per garantire lunitariet di visione gestionale e in ambito di rischio informatico Le responsabilit e gli assetti connessi con la pianificazione e il controllo del portafoglio di progetti informatici, con il governo dellevoluzione dellarchitettura e dellinnovazione tecnologica La realizzazione di opportuni meccanismi di raccordo con le linee di business (rilevazione delle esigenze di servizi informatici, promozione delle opportunit offerte dallevoluzione del SI) FUNZIONE ICT
  • 8. CONTROLLO DEL RISCHIO INFORMATICO E COMPLIANCE ICT La gestione del complessivo rischio informatico si raccorda con il processo di analisi sulle singole risorse e le valutazioni vengono puntualmente documentate Le banche che possiedono un sistema di modelli interni validati sul rischio operativo devono integrare i dati sulle perdite operative in ambito ICT CONTROLLO RISCHI Assistenza su aspetti tecnici in caso di questioni legali relative al trattamento dei dati personali Coerenza degli assetti organizzativi alle normative esterne Analisi di conformit dei contratti di outsourcing RISPETTO REGOLAMENTI (INT/EXT) Sono chiaramente assegnate le responsabilit in merito allo svolgimento dei seguenti compiti di controllo di secondo livello SISTEMA DEI CONTROLLI INTERNI
  • 9. Strumento di garanzia di efficacia ed efficienza delle misure di protezione delle risorse ICT AttoriCoinvolti Utente Responsabile Personale della funzione ICT Funzioni di controllo dei rischi Funzioni di sicurezza informatica Audit Classificazione risorse ICT in termini di rischio informatico Le risorse informatiche valutate vengono esaminate (la fase riguarda iniziative di nuovi progetti e modifiche rilevanti del SI) In ambito di valutazione dei rischi su componenti e applicazioni in essere vengono esaminati i dati relativi agli incidenti di sicurezza informatica verificatisi in passato Lanalisi determina il rischio residuo Il rischio residuo 竪 sottoposto allaccettazione dellutente responsabile in linea con la propensione al rischio Se il rischio residuo eccede la propensione al rischio vengono proposte soluzioni alternative o ulteriori [approvazione da parte dellorgano di gestione] Individuazione misure di attenuazione LANALISI DEL RISCHIO INFORMATICO VALUTAZIONE DEL RISCHIO POTENZIALE TRATTAMENTO DEL RISCHIO
  • 10. Processo atto a proteggere le risorse in termini di Riservatezza Integrit Disponibilit Verificabilit Accountability Obiettivi del processo di gestione della sicurezza Principi di sicurezza sullutilizzo e la gestione del SI per diversi profili aziendali Ruoli, responsabilit e quadro organizzativo e metodologico di riferimento del processo di gestione dellICT Comunicazione, formazione e sensibilizzazione in materia ICT Richiami alle norme di legge (esterni) e alle norme interne che disciplinano le conseguenze di violazioni della policy Policy di Sicurezza approvazione dellorgano di supervisione strategica GESTIONE DELLA SICUREZZA INFORMATICA Presidi fisici di difesa e procedure di autorizzazione e controllo per laccesso fisico a sistemi e dati e regolamentazione dellaccesso a reti, sistemi, dati (principio del need to know) Procedure di autenticazione e segmentazione della rete di telecomunicazione (es. utenti interni / utenti esterni) Adozione di metodologie e tecniche di sviluppo sicuro del software e separazione degli ambienti di sviluppo, collaudo e produzione con adeguata formalizzazione delle procedure Monitoraggio degli accessi a scopo preventivo e del continuativo delle minacce e vulnerabilit e istituzione di regole di tracciabilit delle azioni svolte, per consentire la verifica ex post Sicurezza delle informazioni e delle risorse ICT
  • 11. Procedura formalmente definita Predisposizione e periodico aggiornamento di un inventario ICT Prevede lautorizzazione formale di ogni cambiamento in ambiente di produzione e la pianificazione, il coordinamento e la documentazione degli interventi di modifica Collaudo e testing Sistema di gestione idoneo per il controllo dellimplementazione dei cambiamenti (inclusa la possibilit di ripristino della situazione ex ante) GESTIONE DEI CAMBIAMENTI Si faccia riferimento al principio di proporzionalit, alla complessit e al profilo tecnologico dellintermediario Le iniziative di ampio impatto sul SI e i gravi incidenti di sicurezza informatica vengono preventivamente comunicati a Banca dItalia Procedure formalmente definite Comunicazione secondo una procedura di escalation Definite e monitorate azioni correttive Documentazione Raccordo con il monitoraggio di sistemi, accessi e operazioni, favorendo lassunzione di iniziative di prevenzione Le procedure per gravi incidenti includono la cooperazione con le forze dellordine GESTIONE DEGLI INCIDENTI GESTIONE DEI CAMBIAMENTI E DEGLI INCIDENTI
  • 12. Sono formalmente definiti i livelli di servizio che lintermediario si impegna ad osservare e sono inoltre definite procedure di backup (dati, software e configurazione) e di riprisitino Architetture disegnate in relazione al profilo di sicurezza informatica delle applicazioni ospitate (es. utilizzo del principio: no single point of failure) Collegamenti telematici opportunamente ridondati per evitare interruzioni del servizio Gestione del SI opportunamente automatizzata e si avvale di procedure standardizzate Le informazioni raccolte tramite monitoraggio alimentano il processo di capacity planning PROCESSI RELATIVI ALLACCESSO A DATI E SERVIZI TELEMATICI Capacity planning: processo di gestione volto a stimare la quantit di risorse ICT necessarie a fronteggiare le esigenze delle applicazioni aziendali Sistema di registrazione e reporting per tracciare le operazioni aziendali e i fatti di gestione per fornire informazioni sulle attivit aziendali e levoluzione dei rischi Completezza, correttezza, tempestivit definito uno standard di data governance: ruoli, responsabilit e metodi di misurazione delle performance Nel caso di ricorso a un data warehouse a fini di analisi e reporting le procedure sono documentate. Allo stesso modo sono documentate le procedure di gestione e aggregazione di dati e i processi di acquisizione di dati da provider esterni I dati sono conservati con granularit adeguata SISTEMA DI GESTIONE DEI DATI INFORMAZIONI / RISORSE ICT
  • 13. Le norme riportate si applicano ai casi di full outsourcing o di esternalizzazione di componenti critiche del SI Esternalizzazionepressofornitorialdifuoridel gruppodiappartenenza Stima dei rischi delle risorse e dei servizi da esternalizzare Valutazione dei rischi dei possibili fornitori Valutazione della qualit dei subfornitori, della ridondanza delle linee di comunicazione utilizzate e delle tecnologie adottate Necessit di contenere il pi湛 possibile il grado di dipendenza da fornitori prevedendo opportune exit strategies Obbligo per il fornitore di osservare la policy di sicurezza informatica disciplinata la propriet di dati, software, documentazione, etc. Periodica produzione di copie di backup Ripartizione dei compiti e delle responsabilit attinenti i presidi di sicurezza Procedure di comunicazione Definizione dei livelli di servizio Predisposizione di misure di tracciamento per garantire laccountability Possibilit per lintermediario di conoscere lubicazione dei data center e unindicazione sul numero di addetti con accesso ai dati Obbligo per il fornitore, a fine rapporto contrattuale, di eliminare i dati riservati Nei contratti coi fornitori sono disciplinati i seguenti aspetti: Indicazioni particolari Particolare cautela 竪 da prestare nella valutazione di offerte di servizi in outsourcing erogati secondo modelli innovativi quali il cloud computing (privato, community, pubblico) ESTERNALIZZAZIONE DEL SISTEMA INFORMATIVO
AboutCopyright
息 2025 際際滷