Ing. Anthony Cecil Wright, Direzione Risk Management – BCM

Slides:



Advertisements
Presentazioni simili
AIEA SESSIONE DI STUDIO
Advertisements

Andrea Zandatutoraggio strutture dati STRUTTURE DATI e LABORATORIO II ESERCITAZIONE N°14 albero di ricerca binario.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Principali configurazioni organizzative
Lez 411 Marzo La macchina Dispositivi di input/output Architettura.
1 22 maggio 2012 Protocollo dintesa sulla responsabilità sociale dimpresa e lutilizzo di indicatori ambientali, sociali e di governance Ritorno al futuro:
- 1 - Superare la complessità della quantificazione dei rischi connessi ai sistemi informativi attraverso una metodologia strutturata Il rischio accettato.
1 CONVEGNO SOCI ANSSAIF settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.
Anthony Cecil Wright Roma, 20 Giugno 2006 Prima indagine sul Phishing in Italia.
Business Continuity Management
SISTEMA INFORMATIVO AZIENDALE
Qualità nei laboratori di ricerca e albo laboratori altamente specializzati Workshop, Genova 11 luglio 2002 G.B. Rossi: Considerazioni sulla qualità nei.
STRUTTURA DEL LAVORO: Definizione di prociclicità
1 Università degli Studi di Urbino Carlo Bo FACOLTA DI ECONOMIA IMPORTANZA ED ELEMENTI DI CRITICITÁ DEL MARKETING STRATEGICO NELLE PMI Fulvio Fortezza.
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
Corso di Economia degli intermediari finanziari
Alessandra De Palma Responsabile Unità Operativa di Medicina Legale Azienda U.S.L. di Modena La GESTIONE INTEGRATA delDISSENSO.
Banche e Aziende ICT: esploriamo nuovi orizzonti
ORDINE DEI DOTTORI COMMERCIALISTI E DEGLI ESPERTI CONTABILI di Ivrea Pinerolo Torino CORSO DI FORMAZIONE IN MATERIA DI ENTI LOCALI UNIVERSITA DI TORINO.
LEGGE ATTUALE D.P.R. N° 1124 DEL 30 GIUGNO D.LGS. N° 38 DEL INTEGRAZIONE E MODIFICA DEL D.P.R. N° 1124 DEL
L’Activity Based Management
Feb 2007 pag 1 Innovazione come priorità Motivi, componenti, protagonisti Essere manager: lezioni di management a cura del dr. Filippo Martino.
Criticità dellappoggio bancario allattività dimpresa Francesca Querci Università degli Studi di Genova Confindustria Genova - Club Finanza dImpresa Genova,
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
costo del ciclo di vita dei prodotti nei settori ad alta tecnologia
Control and Risk Self Assessment – CRSA. Il caso Telecom.
Gruppo di lavoro Basilea 2
Seminario interattivo Il dossier virtuale: da prototipo a prodotto del Sistema informativo il questionario Silvia Bertini Torino, 31 maggio 2004.
1 Cenasca - Cisl Obiettivo Business plan dati e informazioni, che è opportuno raccogliere per poter prendere decisioni temi e problemi che è necessario.
PAPERT ED IL SENSO DEL LOGO
Mercato Privati 8 novembre 2010 MERCATO PRIVATI Evoluzione organizzazione Commerciale di Area Territoriale e Filiale.
COMUNICAZIONE VISIVA.
14 lezione 3 Maggio IL DESIGN DELLINTERAZIONE.
VALUTAZIONI DI USABILITA. 10 Lezione 5 Aprile
Lezione Aprile Altri paradigmi di interazione uomo-computer.
M. SchioppaMDT Italia - Cosenza 12 feb A re-wiring techique for MDT chambers The W-Re wire is driven to pass through the two endplugs with the help.
ORSS Web 2012.
Credit crunch e gestione del credito ACMI DAY Milano, 27 maggio 2009.
© Permanent Mission of Italy to UN - Andrea Cavallari LE NAZIONI UNITE E I DIRITTI UMANI.
Donna:Professione Ingegnere
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
Il processo di sviluppo del Sw: strategia make
Informatica ed Impresa Problemi e Soluzioni 27 giugno 2006
CAMPIONAMENTO DI REVISIONE CONTABILE
Il ruolo delle professioni per il rischio clinico Politecnico di Milano, 21 giugno 2012 Adolfo Bertani Presidente Cineas 1 «Risk Management in ospedale,
“La gestione integrata del rischio nelle strutture sanitarie”
Introduzione Tumino Assemblea Intersettoriale Beni Culturali 07 luglio Assemblea del Coordinamento intersettoriale sui Beni culturali – punti di.
ISISS POLO-CATTANEO. In un mondo in cui i mercati azionari e obbligazionari giocano un ruolo determinante tanto per le economie nazionali quanto per la.
La passività globale non si nutre dunque
Gli affidamenti bancari ai gruppi di imprese nell’attuale scenario economico Tempo di crisi, tempo di scelte - Il credito oltre la crisi.
RISK MANAGEMENT NELLA LOGISTICA
Multiproject Management
CENNI PER L’INQUADRAMENTO DELLA MATERIA. gennaio Sinonimi? computer science EDP –Electronic Data Processing informatica information technology (IT)
L’essenza della gestione strategica
Business Plan.
IL VALORE DEL CLIENTE: IMPLICAZIONI PER LA COMPAGNIA E PER L’AGENTE Prof. Claudio Cacciamani
ISPO Il mondo delle relazioni pubbliche oggi in Italia Studio quantitativo Rapporto di ricerca Maggio 2008.
UNIVERSITA’ DEGLI STUDI DI CATANIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica, primo livello Realizzato da: Giuseppina.
Francesco Miggiani Open Forum per la Società Civile organizzato da Rotary e Rotaract 3 aprile 2004 Strategie di Sviluppo delle.
Claudio Cacciamani Università di Parma
1 6 Maggio 2008 – Milano INCONTRO ATTUARI INCARICATI VITA L’EVOLUZIONE DEL RUOLO DELL’ATTUARIO INCARICATO ALLA LUCE DEL REGOLAMENTO ISVAP N.20/2008 SUI.
1 Bernardo Mattarella 14 maggio 2003 Operational Risk Il Nuovo Accordo sul Capitale.
1 MONITORAGGIO E VALUTAZIONE La nuova città è già nata facciamola crescere insieme Piano Strategico della Spezia Comune della Spezia Provincia della Spezia.
Il progetto Basilea 2 e i rapporti Banca - Impresa
Migliorare l’accesso al credito per le PMI. Valutazione del rischio di credito reale e/o percepito Banche Basilea2 Imprese Le imprese devono segnalare.
Qualità Definizione: grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti.
Premessa Il patrimonio di una onlus è deputato a soddisfare le funzioni statutarie della stessa attraverso degli investimenti prudenziali che offrano un.
Assocostieri Servizi, società di ASSOCOSTIERI, dispone della certificazione UNI EN ISO 9001 per offrire consulenza qualificata nel settore della Logistica.
IL BILANCIO DI ESERCIZIO
Consumo di suolo: nuovo testo C.2039 /1 Il nuovo testo si presenta come provvedimento finalmente ORGANICO Primo merito della proposta di legge è certamente.
Transcript della presentazione:

Ing. Anthony Cecil Wright, Direzione Risk Management – BCM Il rischio accettato Giusto bilanciamento fra rischio e costo delle contromisure Ing. Anthony Cecil Wright, Direzione Risk Management – BCM Presidente ANSSAIF 21 maggio 2004 1

Un caso recente 21 maggio 2004 2

21 maggio 2004 3

Ora 21 maggio 2004 4

E se fosse così, l’Assicurazione paga, o solleva eccezioni? Mi domando: Erano insufficienti le misure di rilevazione e di spegnimento dell’incendio? Oppure, non era presente il numero minimo di persone richiesto per gestire l’emergenza? E se fosse così, l’Assicurazione paga, o solleva eccezioni? Il piano di esodo e gestione della crisi era mai stato provato? Le persone presenti quella notte, avevano avuto l’opportuno training? 21 maggio 2004 5

Basilea 21 maggio 2004 6

Uno dei casi ricordati dal Comitato: era il 1995, la Barings aveva 303 anni… 21 maggio 2004 7

Basilea: le cause dei fallimenti 21 maggio 2004 8

c'è la dovuta sensibilità alla Sicurezza? Una domanda In Azienda: c'è la dovuta sensibilità alla Sicurezza? Ci sono i dovuti investimenti? 21 maggio 2004 9

Gli investimenti negli ultimi anni Prevalentemente investimenti nel rifacimento dei sistemi informativi (euro; anno 2000; Mergers & Acquisitions; logistica; ecc.) e poco in Sicurezza ICT (tra l’1% ed il 3% del budget) Nei prodotti e canali di comunicazione con il Cliente, nella maggior parte dei casi, non si sono privilegiati gli aspetti di sicurezza. Si è investito in sistemi ERP per il recupero di produttività, ma non ci si è resi conto che la Sicurezza è indispensabile per raggiungere gli obiettivi. 21 maggio 2004 10

Riacquisire la fiducia da parte del consumatore “Restoring the integrity of the fiduciary relationship is absolutely essential to business at this time”. (Eliot Spitzer – HBR – may 2004) 21 maggio 2004 11

Perché tante perplessità nell’investire in sicurezza? Provo a citarne alcune possibili cause: La sicurezza non è ancora diffusamente percepita in azienda come un “plus”. Insufficiente conoscenza dei rischi ICT da parte del Vertice Aziendale e dei dipendenti (cfr. risultanze dello Psychological Risk Assessment della Soc.NTS); Ancora poche aziende eseguono annualmente un’analisi approfondita del rischio ICT. La gestione del rischio ICT in azienda, dal punto di vista metodologico ed organizzativo, non è ancora allo stesso livello degli altri rischi (credito, mercato, tasso, ecc.). 21 maggio 2004 12

Perché tante perplessità nell’investire in sicurezza? Assenza di dati quantitativi a livello italiano; assenza di rilevazioni sistematiche su un campione rappre-sentativo di aziende; Omessa denuncia, in diversi casi, dei sinistri informatici subiti; Scarsa diffusione di una raccolta sistematica degli incidents a livello aziendale; Le spinte “esogene” sono ancora insufficienti. Anche i consumatori non percepiscono ancora il beneficio derivante da robuste misure di sicurezza 21 maggio 2004 13

Perché tante perplessità nell’investire in sicurezza? Assenza di metodi e standard per la quantizzazione del “rischio-ritorno”. Non è ancora applicato uno standard accettato e chiaro che leghi fra loro: risk analysis, business continuity, business impact analysis, crisis management,… 21 maggio 2004 14

(da: Operational Resilience – The Art of Risk Management – IBM) Cosa fare? “The real challenge is to integrate all the different operational risk components in a consistent and efficient way”. (da: Operational Resilience – The Art of Risk Management – IBM) 21 maggio 2004 15

Come? vi espongo la mia idea... 21 maggio 2004 16

Come? Migliorare il livello di comunicazione delle esigenze di investimenti in Sicurezza attraverso: Una migliore chiarezza dei rispettivi ruoli dei principali attori in azienda; Un metodo in grado di fornire stime di possibili perdite economiche il più possibile attendibili; La valutazione di ipotesi alternative, fra le quali l’accettazione del rischio residuo; Un processo di individuazione delle soluzioni, semplice, fattibile, condiviso a livello aziendale. 21 maggio 2004 17

1. Chiarire i ruoli: La Business Continuity E’ necessario un Business Continuity Manager? Se sì, chi è? In quale struttura è collocato? Chi indica la metodologia da utilizzare per la B.C.M? L’analisi del rischio ICT è inclusa nella BCM? Chi fornisce le probabilità d’accadimento? Chi fa il calcolo costi / benefici delle diverse soluzioni a mitigazione del rischio? 21 maggio 2004 18

La Business Continuity 21 maggio 2004 19

Banca d’Italia: Sistema dei controlli interni I controlli di linea, diretti ad assicurare il cor-retto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture produttive (…); I controlli sulla gestione dei rischi, che hanno l’obiettivo di concorrere alla definizione delle metodologie di mitigazione del rischio, (…) di controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di ri-schio-rendimento assegnati. Essi sono affidati a strutture diverse da quelle produttive; L’attività di revisione interna, volta a individu-are andamenti anomali, (…). 21 maggio 2004 20

I ruoli: una macro ipotesi, per discussione Security Manager: Sviluppo e gestione degli strumenti e metodi a protezione degli asset; vulnerability assessment; partecipazione in tutte le attività di pianificazione, controllo e test. Global Risk Management: Metodologia, indicatori. Organizzazione: Normativa, processi, ICT risk analysis, crisis management, definizione soluzioni recovery e resumption. 21 maggio 2004 21

R.U., Legale, Comunicazione, I.A.: I ruoli Sistemi Informativi: Definizione, pianificazione e test del Piano di Disaster Recovery; coinvolgimento in tutte le attività di analisi e pianificazione. Business Units: Definizione possibili perdite; definizione ed aggiorna-mento dei processi critici; partecipazione nelle fasi di scelta delle contromisure; formazione / informazione del personale relativamente ai piani di gestione della continuità; validazione dei test dei piani. R.U., Legale, Comunicazione, I.A.: Partecipazione in tutte le fasi di definizione e pianificazione. 21 maggio 2004 22

2. Dati quantitativi: la valutazione dei sinistri Per una stima della probabilità di accadimento di un sinistro e per la valutazione del possibile danno, ci servono dei dati di base. Esistono? Italia: L’FTI, in collaborazione con SPACE-Univ. Bocconi, pubblica annualmente l’Osservatorio Criminalità ICT; l’International Crime Analysis Association esegue da qualche tempo uno studio approfondito. Da oltre otto anni negli USA c’è l’indagine CSI/FBI, ricco anche di dati economici, ed analoga esiste da due anni in Australia (AusCert e polizia federale). Negli UK abbiamo degli studi della PriceWaterhouse-Coopers e NHTCU (Scotland Yard). 21 maggio 2004 23

Un esempio 21 maggio 2004 24

I dati quantitativi Una valutazione qualitativa, ripetuta annual-mente, delle possibili perdite economiche, su-bibili dall’azienda e suddivise per tipologia di evento, è assolutamente indispensabile. La valutazione qualitativa è basata su una autovalutazione dei responsabili delle business units e dei process owners, secondo una me-todologia basata su standard generalmente accettati. L’autovalutazione, però, tende a sovrastimare le perdite economiche del proprio ambito. 21 maggio 2004 25

I dati quantitativi I dati dell’autovalutazione devono essere perciò confrontati con dati quantitativi. Tali dati devono provenire da “loss collection” interna all’azienda e da basi dati esterne. Solo da tale confronto, si può auspicare di giungere ad una valutazione abbastanza oggettiva delle possibili perdite economiche a fronte di eventi dannosi che, sfruttando delle vulnerabilità, colpiscano le risorse a supporto dei processi di business. 21 maggio 2004 26

I dati quantitativi – un possibile metodo Se: EL qualitativa >>> EL quantitativa  Elqual=Elquant Elqualitatitiva<<EL quantitativa esame cause 21 maggio 2004 27

Dati quantitativi – un possibile metodo Stima della possibile perdita massima: ELmax(e)=[ΣiΣt(γ(i)xLmax(i,t)/C(e,i,t))] / m x n Ove: (i=1,m), (t=1,n); Lmax: perdita massima regi-strata al tempo t, dall’indagine i, per l’evento e, pon-derata con il peso γ e C(e,i,t)=n.totale casi denunciati. ELmed(e)= [ ΣiΣt(γ(i) x Lmed(i,t) ] / m x n Ove: (i=1,m), (t=1,n); Lmed: perdita media regi-strata al tempo t, dall’indagine i, per l’evento e, pon-derata con il peso γ. ELtot(e) = ELmax(e) + ELmed(e) x p(e) Ove p(e) è la probabilità di accadimento dell’evento e: p(e)= ΣiΣt (γ(i) x F(i,t)), ove F= frequenza evento e rilevata al tempo t per l’indagine i. 21 maggio 2004 28

Dati quantitativi – un possibile metodo Quello riportato rappresenta una possibile moda-lità di stima della possibile perdita economica per tipologia di evento e l’ho riportata per provocare il dibattito. Ai dati quantitativi menzionati, si devono aggiun-gere dei Key Performance Indicators necessa-ri a tenere sotto osservazione i fenomeni e a formulare previsioni di possibili perdite econo-miche. 21 maggio 2004 29

Esempio di calcolo: Stima della probabilità di accadimento Media delle frequenze Riportate dalle indagini: Nhtcu – UK (2002) Auscert (2002-2003) Csi – USA (1999-2003) 21 maggio 2004 30

Il processo Ciclo di sensibilizzazione del personale dell’Azienda alla Sicurezza Individuazione delle vulnerabilità e delle possibili perdite economiche Tramite analisi del rischio ICT sulle risorse Business Impact Analysis e determinazione dei processi critici per la Continuità del business Raffronto con le valutazioni quantitative Individuazione delle contromisure più idonee e cost justified 21 maggio 2004 31

Il processo (cont.ne) Stima di indicatori di rischio (scorecard) Comunicazione del possibile livello di rischio attuale e prospettico, Ossia, dopo la messa in esercizio delle contromisure proposte Raccolta sistematica e classificazione degli incidents di ICT security e loro correlazione ai KPI Presentazione periodica di rapporti al management sull’andamento del livello di rischio (PD, EL, ecc.) e sulle azioni in corso 21 maggio 2004 32

Esempio: la metodologia IBM Scenario di Riferimento Nella BIA, mi sono accorto che ad un certo punto cercare di essere puntuali nelle scadenze non è una buona idea: è meglio lasciar parlare il cliente interno, farlo riflettere su quanto ha scritto e detto, affinare le stime, discutere le possibili soluzioni, far vedere i pro e contro di ogni possibile e proponibile soluzione… 21 maggio 2004 33

Investimenti in “Company’s ICT Security awareness”, Conclusione Investimenti in “Company’s ICT Security awareness”, una maggiore chiarezza dei ruoli tra Business Continuity Manager, Security Manager, Global Risk Manager, un processo di Company’s Resilience suppor-tato da metodi chiari e condivisi, non potranno che migliorare la capacità di co-municazione e pianificazione delle esigenze in termini di continuità del business, e di qualità dei prodotti e dei servizi offerti dall’Azienda ai suoi Clienti. 21 maggio 2004 34

…e ricordiamoci che non esiste solo il BS7799… 21 maggio 2004 35

Grazie per l’attenzione, e… 21 maggio 2004 36

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.