La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

1 Benchmark dei modelli organizzativi della sicurezza Sintesi delle evidenze Milano, 20 Luglio 2004 Riservato.

Presentazioni simili


Presentazione sul tema: "1 Benchmark dei modelli organizzativi della sicurezza Sintesi delle evidenze Milano, 20 Luglio 2004 Riservato."— Transcript della presentazione:

1 1 Benchmark dei modelli organizzativi della sicurezza Sintesi delle evidenze Milano, 20 Luglio 2004 Riservato

2 2 ContestoPag. 3 Modelli organizzativi – Riporto diretto al CEO/BoDPag. 6 Modelli organizzativi – Riporto al CIOPag. 7 Referenze internazionali Merrill LynchPag. 9 Bank of AmericaPag. 10 American ExpressPag. 11 ABN AmroPag. 12 Crèdit Agricole Indusuez S.A.Pag. 13 Banco Santander Central Hispano Americano/Banco Bilbao Vizcaya ArgentariaPag. 14 Referenze italiane UnicreditPag. 15 CapitaliaPag. 16 Banca Lombarda e PiemontesePag. 17 Banca Svizzera ItalianaPag. 18 Banca MediolanumPag. 19 SIAPag. 20 RiferimentiPag. 21 Agenda

3 3 Nelle realtà internazionali, e soprattutto in quelle Americane anche a seguito della riforma del diritto societario, si osserva: Il riconoscimento che la sicurezza è legata tanto alla tecnologia quanto al business, in quanto gestore di una parte dei rischi operativi Un progressivo allargamento dellambito gestito dalle strutture di sicurezza, che, alla gestione della tematiche di sicurezza logica, fisica e protezione degli asset, aggiungono prima le tematiche relative al copyright ed alla Business Continuity e, in alcuni casi, anche il presidio del rapporto con la clientela Dal punto di vista organizzativo si osservano tre modelli di riferimento: La costituzione di una struttura organizzativa ad hoc dipendente direttamente dal CEO e/o dal BoD, presieduta da un Chief Security Officer (CSO), chiamato anche Global Security Officer, che ha la responsabilità globale della sicurezza (interna, esterna, fisica, logica, personale), sia per la componente strategica/di governo che operativa La gestione della sicurezza logica allinterno strutture IT, con la costituzione di un Chief Information Security Officer (CISO), dipendente direttamente dal CIO, che ha la responsabilità della protezione delle informazioni e, eventualmente, di altri aspetti strettamente correlati, quali, ad esempio, la sicurezza fisica, la pianificazione e sviluppo delle architetture di sicurezza, gli incidenti informatici La centralizzazione delle funzioni di controllo strategico della sicurezza in una struttura esistente in staff al CEO (ad esempio nella struttura di Risk Management, ove questa è preposta al governo dei rischi) responsabile della definizione delle policy, delle priorità e delle linee guida per tutto il Gruppo, con la costituzione di un Comitato di controllo cui è demandata la responsabilità sul rischio, delegando la parte di governo operativo al CISO, per la parte IT, oppure ad altre strutture operative (ad esempio la Logistica) preposte al presidio delle diverse tipologie di rischio Contesto (1/3) La sicurezza è sempre più riconosciuta come parte integrante del business e gestita nellinsieme delle sue componenti in modo unitario a livello Corporate

4 4 Il CSO/CISO riporta ancora prevalentemente al CIO, anche se si sta affermando la scelta di posizionare la sicurezza al di fuori delle strutture IT CIO: 35% ca. CEO/BoD: 15% ca. Altri riporti del CEO (COO, CRO, CTO): 30% ca. Altri: 20% La maggior parte delle aziende (ca. il 70%) ritiene di investire in sicurezza una cifra paragonabile a quella delle altre aziende con cui si confronta e, nellultimo anno, il budget dedicato alla sicurezza è cresciuto per il 65% delle aziende, attestandosi ad un valore pari a ca. il 7% di quello dellIT Il numero delle persone dedicate alla sicurezza è in rapida crescita in tutte le realtà e fra le maggiori istituzioni finanziarie il 28% di queste si avvale di uno staff superiore alle 100 unità Contesto (2/3) Considerazioni su Governance, Budget e Dimensionamento

5 5 Supportare il Top Management nelle valutazioni di business, offrendo un punto di vista integrato del rischio cui lazienda è sottoposta e definendo la priorità degli interventi in base alle strategie concordate Definire ed implementare un sistema di analisi e monitoraggio di una serie di indicatori, che consenta di valutare ed oggettivare il livello di rischio, comparare scelte differenti e indirizzare gli investimenti in una logica costo/protezione misurabile Gestire le tematiche di sicurezza nel loro complesso in un contesto fortemente dinamico, nel quale i nuovi servizi/canali di accesso per la clientela, le ristrutturazioni organizzative ed infrastrutturali, le relazioni con attori terzi, quali partnership e fornitori, sono, allo stesso tempo, opportunità di business da perseguire e, soprattutto, fonti di rischio da governare Contesto (3/3) Sfide future

6 6 Modelli organizzativi - Riporto diretto al CEO/BoD La tendenza che si osserva è quella di creare una struttura di sicurezza autonoma, con responsabilità globale della sicurezza, budget proprio e riporto diretto al CEO/BoD Modello di riferimento Si osserva come tendenzialmente tutte le aziende certificate BS7799 abbiano la funzione sicurezza dipendente da un CSO, che riporta direttamente al CEO/BoD, e che tale modello organizzativo è stato adottato principalmente dalle aziende USA e UK Il CSO ha la responsabilità globale della sicurezza (interna, esterna, fisica, logica, personale) e di tutti i suoi aspetti (strategia, governo, controllo e implementazione) Il CSO ha alle sue dipendenze: un CISO, che ha la responsabilità della protezione delle informazioni e da cui dipendono: –IT Security Manager (sicurezza informatica) –IT Security Architect (risponde allIT Security Manager e si occupa della pianificazione e sviluppo delle architetture di sicurezza) –IT Security Incident Manager (incidenti Informatici) un Phisical Security Officer (PSO), che gestisce la sicurezza fisica della struttura, incluse le eventuali norme di personal safety degli impiegati La parte investigativa, ove presente, è composta dal: Capo dell'internal auditing, paritetico al CSO risponde come quest'ultimo al CEO Chief Investigation Officer, che si occupa delle investigazioni interne e riporta al capo internal auditing. Il Chief Investigation Officer ha, inoltre, una serie di Senior Investigators, che si occupano di frodi/illeciti/violazioni delle politiche, anche di tipo AUP/Information Security. Si avvale dello staff di IT security per le operazioni di incident response e digital forensic Considerazioni Swiss Bank Corporation HSBC The Royal Bank of Scotland Dresdner Bank Citigroup Republic National Bank New York Standard Chartered Bank Fidelity Investments State Street Global Advisors ING Eurobank Imperial Chemical Industries DuPont Nike Inc. Thomson Corporation Hershey Foods Corporation Google eBay ENI FIAT Pirelli CEO/Board CIOCSOCOO CISO Referenze Struttura autonoma, in staff al CEO, con responsabilità globale della sicurezza

7 7 Alcune realtà adottano ancora un modello organizzativo che prevede la funzione di Sicurezza posizionata nella componente IT, con il CISO che riporta al CIO Si osserva che tale modello organizzativo è ancora prevalentemente adottato nelle realtà bancarie italiane ed europee Il CISO dipende direttamente dal CIO ed è responsabile della pianificazione, del controllo e dellimplementazione del sistema di protezione delle informazioni e dellarchitettura di sicurezza Il CISO si occupa prevalentemente della sicurezza logica e, in alcuni casi, di quella fisica, mentre il tema della Business Continuity viene ridotto alla definizione delle infrastrutture di Disaster Recovery nellambito delle attività di IT- Facility Management Merrill Lynch Bank of America American Express ABN Amro National Bank Of Belgium Crèdit Agricole Indosuez Referenze Banco Santander Central Hispano Americano Banco Bilbao Vizcaya Argentaria Capitalia Solvay Carnival Group Modelli organizzativi - Riporto al CIO (1/2) CEO/Board CIO Struttura esistente (es. Risk Management) CISO … Altri ambiti di sicurezza Funzione di sicurezza posizionata nell IT, con ambito limitato alla sicurezza logica Modello di riferimento Considerazioni

8 8 Alternativamente, si osserva un modello double layer, in cui il CSO riporta ad una struttura esistente in staff al CEO, separata dallIT, con responsabilità di governo, mentre la parte implementativa è delegata al CISO, che riporta al CIO, e alle altre strutture operative preposte Modello di riferimento Il CSO dipende da una struttura esistente di staff al CEO ed ha la responsabilità di definire le linee guida e gli obiettivi strategici e di controllarne leffettivo rispetto; la responsabilità del rischio viene affidata ad un Comitato di controllo appositamente costituito Lapplicazione delle strategie è demandata al CISO, per la parte IT, oppure ad altre strutture operative (ad esempio la Logistica) preposte al presidio delle diverse tipologie di rischio Il CISO risponde direttamente al CIO ed ha le seguenti responsabilità: Protezione delle informazioni Pianificazione e sviluppo delle architetture di sicurezza Incidenti informatici Considerazioni JP Morgan Chase Deutsche Bank Unicredit San Paolo IMI BNL CEO/Board CIO Struttura esistente (es. Risk Management) CISO Referenze CSO Comitato di controllo … Altri ambiti di sicurezza Double layer : governo demandato ad un CSO dipendente da una struttura non IT in staff al CEO e responsabilità dell implementazione affidata, per la parte IT, al CISO Modelli organizzativi - Riporto al CIO (2/2)

9 9 Executive Management COOCFOCEO Chief Information & Services Officer CTO Chief Information Officer Security & Privacy Product DevelopmentSecurity Operations Information Security Officers & Service Management Europe & Asia Pacific Security Administration Global Technology & Services Referenze internazionali (1/6)

10 10 Referenze internazionali (2/6) CIO Customer KnowledgeIT Change Execution Support and Application Development Technology Services Enterprise Architecture & Emerging Technology Technology Solutions Technology Solutions Support Information Processing Group Information Security Information Processing Group Support

11 11 CIO CSO Security Strategy & Technology Security Service Delivery & Support Governance & Management Controls & Compliance Responsible for the leadership, ownership and execution of the enterprise infrastructure strategic objectives, programs and processes, with a focus on the superior delivery of services to the business users Relationship management, business/technology alignment, info security management, policy management, program office, process coordination, project and resource coordination, key partner governance Security strategy, security technolgy/visioning, security architecture, technical requirements, vendor management, network and infrastructure security, application/database security and assessment, information protection Security Service design and delivery, user access control and automation, security operations and application support, monitoring and reporting, risk/vulnerability/threat management, response management Standard lifecycle management and compliance, business continuity planning, regulatory compliance and key control documentation, testing and certification Referenze internazionali (3/6)

12 12 Referenze internazionali (4/6) CIO COO Architecture & Development Information Security Services Technical Security Service Enterprise ArchitectureOpen Systems UNIXInfrastructure Security Architecture Network Perimeter & Intrusion Vulnerability Management Information Security Services Operations MainframeAccess Control Services

13 13 Referenze internazionali (5/6) CIO ….Security Policy Valutazione dei rischi Progettazione e gestione sicurezza COO Business Continuity Plan

14 14 CIO …. Security Policy e supervisione Business Continuity Plan e Disaster Recovery ICT Security Gestione Amministrazione Referenze internazionali (6/6)

15 15 (*) La società di servizi USI (Unicredit Sistemi informativi) ha una struttura dedicata alla sicurezza, interna allarea architetture e sistemi, responsabile degli aspetti operativi legati alla sicurezza informatica perimetrale e alla gestione delle crisi informatiche di gruppo Presidente Amministratore Delegato Direzione Legale e Affari Societari Direzione Crediti Direzione Risorse Direzione Audit Direzione Amministrazion e Direzione Stra- tegia, Pianifica- zione, Controllo Direzione Retail Direzione Corporate Direzione Finanza Direzione Ope- rativa (Acquisti, Tecnico, Sicure- zza, USI - UPA) Direzione Estero AcquistiTecnico Sicurezza Corporate Procedure di Sicurezza Centrale Allarmi Torino Centrale Allarmi Verona Centrale Allarmi Milano Dist. Milano Dist. Verona Dist. Tornio Dist. Treviso Dist. Roma Sicurezza Fisica Dist. Napoli Dist. Catania Sicurezza delle informazioni Sicurezza LUnità Organizzativa della Sicurezza ha il compito di valutare tutti i rischi di natura criminosa cui sono soggette le società, le persone ed i beni del gruppo, al fine di individuare e di applicare le misure tecniche e procedurali più idonee a contenere tali rischi. Gestisce anche le tematiche di Business Continuity e Analisi del rischio Referenze italiane (1/6)

16 16 Referenze italiane (2/6) SistemiOrganizzazione Sviluppo Telecomunicazioni Sistemi Sicurezza Informatica Sicurezza Corporate... Amministratore Delegato Direttore Generale Finanza, Prodotti e Canali Politiche del CreditoBilancio e Fiscale Organizzazione e Sistemi FunzionamentoRisorse UmanePartecipazioniAffari Generali

17 17 Amministratore Delegato Direttore Generale Information Technology Servizi Amministrativi Servizi Beni Immobiliari Compliance e SicurezzaCentro Acquisti (*) Organigramma relativo allIT Provider di Banca Lombarda (LSS, Lombarda Sistemi e Servizi) Referenze italiane (3/6)

18 18 Amministrazione & Logistica OperationsRegistro CentraleAmministrazione TItoli Contabilità Finanziaria & Analitica LogisticaProgetti Informatici Information Systems Organization Support Sicurezza e Servizi Ufficio Tecnico Referenze italiane (4/6)

19 19 Organizzazione e Procedure Commerciali Organizzazione e Procedure Tecniche Telecomunicazioni e Sicurezza Erogazione ServizioSviluppo Applicazioni Sistemi di Base Service Management Change Management Sicurezza Informatica Telecomunicazioni Gestione CED e impiantistica Sistemi rete Vendita Sistemi Canali Diretti Sistemi Vita Sistemi banca e Fondi Sistemi del Personale e Office Automation Conti Correnti e Sistemi di Pagamento Titoli e Tesoreria Anagrafica Clienti / Canali Diretti Processi Amministrativi Sicurezza Logica Supporto Interfunzionale Amministratore Delegato... Direzione risorse umane Direzione Sistemi e Organizzazione Sicurezza Corporate Referenze italiane (5/6)

20 20 Referenze italiane (6/6) Figure attualmente presenti in azienda che necessitano di responsabilizzazione formale sulla sicurezza informatica AD DG Capi Area SUSAEBU IT Security LSA Service Manager Capi Progetto

21 21 Riferimenti Global Security Survey, 2003 e 2004 – Deloitte Documentazione Gartner Consulting : research note The role of the Chief Information Security Officer Articoli, interviste, report e approfondimenti da csoonline.com : The evolution of the Chief Security Office, 2002 State of the CSO 2003 State of the CSO 2004 The state of Information Security, 2003 Richieste informali a persone di riferimento del settore


Scaricare ppt "1 Benchmark dei modelli organizzativi della sicurezza Sintesi delle evidenze Milano, 20 Luglio 2004 Riservato."

Presentazioni simili


Annunci Google