il rischio informatico e le nuove - isaca.org · determinazione azioni di gestione approvazione...
TRANSCRIPT
12.12.2014 - ISACA Venice Chapter
1 Cyber Risk Management with COBIT® 5
Il Rischio Informatico e le nuove Disposizioni di Vigilanza di Banca d’Italia
Luca Lora Lamia Manager IRM - KPMG
12.12.2014 - ISACA Venice Chapter
2 Cyber Risk Management with COBIT® 5
Capitolo 7: Il sistema dei controlli interni • Sezione I: Disposizioni preliminari e principi generali • Sezione II: Il ruolo degli organi aziendali • Sezione III: Funzioni aziendali di controllo • Sezione IV: Esternalizzazione di funzioni aziendali (Outsourcing) al di fuori del gruppo bancario • Sezione V: Il RAF, il sistema dei controlli interni e l’esternalizzazione nei gruppi bancari • Sezione VI: Imprese di riferimento • Sezione VII: Succursali di banche comunitarie e di banche extracomunitarie aventi sede nei paesi del Gruppo dei
Dieci o in quelli inclusi in un elenco pubblicato dalla Banca d’Italia • Sezione VIII: Informativa alla Banca d’Italia
Capitolo 8: Sistema informativo • Sezione I: Disposizioni di carattere generale • Sezione II: Governo e organizzazione del sistema informativo
• Sezione III: L’analisi del rischio informatico
• Sezione IV: La gestione della sicurezza informatica • Sezione V: Il sistema di gestione dei dati • Sezione VI: L’esternalizzazione del sistema informativo
Capitolo 9: Disposizioni in materia di continuità operativa • Allegato A – Sezione I: Disposizioni di carattere generale • Allegato A – Sezione II: Requisiti per tutti gli operatori • Allegato A – Sezione III: Requisiti particolari per i processi
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Aggiornamento Titolo V: struttura del documento
.
Il concetto di “Rischio” pervade tutta la normativa in oggetto, a partire dal Cap. 7 dedicato al sistema dei controlli interni in ambito di governo aziendale per poi verticalizzare la propria declinazione in ambito informatico (Cap 8 - Sistema informativo) e nella continuità operativa (Cap 9 - Disposizioni in materia di continuità operativa).
12.12.2014 - ISACA Venice Chapter
3 Cyber Risk Management with COBIT® 5
La Circolare definisce (rif.Sez.I, cap.8) il rischio informatico come "il rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologia dell’informazione e della comunicazione. Nella rappresentazione integrata dei rischi aziendali a fini prudenziali (ICAAP), tale tipologia di rischio è considerata, secondo gli specifici aspetti, tra i rischi operativi, reputazionali e strategici"
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Definizione del Rischio Informatico
Rischi Operativi Altri Rischi (Strategici,reputazionali)
Rischi ITI rischi IT devono tener conto sia delle componenti IT interne all'Istituto, sia delle componenti demandate in outsourcing.
Rischi interni all'Istituto
Rischi interni all'Istituto
Rischi ITSecurity
I rischi di sicurezza informatica, pur avendo modalità specifiche di gestione, sono ricompresi nei rischi IT
Imp
att
o
Even
to
ICT
Sicurezza informatica
Change ManagementOperations
Rischi IT
Mancata Integrazione
sistemi
Ousourcing
Incident ICT Hw/Sw fault
ICT Project failure
Operativo (Economico)
Strategico
Reputazionale
Rischi Aziendali
Operativo (Economico)
Strategico
Reputazionale
12.12.2014 - ISACA Venice Chapter
4 Cyber Risk Management with COBIT® 5
Approccio di Governo del Rischio Informatico secondo la 263
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
Governo del Rischio IT
• Assetto organizzativo interno (struttura della funzione IT, della funzione di sicurezza informatica….);
• Evoluzione dei servizi/ prodotti offerti alla clientela (servizi on-line, …);
• Attività demandate in outsourcing (outsourcer IT);
• Attività di sviluppo applicativo;
• Continua evoluzione delle normative cogenti (Circolare 263..)
• Trasformazione delle minacce (aumento numerosità e natura, modifica delle modalità di attacco)
• Affermazione di nuovi paradigmi tecnologici (cloud, mobile, big data, Social media…)
• Aumento delle interazioni tra enti del sistema (banche, soggetti istituzionali)
• Indicazioni di standard e best practice di sicurezza
Aspetti di contesto esterno
Sistemi di monitoraggio (KRI)
Metodologia di analisi del rischio
Ruoli e Responsabilità
Presidio Outsourcer
Aspetti di contesto Interno
Governo del Rischio IT
12.12.2014 - ISACA Venice Chapter
5 Cyber Risk Management with COBIT® 5
Presidio Outsourcer
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
Presidio outsourcer
Raccordo di ruoli e procedure, definiti dagli istituti, per il processo di analisi del rischio;
Condivisione della metodologia implementata dagli outsourcer per l'analisi del rischio informatico
Accettazione formale del rischio residuo emerso dall'anali da parte degli Istituti
Integrazione in ambito Metodologico Uniformità della tassonomia Collegamento degli scenari (minacce, vulnerabilità
controlli) Criteri e metriche di valutazione
Integrazione in ambito di processo Integrazione con i processi e i modelli ORM della
Banca Valutazione del componente “impatto” relativo al
servizio erogato Integrazione in ambito di gestione on-going
Incident Management Change Management
I rischi IT devono tener conto sia delle
componenti IT interne all'Istituto,
sia delle componenti
demandate in outsourcing.
Governo del Rischio ITGoverno del
Rischio IT
Sistemi di monitoraggio (KRI)
Ruoli e Responsabilità
Metodologia dianalisi del rischio
Presidio Outsourcer
12.12.2014 - ISACA Venice Chapter
6 Cyber Risk Management with COBIT® 5
Ruoli e Responsabilità
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
Presidio outsourcer
Governo del Rischio ITGoverno del
Rischio IT
Sistemi di monitoraggio (KRI)
Ruoli e Responsabilità
Metodologia dianalisi del rischio
Presidio Outsourcer
La normativa fornisce precisi
requisiti sui principali ruoli e
responsabilità f nel governo e nella
gestione del rischio informatico
OFSS, OFG, Utente responsabile, Funzione IT, Funzione Sicurezza Informatica, Funzioni di controllo (Internal audit,Risk Management, Compliance)
Se ci confrontiamo con alcune Best Practices (COBIT!) ritroviamo una certa analogia
12.12.2014 - ISACA Venice Chapter
7 Cyber Risk Management with COBIT® 5
Metodologia di analisi del rischio
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
Presidio outsourcer
Governo del Rischio ITGoverno del
Rischio IT
Sistemi di monitoraggio (KRI)
Ruoli e Responsabilità
Metodologia dianalisi del rischio
Presidio Outsourcer
DEFINIZIONE PRELIMINARE DEGLI ASPETTI CARATTERIZZANTI IL MODELLO
PROCESSO IT RISK ANALYSISATTIVITA’ IT RISK ANALYSIS INTEGRATIVE PROCESSO IT RISK MANAGEMENT
INTEGRAZIONE RISK MANAGEMENT
Predisposizione delle definizioni e tassonomie
Definizione risk catalogue
Predisposizione metriche di misurazione rischio
Schema e processo di Classificazione risorse IT
Consolidamento mappatura risorse ICT
Determinazione modello di gestione incident
Ulteriori aspetti modello (ruoli, meccanismi coord.)
Valutazione del rischio potenziale
Analisi misure di protezione e vulnerabilità
Analisi del profilo di rischio del contesto generale
Realizzazione ulteriori analisi dei rischi (BCM…)
Ricezione ed elaborazione informazioni ai fini ORM
Alimentazione RAF e determinazione linee strategiche
Analisi rischio residuo e determinazione azioni di gestione
Approvazione livelli di rischio e documentazione
A partire dai modelli standard ISO3100 e ISO27005 sono stati individuati i componenti del modello di IT Risk Management
12.12.2014 - ISACA Venice Chapter
8 Cyber Risk Management with COBIT® 5
Metodologia di analisi del rischio
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
Presidio outsourcer
Governo del Rischio ITGoverno del
Rischio IT
Sistemi di monitoraggio (KRI)
Ruoli e Responsabilità
Metodologia dianalisi del rischio
Presidio Outsourcer Risk Catalogue
(IT)Threats catalogue
Vulnerab.
catalogue
Controls
catalogue
Risorse ICT
Criteri di
Classificazione
Dati
Processi di
business
IT risk
Probabilità Impatto
Business strategies
IT strategies
Riservatezza, integrità, Disponibilità, Qualità, affidabilità, ,
IT Risk Scenarios
I requisiti della metodologia di
analisi dei rischi IT dipendono dal
contesto sia interno che esterno ma si
possono identificare alcuni punti saldi
Identificazione dell’ambito e del perimetro (che sappiamo non essere la stessa cosa)
Composizione e valutazione del Risk scenario
Valutazione (e importanti integrazioni – es. BCM) della componente di impatto
12.12.2014 - ISACA Venice Chapter
9 Cyber Risk Management with COBIT® 5
Approccio per la definizione di un modello di IT Risk Management A partire dai modelli standard ISO3100 e ISO27005 sono stati individuati i componenti del modello di IT Risk Management
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di IT Risk Management
DEFINIZIONE PRELIMINARE DEGLI ASPETTI CARATTERIZZANTI IL MODELLO
PROCESSO IT RISK ANALYSIS ATTIVITA’ IT RISK ANALYSIS INTEGRATIVE PROCESSO IT RISK MANAGEMENT
INTEGRAZIONE RISK MANAGEMENT
Predisposizione delle definizioni e tassonomie
Definizione risk catalogue
Predisposizione metriche di misurazione rischio
Schema e processo di Classificazione risorse IT
Consolidamento mappatura risorse ICT
Determinazione modello di gestione incident
Ulteriori aspetti modello (ruoli, meccanismi coord.)
Valutazione del rischio potenziale
Analisi misure di protezione e vulnerabilità
Analisi del profilo di rischio del contesto generale
Realizzazione ulteriori analisi dei rischi (BCM…)
Ricezione ed elaborazione informazioni ai fini ORM
Alimentazione RAF e determinazione linee strategiche
Analisi rischio residuo e determinazione azioni di gestione
Approvazione livelli di rischio e documentazione
12.12.2014 - ISACA Venice Chapter
10 Cyber Risk Management with COBIT® 5
Metodologia di analisi del rischio
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
Presidio outsourcer
Governo del Rischio ITGoverno del
Rischio IT
Sistemi di monitoraggio (KRI)
Ruoli e Responsabilità
Metodologia dianalisi del rischio
Presidio Outsourcer
Il concetto di risk scenario
rappresenta un possibile legame per l’integrazione delle
metodologie di analisi del rischio IT con i modelli ORM
Il concetto CobIT (IT Governance) si può intendere come una elaborazione della tripletta ISO27005 (minaccia, vulnerabilità, asset)
La costruzione degli scenari di rischio e la loro valutazione rimangono al centro della metodologia
12.12.2014 - ISACA Venice Chapter
11 Cyber Risk Management with COBIT® 5
Metodologia di analisi del rischio – COBIT Risk Scenarios
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
Categorie di Risk Scenario
Portfolio establishment and maintenance Regulatory compliance
Programme/projects life cycle management (programme/
projects initiation, economics, delivery, quality and termination)
Supplier selection/performance, contractual compliance, termination of service and transfer
IT investment decision making Geopolitical
IT expertise and skills Infrastructure theft or destruction
Staff operations (human error and malicious intent) Malware
Information (data breach: damage, leakage and access) Logical attacks
Architecture (architectural vision and design) Industrial action
Infrastructure (hardware, operating system and controlling
technology) (selection/ implementation, operations and decommissioning)
Environmental
Software Acts of nature
Business ownership of IT Innovation
12.12.2014 - ISACA Venice Chapter
12 Cyber Risk Management with COBIT® 5
Metodologia di analisi del rischio Come accennato, l’ambito definito per l’analisi del rischio può spaziare su argomenti differenti che possono avere impatto secondo la definizione data dalla normativa
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
12.12.2014 - ISACA Venice Chapter
13 Cyber Risk Management with COBIT® 5
Rischio inerente vs rischio residuo Come da indicazioni dei principali standard/best practice di riferimento, la determinazione del rischio il processo di analisi del rischio è generalmente realizzato attraverso tre step operativi.
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
Valutazione del rischio inerente
• Ottenuta dalla combinazione tra la probabilità di manifestazione di un evento avverso e la significatività dell’impatto
valutazione del sistema di controllo
• Ottenuta dalla verifica della presenza e della relativa della valutazione degli opportuni presidi di controllo implementati sugli asset IT
determinazione del rischio residuo
• Ottenuta dalla combinazione tra il rischio inerente e la valutazione del sistema di controllo.
Il rischio inerente, sebbene teoricamente sia un concetto semplice ed elegante che può essere definito come "il rischio implicito nella natura stessa dell’attività ed è presente in ogni business, prodotto o processo la cui stima non tiene in considerazione i controlli eventualmente esistenti", dal punto di vista pratico introduce qualche complicazione (Rif. Principio di indeterminazione
di Heisenberg )
12.12.2014 - ISACA Venice Chapter
14 Cyber Risk Management with COBIT® 5
Presidi di trattamento del rischio - Breve richiamo alla definizione del rischio IT E’ sicuramente un nodo centrale di tutta la metodologia perché influenza gli obiettivi dell’intero processo di Risk management.
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
“IT risk as business risk, specifically, the business risk associated with the use, ownership, operation, involvement,
influence and adoption of IT within an enterprise. IT risk consists of IT-related events that could potentially impact the
business.”
“Rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologia
dell’informazione e della comunicazione”
Contesto: definizione e obiettivi
Ambito di applicazione e di controllo
Identificazione, analisi e valutazione rischi
Controlli/presidi di trattamento del rischio
12.12.2014 - ISACA Venice Chapter
15 Cyber Risk Management with COBIT® 5
Presidi di trattamento del rischio - Prevenzione e attenuazione del rischio IT Il processo di trattamento del rischio ha caratteristiche simili in tutte le metodologie standard ma, come detto, dipende nei contenuti dagli obiettivi di contesto che il Risk Management si pone
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
… riportare sotto la soglia identificata come accettabile il livello di rischio …
12.12.2014 - ISACA Venice Chapter
16 Cyber Risk Management with COBIT® 5
Presidi di trattamento del rischio – L’ambito del controllo A seconda dell’ampiezza dello scope della metodologia di IT Risk Management il catalogo dei controlli (o della relativa assenza e quindi delle vulnerabilità) si declina attraverso ambiti differenti
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
Processi Asset Dati
IT Governance IT Security Data Governance
Data Quality
Catalogo “Vulnerabilità/Controlli”
Data Control Framework ISO 27001 Annex A Security Controls
CobIT Enablers
12.12.2014 - ISACA Venice Chapter
17 Cyber Risk Management with COBIT® 5
Presidi di tipo tecnico e organizzativo - Risk Scenario vs CobIT Enablers (1/3) Nel più ampio ambito del IT Governance il CobIT utilizza i propri Enablers come strumento di mitigazione dei rischi COBIT fornisce una serie di esempi di come gli Enablers possono essere usati per mitigare agli scenari di rischio. Per ognuna delle 20 categorie di scenari di rischio, sono previste possibili azioni di mitigazione relative agli Enablers
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
12.12.2014 - ISACA Venice Chapter
18 Cyber Risk Management with COBIT® 5
Presidi di tipo tecnico e organizzativo - Risk Scenario vs CobIT Enablers (2/3)
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
12.12.2014 - ISACA Venice Chapter
19 Cyber Risk Management with COBIT® 5
Presidi di tipo tecnico e organizzativo - Risk Scenario vs CobIT Enablers (3/3)
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
12.12.2014 - ISACA Venice Chapter
20 Cyber Risk Management with COBIT® 5
Presidi di tipo tecnico e organizzativo - IT Security Control
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
L’annex A della ISO27001 raccoglie un insieme di controlli finalizzati a ridurre le vulnerabilità degli asset (IT e non IT) che possono avere impatto sulla sicurezza delle informazioni (mitigazione del rischio di sicurezza delle informazioni ) … e del rischio IT?
12.12.2014 - ISACA Venice Chapter
21 Cyber Risk Management with COBIT® 5
Presidi di tipo tecnico e organizzativo - IT Control e Outsourcers (1/3) L’applicazione dei controlli si applica anche all’asset contratto/outsorcers
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
Area Verifica
Sicurezza e confidenzialità
Responsabilità del fornitore Verificare che il contratto preveda una dichiarazione, da parte del Fornitore, relativamente al mantenimento della sicurezza delle informazioni relative all'attività della banca sotto l'aspetto della disponibilità, integrità e riservatezza assicurando, altresì, il rispetto delle norme sulla protezione dei dati personali.
Diritto di comunicazione delle vulnerabilità di sicurezza
Qualora il fornitore eroghi servizi particolarmente critici, verificare che il contratto specifichi per il Fornitore la responsabilità di rendere noto alla Banca le vulnerabilità di sicurezza presenti nella propria infrastruttura, oltre ai presidi di sicurezza con riferimento alle principali minacce interne ed esterne, anche attraverso Internet, implementati dal Fornitore a mitigazione.
Diritto di comunicazione di eventi impattanti e incidenti di sicurezza
Verificare nel contratto che il Fornitore si impegni espressamente ad informare la Banca di qualsiasi evento che potrebbe incidere sulla sua capacità di svolgere le funzioni esternalizzate in maniera efficace e in conformità con la normativa vigente e, in particolare, di comunicare tempestivamente il verificarsi di incidenti di sicurezza anche al fine di consentire la pronta attivazione delle procedure di gestione o di emergenza. Nota: verificare l'obbligo di comunicare alla Banca le violazioni di sicurezza (es. intrusioni) di cui è stato oggetto e le contromisure adottate per risanare la situazione.
Tracciamento e responsabilità
Verificare nel contratto se è disciplinata la predisposizione di misure di tracciamento idonee a garantire la responsabilità e la ricostruibilità delle operazioni effettuate, almeno con riferimento alle operazioni critiche e agli accessi a dati o strutture riservati.
Non Disclosure Agreement Verificare che il contratto preveda l'impegno da parte del Fornitore di sottoscrivere un accordo di confidenzialità e non diffusione (Non Disclosure Agreement) delle informazioni e dei dati (o di parte degli stessi, da concordare) che dovessero essere trattati durante la fornitura di prodotti e servizi contrattuali. Deve essere specificata esplicitamente la possibilità di rivalsa da parte della Banca in caso di non adempimento del Fornitore.
12.12.2014 - ISACA Venice Chapter
22 Cyber Risk Management with COBIT® 5
Presidi di tipo tecnico e organizzativo - IT Control e Outsourcers (2/3) L’applicazione dei controlli si applica anche all’asset contratto/outsorcers
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
Area Verifica
Requisiti generali
Ambito e perimetro del servizio Verificare se è ben qualificato l'ambito e il perimetro del servizio nel contratto (ad es. all'interno di una specifica sezione a parte).
Diritti, obblighi e responsabilità Verificare che nel contratto siano formalizzati e definiti i rispettivi diritti e obblighi delle parti
Dichiarazione di competenza Verificare che nel contratto il Fornitore dichiari espressamente di disporre della competenza, della capacità e delle autorizzazioni richieste dalla legge per esercitare in maniera professionale ed affidabile le funzioni esternalizzate.
Riferimento al Referente per le attività esternalizzate della Banca
Verificare nel contratto con il Fornitore il riferimento specifico al "Referente delle attiità esternalizzate" interno all'organizzazione della Banca, figura dotata di adeguati requisiti di professionalità e deputata al controllo delle funzioni esternalizzate.
Correlazione con altri sistemi/prodotti Verificare, ove applicabile, che le clausole relative all'erogazione considerino eventuali correlazioni ad altri sistemi/prodotti, sviluppati da fornitori differenti.
Divieto di cessione del contratto Verificare l'asenza di clausole che consentono la cessione del contratto.
Diritti di modifica all'accordo / servizi Valutare che il contratto espliciti il diritto, eventualmente per entrambe le parti, di apportare modifiche ai servizi definiti nel contratto.
Service Level Agreement (SLA)
Definizione dei Livelli di Servizio Attesi Verificare che il contratto definisca i livelli di servizio attesi.
Definizione SLA Verificare che i livelli di servizio attesi siano espressi in termini oggettivi e misurabili. Nota:Verificare che il contratto definisca ed includa degli standard di misurazione delle performance (es. metriche come la percentuale di uptime dei sistemi, numero di errori, etc.) in modo da definire in termini oggettivi e misurabili gli SLA formalizzati.
Report e modalità di verifica degli SLA
Verificare la presenza delle informazioni necessarie per verifica del rispetto dei livelli di servizio attesi. Nota:Verificare che nel contratto siano definite le modalità di condivisione degli SLA formalizzati. Oltre alla tipologia dei report ed alle modalità di generazione adottate, devono essere contrattualmente esplicitate le modalità di invio verso la Banca e la periodicità di invio. A queste informazioni dovrebbero aggiungersi anche eventuali costi (per la Banca) per l'ottenimento di eventuali report personalizzati e/o aggiuntivi.
12.12.2014 - ISACA Venice Chapter
23 Cyber Risk Management with COBIT® 5
Presidi di tipo tecnico e organizzativo - IT Control e Outsourcers (3/3)
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
Area Verifica
Diritto di Audit
Diritto di Audit
Verificare che il contratto espliciti la possibilità, per la Banca, per i suoi soggetti incaricati della revisione legale dei conti e per l'Autorità di Vigilanza devono avere effettivo accesso ai dati relativi alle attività esternalizzate e ai locali in cui opera il fornitore. Il diritto di accesso per l'Autorità di Vigilanza deve risultare espressamente dal contratto sensza oneri aggiuntivi per l'intermediario. Nota: Contestualmente, devono essere definiti costi e vincoli per l'esecuzione di tali attività.
Modalità e tempistiche per ricezione dell'audit report
Nel contratto dovrebbe essere specificata la frequenza con cui condurre gli audit, eventuali spese per ottenere i risultati di audit e le tempistiche entro cui i report devono pervenire alla Banca.
Possibilità di Penetration Testing Verificare che il contratto preveda la possibilità per la Banca di effettuare verifiche sulla sicurezza dei servizi forniti dal Fornitore per mezzo di Penetration Test effettuati dalla Banca stessa o da terzi. Il perimetro e scopo delle verifiche devono essere concordate preventivamente.
Reportistica
Reports Verificare che i termini contrattuali includano la frequenza e la tipologia di report di cui la Banca potrebbe necessitare (performance reports, audit controls, financial statements, security, business resumption testing reports). A queste informazioni dovrebbero aggiungersi anche i costi per l'ottenimento di eventuali report personalizzati.
Costi e penali
Responsabilità e costi addizionali Verificare che il contratto espliciti, qualora ve ne sia l'esigenza, la presenza e la strutturazione di costi addizionali e ne indirizzi le responsabilità.
Sub-contractors e fornitori multipli
Approvazioni e notifiche per modifiche ai contratti in subappalto
Verificare se il contratto prevede che eventuali rapporti di sub-esternalizzazione siano preventivamente concordati con la Banca e siano definiti in modo da consentire il pieno rispetto di tutte le condizioni sopra elencate relative al contratto primario, inclusa la possibilità per l'Autorità di vigilanza di avere accesso ai dati relativi alle attività esternalizzate e ai locali in cui opera il sub-fornitore di servizi. Nota: Il preventivo accordo con la Banca deve essere previsto anche in caso di sostituzione dei subappaltatori.
Notifiche per cambiamenti ai subappaltati
Verificare che il contratto definisca le modalità con cui notificare alla Banca eventuali modifiche (es. contrattuali, strutturali, organizzative) inerenti ai fornitori subappaltati.
12.12.2014 - ISACA Venice Chapter
24 Cyber Risk Management with COBIT® 5
Sistemi di monitoraggio (KRI) KRI - Uno strumento per il monitoraggio, la gestione e la comunicazione
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk
Presidio outsourcer
Qualsiasi metrica che può essere utilizzata per descrivere e
monitorare un rischio è definibile
come Key Risk Indicator
Anche in questo caso il CobIT ci viene in aiuto per fornirci una serie di utili spunti al fine di definire un modello di controllo del rischio informatico che permetta di sviluppare i processi di comunicazione interni ed esterni (Rif. ISO31000)
I requisiti che devono essere garantiti da un KRI
Collegamento a specifici rischi / scenari di rischio
Specifici nella loro definizione in modo da essere replicabili e confrontabili nel tempo
Correlati da specifiche di calcolo formalizzate
Agevoli da misurare attraverso i processi di gestione e governo dell’IT già presenti
Aggregati e/o correlati tra loro secondo logiche di dominio o di scenario
Governo del Rischio ITGoverno del
Rischio IT
Sistemi di monitoraggio (KRI)
Ruoli e Responsabilità
Metodologia dianalisi del rischio
Presidio Outsourcer
12.12.2014 - ISACA Venice Chapter
25 Cyber Risk Management with COBIT® 5
Sistemi di monitoraggio (KRI) KRI - Uno strumento per il monitoraggio, la gestione e la comunicazione
Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk