La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

21 maggio 20041 Il rischio accettato Giusto bilanciamento fra rischio e costo delle contromisure Ing. Anthony Cecil Wright, Direzione Risk Management –

Presentazioni simili


Presentazione sul tema: "21 maggio 20041 Il rischio accettato Giusto bilanciamento fra rischio e costo delle contromisure Ing. Anthony Cecil Wright, Direzione Risk Management –"— Transcript della presentazione:

1 21 maggio 20041 Il rischio accettato Giusto bilanciamento fra rischio e costo delle contromisure Ing. Anthony Cecil Wright, Direzione Risk Management – BCM Presidente ANSSAIF

2 21 maggio 20042 Un caso recente

3 21 maggio 20043

4 4 Ora

5 21 maggio 20045 Mi domando: Erano insufficienti le misure di rilevazione e di spegnimento dellincendio? Oppure, non era presente il numero minimo di persone richiesto per gestire lemergenza? E se fosse così, lAssicurazione paga, o solleva eccezioni? Il piano di esodo e gestione della crisi era mai stato provato? Le persone presenti quella notte, avevano avuto lopportuno training?

6 21 maggio 20046 Basilea

7 21 maggio 20047 Uno dei casi ricordati dal Comitato: era il 1995, la Barings aveva 303 anni…

8 21 maggio 20048 Basilea: le cause dei fallimenti

9 21 maggio 20049 Una domanda

10 21 maggio 200410 Gli investimenti negli ultimi anni Prevalentemente investimenti nel rifacimento dei sistemi informativi (euro; anno 2000; Mergers & Acquisitions; logistica; ecc.) e poco in Sicurezza ICT (tra l1% ed il 3% del budget) Nei prodotti e canali di comunicazione con il Cliente, nella maggior parte dei casi, non si sono privilegiati gli aspetti di sicurezza. Si è investito in sistemi ERP per il recupero di produttività, ma non ci si è resi conto che la Sicurezza è indispensabile per raggiungere gli obiettivi.

11 21 maggio 200411 Riacquisire la fiducia da parte del consumatore Restoring the integrity of the fiduciary relationship is absolutely essential to business at this time. (Eliot Spitzer – HBR – may 2004)

12 21 maggio 200412 Perché tante perplessità nellinvestire in sicurezza? Provo a citarne alcune possibili cause: –La sicurezza non è ancora diffusamente percepita in azienda come un plus. –Insufficiente conoscenza dei rischi ICT da parte del Vertice Aziendale e dei dipendenti (cfr. risultanze dello Psychological Risk Assessment della Soc.NTS); –Ancora poche aziende eseguono annualmente unanalisi approfondita del rischio ICT. –La gestione del rischio ICT in azienda, dal punto di vista metodologico ed organizzativo, non è ancora allo stesso livello degli altri rischi (credito, mercato, tasso, ecc.).

13 21 maggio 200413 Perché tante perplessità nellinvestire in sicurezza? –Assenza di dati quantitativi a livello italiano; assenza di rilevazioni sistematiche su un campione rappre- sentativo di aziende; –Omessa denuncia, in diversi casi, dei sinistri informatici subiti; –Scarsa diffusione di una raccolta sistematica degli incidents a livello aziendale; –Le spinte esogene sono ancora insufficienti. –Anche i consumatori non percepiscono ancora il beneficio derivante da robuste misure di sicurezza

14 21 maggio 200414 Perché tante perplessità nellinvestire in sicurezza? –Assenza di metodi e standard per la quantizzazione del rischio-ritorno. –Non è ancora applicato uno standard accettato e chiaro che leghi fra loro: risk analysis, business continuity, business impact analysis, crisis management,…

15 21 maggio 200415 Cosa fare? The real challenge is to integrate all the different operational risk components in a consistent and efficient way. (da: Operational Resilience – The Art of Risk Management – IBM)

16 21 maggio 200416 Come?

17 21 maggio 200417 Come? Migliorare il livello di comunicazione delle esigenze di investimenti in Sicurezza attraverso: –Una migliore chiarezza dei rispettivi ruoli dei principali attori in azienda; –Un metodo in grado di fornire stime di possibili perdite economiche il più possibile attendibili; –La valutazione di ipotesi alternative, fra le quali laccettazione del rischio residuo; –Un processo di individuazione delle soluzioni, semplice, fattibile, condiviso a livello aziendale.

18 21 maggio 200418 1. Chiarire i ruoli: La Business Continuity E necessario un Business Continuity Manager? Se sì, chi è? In quale struttura è collocato? Chi indica la metodologia da utilizzare per la B.C.M? Lanalisi del rischio ICT è inclusa nella BCM? Chi fornisce le probabilità daccadimento? Chi fa il calcolo costi / benefici delle diverse soluzioni a mitigazione del rischio?

19 21 maggio 200419 La Business Continuity

20 21 maggio 200420 Banca dItalia: Sistema dei controlli interni I controlli di linea, diretti ad assicurare il cor- retto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture produttive (…); I controlli sulla gestione dei rischi, che hanno lobiettivo di concorrere alla definizione delle metodologie di mitigazione del rischio, (…) di controllare la coerenza delloperatività delle singole aree produttive con gli obiettivi di ri- schio-rendimento assegnati. Essi sono affidati a strutture diverse da quelle produttive; Lattività di revisione interna, volta a individu- are andamenti anomali, (…).

21 21 maggio 200421 I ruoli: una macro ipotesi, per discussione Security Manager: –Sviluppo e gestione degli strumenti e metodi a protezione degli asset; vulnerability assessment; partecipazione in tutte le attività di pianificazione, controllo e test. Global Risk Management: –Metodologia, indicatori. Organizzazione: –Normativa, processi, ICT risk analysis, crisis management, definizione soluzioni recovery e resumption.

22 21 maggio 200422 I ruoli Sistemi Informativi: –Definizione, pianificazione e test del Piano di Disaster Recovery; coinvolgimento in tutte le attività di analisi e pianificazione. Business Units: –Definizione possibili perdite; definizione ed aggiorna- mento dei processi critici; partecipazione nelle fasi di scelta delle contromisure; formazione / informazione del personale relativamente ai piani di gestione della continuità; validazione dei test dei piani. R.U., Legale, Comunicazione, I.A.: –Partecipazione in tutte le fasi di definizione e pianificazione.

23 21 maggio 200423 2. Dati quantitativi: la valutazione dei sinistri Per una stima della probabilità di accadimento di un sinistro e per la valutazione del possibile danno, ci servono dei dati di base. Esistono? Italia: –LFTI, in collaborazione con SPACE-Univ. Bocconi, pubblica annualmente lOsservatorio Criminalità ICT; –lInternational Crime Analysis Association esegue da qualche tempo uno studio approfondito. Da oltre otto anni negli USA cè lindagine CSI/FBI, ricco anche di dati economici, ed analoga esiste da due anni in Australia (AusCert e polizia federale). Negli UK abbiamo degli studi della PriceWaterhouse- Coopers e NHTCU (Scotland Yard).

24 21 maggio 200424 Un esempio

25 21 maggio 200425 I dati quantitativi Una valutazione qualitativa, ripetuta annual- mente, delle possibili perdite economiche, su- bibili dallazienda e suddivise per tipologia di evento, è assolutamente indispensabile. La valutazione qualitativa è basata su una autovalutazione dei responsabili delle business units e dei process owners, secondo una me- todologia basata su standard generalmente accettati. Lautovalutazione, però, tende a sovrastimare le perdite economiche del proprio ambito.

26 21 maggio 200426 I dati quantitativi I dati dellautovalutazione devono essere perciò confrontati con dati quantitativi. Tali dati devono provenire da loss collection interna allazienda e da basi dati esterne. Solo da tale confronto, si può auspicare di giungere ad una valutazione abbastanza oggettiva delle possibili perdite economiche a fronte di eventi dannosi che, sfruttando delle vulnerabilità, colpiscano le risorse a supporto dei processi di business.

27 21 maggio 200427 I dati quantitativi – un possibile metodo Se: EL qualitativa >>> EL quantitativa Elqual=Elquant Se: Elqualitatitiva< { "@context": "http://schema.org", "@type": "ImageObject", "contentUrl": "http://images.slideplayer.it/1/521719/slides/slide_27.jpg", "name": "21 maggio 200427 I dati quantitativi – un possibile metodo Se: EL qualitativa >>> EL quantitativa Elqual=Elquant Se: Elqualitatitiva<>> EL quantitativa Elqual=Elquant Se: Elqualitatitiva<

28 21 maggio 200428 Dati quantitativi – un possibile metodo Stima della possibile perdita massima: ELmax(e)=[ΣiΣt(γ(i)xLmax(i,t)/C(e,i,t))] / m x n Ove: (i=1,m), (t=1,n); Lmax: perdita massima regi- strata al tempo t, dallindagine i, per levento e, pon- derata con il peso γ e C(e,i,t)=n.totale casi denunciati. ELmed(e)= [ ΣiΣt(γ(i) x Lmed(i,t) ] / m x n Ove: (i=1,m), (t=1,n); Lmed: perdita media regi- strata al tempo t, dallindagine i, per levento e, pon- derata con il peso γ. ELtot(e) = ELmax(e) + ELmed(e) x p(e) Ove p(e) è la probabilità di accadimento dellevento e: p(e)= ΣiΣt (γ(i) x F(i,t)), ove F= frequenza evento e rilevata al tempo t per lindagine i.

29 21 maggio 200429 Dati quantitativi – un possibile metodo Quello riportato rappresenta una possibile moda- lità di stima della possibile perdita economica per tipologia di evento e lho riportata per provocare il dibattito. Ai dati quantitativi menzionati, si devono aggiun- gere dei Key Performance Indicators necessa- ri a tenere sotto osservazione i fenomeni e a formulare previsioni di possibili perdite econo- miche.

30 21 maggio 200430 Esempio di calcolo: Stima della probabilità di accadimento Media delle frequenze Riportate dalle indagini: Nhtcu – UK (2002) Auscert (2002-2003) Csi – USA (1999-2003)

31 21 maggio 200431 Il processo Ciclo di sensibilizzazione del personale dellAzienda alla Sicurezza Individuazione delle vulnerabilità e delle possibili perdite economiche Tramite analisi del rischio ICT sulle risorse Business Impact Analysis e determinazione dei processi critici per la Continuità del business Raffronto con le valutazioni quantitative Individuazione delle contromisure più idonee e cost justified

32 21 maggio 200432 Il processo (cont.ne) Stima di indicatori di rischio (scorecard) Comunicazione del possibile livello di rischio attuale e prospettico, Ossia, dopo la messa in esercizio delle contromisure proposte Raccolta sistematica e classificazione degli incidents di ICT security e loro correlazione ai KPI Presentazione periodica di rapporti al management sullandamento del livello di rischio (PD, EL, ecc.) e sulle azioni in corso

33 21 maggio 200433 Esempio: la metodologia IBM Scenario di Riferimento

34 21 maggio 200434 Conclusione Investimenti in Companys ICT Security awareness, una maggiore chiarezza dei ruoli tra Business Continuity Manager, Security Manager, Global Risk Manager, un processo di Companys Resilience suppor- tato da metodi chiari e condivisi, non potranno che migliorare la capacità di co- municazione e pianificazione delle esigenze in termini di continuità del business, e di qualità dei prodotti e dei servizi offerti dallAzienda ai suoi Clienti.

35 21 maggio 200435 …e ricordiamoci che non esiste solo il BS7799…

36 21 maggio 200436 Grazie per lattenzione, e…


Scaricare ppt "21 maggio 20041 Il rischio accettato Giusto bilanciamento fra rischio e costo delle contromisure Ing. Anthony Cecil Wright, Direzione Risk Management –"

Presentazioni simili


Annunci Google