il rischio informatico e le nuove - isaca.org · determinazione azioni di gestione approvazione...

12.12.2014 - ISACA Venice Chapter

1 Cyber Risk Management with COBIT® 5

Il Rischio Informatico e le nuove Disposizioni di Vigilanza di Banca d’Italia

Luca Lora Lamia Manager IRM - KPMG



Capitolo 7: Il sistema dei controlli interni • Sezione I: Disposizioni preliminari e principi generali • Sezione II: Il ruolo degli organi aziendali • Sezione III: Funzioni aziendali di controllo • Sezione IV: Esternalizzazione di funzioni aziendali (Outsourcing) al di fuori del gruppo bancario • Sezione V: Il RAF, il sistema dei controlli interni e l’esternalizzazione nei gruppi bancari • Sezione VI: Imprese di riferimento • Sezione VII: Succursali di banche comunitarie e di banche extracomunitarie aventi sede nei paesi del Gruppo dei

Dieci o in quelli inclusi in un elenco pubblicato dalla Banca d’Italia • Sezione VIII: Informativa alla Banca d’Italia

Capitolo 8: Sistema informativo • Sezione I: Disposizioni di carattere generale • Sezione II: Governo e organizzazione del sistema informativo

• Sezione III: L’analisi del rischio informatico

• Sezione IV: La gestione della sicurezza informatica • Sezione V: Il sistema di gestione dei dati • Sezione VI: L’esternalizzazione del sistema informativo

Capitolo 9: Disposizioni in materia di continuità operativa • Allegato A – Sezione I: Disposizioni di carattere generale • Allegato A – Sezione II: Requisiti per tutti gli operatori • Allegato A – Sezione III: Requisiti particolari per i processi

Disposizioni di Vigilanza Prudenziale di Banca d’Italia Aggiornamento Titolo V: struttura del documento

.

Il concetto di “Rischio” pervade tutta la normativa in oggetto, a partire dal Cap. 7 dedicato al sistema dei controlli interni in ambito di governo aziendale per poi verticalizzare la propria declinazione in ambito informatico (Cap 8 - Sistema informativo) e nella continuità operativa (Cap 9 - Disposizioni in materia di continuità operativa).



La Circolare definisce (rif.Sez.I, cap.8) il rischio informatico come "il rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologia dell’informazione e della comunicazione. Nella rappresentazione integrata dei rischi aziendali a fini prudenziali (ICAAP), tale tipologia di rischio è considerata, secondo gli specifici aspetti, tra i rischi operativi, reputazionali e strategici"

Disposizioni di Vigilanza Prudenziale di Banca d’Italia Definizione del Rischio Informatico

Rischi Operativi Altri Rischi (Strategici,reputazionali)

Rischi ITI rischi IT devono tener conto sia delle componenti IT interne all'Istituto, sia delle componenti demandate in outsourcing.

Rischi interni all'Istituto

Rischi interni all'Istituto

Rischi ITSecurity

I rischi di sicurezza informatica, pur avendo modalità specifiche di gestione, sono ricompresi nei rischi IT

Imp

att

o

Even

to

ICT

Sicurezza informatica

Change ManagementOperations

Rischi IT

Mancata Integrazione

sistemi

Ousourcing

Incident ICT Hw/Sw fault

ICT Project failure

Operativo (Economico)

Strategico

Reputazionale

Rischi Aziendali

Operativo (Economico)

Strategico

Reputazionale



Approccio di Governo del Rischio Informatico secondo la 263

Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di Governo del IT Risk

Governo del Rischio IT

• Assetto organizzativo interno (struttura della funzione IT, della funzione di sicurezza informatica….);

• Evoluzione dei servizi/ prodotti offerti alla clientela (servizi on-line, …);

• Attività demandate in outsourcing (outsourcer IT);

• Attività di sviluppo applicativo;

• Continua evoluzione delle normative cogenti (Circolare 263..)

• Trasformazione delle minacce (aumento numerosità e natura, modifica delle modalità di attacco)

• Affermazione di nuovi paradigmi tecnologici (cloud, mobile, big data, Social media…)

• Aumento delle interazioni tra enti del sistema (banche, soggetti istituzionali)

• Indicazioni di standard e best practice di sicurezza

Aspetti di contesto esterno

Sistemi di monitoraggio (KRI)

Metodologia di analisi del rischio

Ruoli e Responsabilità

Presidio Outsourcer

Aspetti di contesto Interno

Governo del Rischio IT



Presidio Outsourcer


Presidio outsourcer

Raccordo di ruoli e procedure, definiti dagli istituti, per il processo di analisi del rischio;

Condivisione della metodologia implementata dagli outsourcer per l'analisi del rischio informatico

Accettazione formale del rischio residuo emerso dall'anali da parte degli Istituti

Integrazione in ambito Metodologico Uniformità della tassonomia Collegamento degli scenari (minacce, vulnerabilità

controlli) Criteri e metriche di valutazione

Integrazione in ambito di processo Integrazione con i processi e i modelli ORM della

Banca Valutazione del componente “impatto” relativo al

servizio erogato Integrazione in ambito di gestione on-going

Incident Management Change Management

I rischi IT devono tener conto sia delle

componenti IT interne all'Istituto,

sia delle componenti

demandate in outsourcing.

Governo del Rischio ITGoverno del

Rischio IT



Metodologia dianalisi del rischio

Presidio Outsourcer





Presidio outsourcer


Rischio IT




Presidio Outsourcer

La normativa fornisce precisi

requisiti sui principali ruoli e

responsabilità f nel governo e nella

gestione del rischio informatico

OFSS, OFG, Utente responsabile, Funzione IT, Funzione Sicurezza Informatica, Funzioni di controllo (Internal audit,Risk Management, Compliance)

Se ci confrontiamo con alcune Best Practices (COBIT!) ritroviamo una certa analogia





Presidio outsourcer


Rischio IT




Presidio Outsourcer

DEFINIZIONE PRELIMINARE DEGLI ASPETTI CARATTERIZZANTI IL MODELLO

PROCESSO IT RISK ANALYSISATTIVITA’ IT RISK ANALYSIS INTEGRATIVE PROCESSO IT RISK MANAGEMENT

INTEGRAZIONE RISK MANAGEMENT

Predisposizione delle definizioni e tassonomie

Definizione risk catalogue

Predisposizione metriche di misurazione rischio

Schema e processo di Classificazione risorse IT

Consolidamento mappatura risorse ICT

Determinazione modello di gestione incident

Ulteriori aspetti modello (ruoli, meccanismi coord.)

Valutazione del rischio potenziale

Analisi misure di protezione e vulnerabilità

Analisi del profilo di rischio del contesto generale

Realizzazione ulteriori analisi dei rischi (BCM…)

Ricezione ed elaborazione informazioni ai fini ORM

Alimentazione RAF e determinazione linee strategiche

Analisi rischio residuo e determinazione azioni di gestione

Approvazione livelli di rischio e documentazione

A partire dai modelli standard ISO3100 e ISO27005 sono stati individuati i componenti del modello di IT Risk Management





Presidio outsourcer


Rischio IT




Presidio Outsourcer Risk Catalogue

(IT)Threats catalogue

Vulnerab.

catalogue

Controls

catalogue

Risorse ICT

Criteri di

Classificazione

Dati

Processi di

business

IT risk

Probabilità Impatto

Business strategies

IT strategies

Riservatezza, integrità, Disponibilità, Qualità, affidabilità, ,

IT Risk Scenarios

I requisiti della metodologia di

analisi dei rischi IT dipendono dal

contesto sia interno che esterno ma si

possono identificare alcuni punti saldi

Identificazione dell’ambito e del perimetro (che sappiamo non essere la stessa cosa)

Composizione e valutazione del Risk scenario

Valutazione (e importanti integrazioni – es. BCM) della componente di impatto



Approccio per la definizione di un modello di IT Risk Management A partire dai modelli standard ISO3100 e ISO27005 sono stati individuati i componenti del modello di IT Risk Management

Disposizioni di Vigilanza Prudenziale di Banca d’Italia Modello di IT Risk Management

DEFINIZIONE PRELIMINARE DEGLI ASPETTI CARATTERIZZANTI IL MODELLO

PROCESSO IT RISK ANALYSIS ATTIVITA’ IT RISK ANALYSIS INTEGRATIVE PROCESSO IT RISK MANAGEMENT

INTEGRAZIONE RISK MANAGEMENT

Predisposizione delle definizioni e tassonomie

Definizione risk catalogue

Predisposizione metriche di misurazione rischio

Schema e processo di Classificazione risorse IT

Consolidamento mappatura risorse ICT

Determinazione modello di gestione incident

Ulteriori aspetti modello (ruoli, meccanismi coord.)

Valutazione del rischio potenziale

Analisi misure di protezione e vulnerabilità

Analisi del profilo di rischio del contesto generale

Realizzazione ulteriori analisi dei rischi (BCM…)

Ricezione ed elaborazione informazioni ai fini ORM

Alimentazione RAF e determinazione linee strategiche

Analisi rischio residuo e determinazione azioni di gestione

Approvazione livelli di rischio e documentazione





Presidio outsourcer


Rischio IT




Presidio Outsourcer

Il concetto di risk scenario

rappresenta un possibile legame per l’integrazione delle

metodologie di analisi del rischio IT con i modelli ORM

Il concetto CobIT (IT Governance) si può intendere come una elaborazione della tripletta ISO27005 (minaccia, vulnerabilità, asset)

La costruzione degli scenari di rischio e la loro valutazione rimangono al centro della metodologia



Metodologia di analisi del rischio – COBIT Risk Scenarios


Categorie di Risk Scenario

Portfolio establishment and maintenance Regulatory compliance

Programme/projects life cycle management (programme/

projects initiation, economics, delivery, quality and termination)

Supplier selection/performance, contractual compliance, termination of service and transfer

IT investment decision making Geopolitical

IT expertise and skills Infrastructure theft or destruction

Staff operations (human error and malicious intent) Malware

Information (data breach: damage, leakage and access) Logical attacks

Architecture (architectural vision and design) Industrial action

Infrastructure (hardware, operating system and controlling

technology) (selection/ implementation, operations and decommissioning)

Environmental

Software Acts of nature

Business ownership of IT Innovation



Metodologia di analisi del rischio Come accennato, l’ambito definito per l’analisi del rischio può spaziare su argomenti differenti che possono avere impatto secondo la definizione data dalla normativa




Rischio inerente vs rischio residuo Come da indicazioni dei principali standard/best practice di riferimento, la determinazione del rischio il processo di analisi del rischio è generalmente realizzato attraverso tre step operativi.


Valutazione del rischio inerente

• Ottenuta dalla combinazione tra la probabilità di manifestazione di un evento avverso e la significatività dell’impatto

valutazione del sistema di controllo

• Ottenuta dalla verifica della presenza e della relativa della valutazione degli opportuni presidi di controllo implementati sugli asset IT

determinazione del rischio residuo

• Ottenuta dalla combinazione tra il rischio inerente e la valutazione del sistema di controllo.

Il rischio inerente, sebbene teoricamente sia un concetto semplice ed elegante che può essere definito come "il rischio implicito nella natura stessa dell’attività ed è presente in ogni business, prodotto o processo la cui stima non tiene in considerazione i controlli eventualmente esistenti", dal punto di vista pratico introduce qualche complicazione (Rif. Principio di indeterminazione

di Heisenberg )



Presidi di trattamento del rischio - Breve richiamo alla definizione del rischio IT E’ sicuramente un nodo centrale di tutta la metodologia perché influenza gli obiettivi dell’intero processo di Risk management.


“IT risk as business risk, specifically, the business risk associated with the use, ownership, operation, involvement,

influence and adoption of IT within an enterprise. IT risk consists of IT-related events that could potentially impact the

business.”

“Rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologia

dell’informazione e della comunicazione”

Contesto: definizione e obiettivi

Ambito di applicazione e di controllo

Identificazione, analisi e valutazione rischi

Controlli/presidi di trattamento del rischio



Presidi di trattamento del rischio - Prevenzione e attenuazione del rischio IT Il processo di trattamento del rischio ha caratteristiche simili in tutte le metodologie standard ma, come detto, dipende nei contenuti dagli obiettivi di contesto che il Risk Management si pone


… riportare sotto la soglia identificata come accettabile il livello di rischio …



Presidi di trattamento del rischio – L’ambito del controllo A seconda dell’ampiezza dello scope della metodologia di IT Risk Management il catalogo dei controlli (o della relativa assenza e quindi delle vulnerabilità) si declina attraverso ambiti differenti


Processi Asset Dati

IT Governance IT Security Data Governance

Data Quality

Catalogo “Vulnerabilità/Controlli”

Data Control Framework ISO 27001 Annex A Security Controls

CobIT Enablers



Presidi di tipo tecnico e organizzativo - Risk Scenario vs CobIT Enablers (1/3) Nel più ampio ambito del IT Governance il CobIT utilizza i propri Enablers come strumento di mitigazione dei rischi COBIT fornisce una serie di esempi di come gli Enablers possono essere usati per mitigare agli scenari di rischio. Per ognuna delle 20 categorie di scenari di rischio, sono previste possibili azioni di mitigazione relative agli Enablers




Presidi di tipo tecnico e organizzativo - Risk Scenario vs CobIT Enablers (2/3)




Presidi di tipo tecnico e organizzativo - Risk Scenario vs CobIT Enablers (3/3)




Presidi di tipo tecnico e organizzativo - IT Security Control


L’annex A della ISO27001 raccoglie un insieme di controlli finalizzati a ridurre le vulnerabilità degli asset (IT e non IT) che possono avere impatto sulla sicurezza delle informazioni (mitigazione del rischio di sicurezza delle informazioni ) … e del rischio IT?



Presidi di tipo tecnico e organizzativo - IT Control e Outsourcers (1/3) L’applicazione dei controlli si applica anche all’asset contratto/outsorcers


Area Verifica

Sicurezza e confidenzialità

Responsabilità del fornitore Verificare che il contratto preveda una dichiarazione, da parte del Fornitore, relativamente al mantenimento della sicurezza delle informazioni relative all'attività della banca sotto l'aspetto della disponibilità, integrità e riservatezza assicurando, altresì, il rispetto delle norme sulla protezione dei dati personali.

Diritto di comunicazione delle vulnerabilità di sicurezza

Qualora il fornitore eroghi servizi particolarmente critici, verificare che il contratto specifichi per il Fornitore la responsabilità di rendere noto alla Banca le vulnerabilità di sicurezza presenti nella propria infrastruttura, oltre ai presidi di sicurezza con riferimento alle principali minacce interne ed esterne, anche attraverso Internet, implementati dal Fornitore a mitigazione.

Diritto di comunicazione di eventi impattanti e incidenti di sicurezza

Verificare nel contratto che il Fornitore si impegni espressamente ad informare la Banca di qualsiasi evento che potrebbe incidere sulla sua capacità di svolgere le funzioni esternalizzate in maniera efficace e in conformità con la normativa vigente e, in particolare, di comunicare tempestivamente il verificarsi di incidenti di sicurezza anche al fine di consentire la pronta attivazione delle procedure di gestione o di emergenza. Nota: verificare l'obbligo di comunicare alla Banca le violazioni di sicurezza (es. intrusioni) di cui è stato oggetto e le contromisure adottate per risanare la situazione.

Tracciamento e responsabilità

Verificare nel contratto se è disciplinata la predisposizione di misure di tracciamento idonee a garantire la responsabilità e la ricostruibilità delle operazioni effettuate, almeno con riferimento alle operazioni critiche e agli accessi a dati o strutture riservati.

Non Disclosure Agreement Verificare che il contratto preveda l'impegno da parte del Fornitore di sottoscrivere un accordo di confidenzialità e non diffusione (Non Disclosure Agreement) delle informazioni e dei dati (o di parte degli stessi, da concordare) che dovessero essere trattati durante la fornitura di prodotti e servizi contrattuali. Deve essere specificata esplicitamente la possibilità di rivalsa da parte della Banca in caso di non adempimento del Fornitore.



Presidi di tipo tecnico e organizzativo - IT Control e Outsourcers (2/3) L’applicazione dei controlli si applica anche all’asset contratto/outsorcers


Area Verifica

Requisiti generali

Ambito e perimetro del servizio Verificare se è ben qualificato l'ambito e il perimetro del servizio nel contratto (ad es. all'interno di una specifica sezione a parte).

Diritti, obblighi e responsabilità Verificare che nel contratto siano formalizzati e definiti i rispettivi diritti e obblighi delle parti

Dichiarazione di competenza Verificare che nel contratto il Fornitore dichiari espressamente di disporre della competenza, della capacità e delle autorizzazioni richieste dalla legge per esercitare in maniera professionale ed affidabile le funzioni esternalizzate.

Riferimento al Referente per le attività esternalizzate della Banca

Verificare nel contratto con il Fornitore il riferimento specifico al "Referente delle attiità esternalizzate" interno all'organizzazione della Banca, figura dotata di adeguati requisiti di professionalità e deputata al controllo delle funzioni esternalizzate.

Correlazione con altri sistemi/prodotti Verificare, ove applicabile, che le clausole relative all'erogazione considerino eventuali correlazioni ad altri sistemi/prodotti, sviluppati da fornitori differenti.

Divieto di cessione del contratto Verificare l'asenza di clausole che consentono la cessione del contratto.

Diritti di modifica all'accordo / servizi Valutare che il contratto espliciti il diritto, eventualmente per entrambe le parti, di apportare modifiche ai servizi definiti nel contratto.

Service Level Agreement (SLA)

Definizione dei Livelli di Servizio Attesi Verificare che il contratto definisca i livelli di servizio attesi.

Definizione SLA Verificare che i livelli di servizio attesi siano espressi in termini oggettivi e misurabili. Nota:Verificare che il contratto definisca ed includa degli standard di misurazione delle performance (es. metriche come la percentuale di uptime dei sistemi, numero di errori, etc.) in modo da definire in termini oggettivi e misurabili gli SLA formalizzati.

Report e modalità di verifica degli SLA

Verificare la presenza delle informazioni necessarie per verifica del rispetto dei livelli di servizio attesi. Nota:Verificare che nel contratto siano definite le modalità di condivisione degli SLA formalizzati. Oltre alla tipologia dei report ed alle modalità di generazione adottate, devono essere contrattualmente esplicitate le modalità di invio verso la Banca e la periodicità di invio. A queste informazioni dovrebbero aggiungersi anche eventuali costi (per la Banca) per l'ottenimento di eventuali report personalizzati e/o aggiuntivi.



Presidi di tipo tecnico e organizzativo - IT Control e Outsourcers (3/3)


Area Verifica

Diritto di Audit

Diritto di Audit

Verificare che il contratto espliciti la possibilità, per la Banca, per i suoi soggetti incaricati della revisione legale dei conti e per l'Autorità di Vigilanza devono avere effettivo accesso ai dati relativi alle attività esternalizzate e ai locali in cui opera il fornitore. Il diritto di accesso per l'Autorità di Vigilanza deve risultare espressamente dal contratto sensza oneri aggiuntivi per l'intermediario. Nota: Contestualmente, devono essere definiti costi e vincoli per l'esecuzione di tali attività.

Modalità e tempistiche per ricezione dell'audit report

Nel contratto dovrebbe essere specificata la frequenza con cui condurre gli audit, eventuali spese per ottenere i risultati di audit e le tempistiche entro cui i report devono pervenire alla Banca.

Possibilità di Penetration Testing Verificare che il contratto preveda la possibilità per la Banca di effettuare verifiche sulla sicurezza dei servizi forniti dal Fornitore per mezzo di Penetration Test effettuati dalla Banca stessa o da terzi. Il perimetro e scopo delle verifiche devono essere concordate preventivamente.

Reportistica

Reports Verificare che i termini contrattuali includano la frequenza e la tipologia di report di cui la Banca potrebbe necessitare (performance reports, audit controls, financial statements, security, business resumption testing reports). A queste informazioni dovrebbero aggiungersi anche i costi per l'ottenimento di eventuali report personalizzati.

Costi e penali

Responsabilità e costi addizionali Verificare che il contratto espliciti, qualora ve ne sia l'esigenza, la presenza e la strutturazione di costi addizionali e ne indirizzi le responsabilità.

Sub-contractors e fornitori multipli

Approvazioni e notifiche per modifiche ai contratti in subappalto

Verificare se il contratto prevede che eventuali rapporti di sub-esternalizzazione siano preventivamente concordati con la Banca e siano definiti in modo da consentire il pieno rispetto di tutte le condizioni sopra elencate relative al contratto primario, inclusa la possibilità per l'Autorità di vigilanza di avere accesso ai dati relativi alle attività esternalizzate e ai locali in cui opera il sub-fornitore di servizi. Nota: Il preventivo accordo con la Banca deve essere previsto anche in caso di sostituzione dei subappaltatori.

Notifiche per cambiamenti ai subappaltati

Verificare che il contratto definisca le modalità con cui notificare alla Banca eventuali modifiche (es. contrattuali, strutturali, organizzative) inerenti ai fornitori subappaltati.



Sistemi di monitoraggio (KRI) KRI - Uno strumento per il monitoraggio, la gestione e la comunicazione


Presidio outsourcer

Qualsiasi metrica che può essere utilizzata per descrivere e

monitorare un rischio è definibile

come Key Risk Indicator

Anche in questo caso il CobIT ci viene in aiuto per fornirci una serie di utili spunti al fine di definire un modello di controllo del rischio informatico che permetta di sviluppare i processi di comunicazione interni ed esterni (Rif. ISO31000)

I requisiti che devono essere garantiti da un KRI

Collegamento a specifici rischi / scenari di rischio

Specifici nella loro definizione in modo da essere replicabili e confrontabili nel tempo

Correlati da specifiche di calcolo formalizzate

Agevoli da misurare attraverso i processi di gestione e governo dell’IT già presenti

Aggregati e/o correlati tra loro secondo logiche di dominio o di scenario


Rischio IT




Presidio Outsourcer



Sistemi di monitoraggio (KRI) KRI - Uno strumento per il monitoraggio, la gestione e la comunicazione


il rischio informatico e le nuove - isaca.org · determinazione azioni di gestione approvazione...

Documents