Benchmark dei modelli organizzativi della sicurezza

Slides:



Advertisements
Presentazioni simili
Piano di Formazione per la Riqualificazione del Personale
Advertisements

Obiettivo del documento
Roma, aprile 2012 Riconfigurazione dei processi di Delivery ed Assistenza Tecnica Clientela OLO 1.
Il check-up dell’innovazione
INTRODUZIONE ALL’ITIL Information Technology Infrastructure Library
Il Caso O.S.B. Organizzazione Servizi Bancari Dr. Giuseppe Mazzoli AltaVia Consulting Snc Società di consulenza per l'informatica e l'e-business.
Sicurezza Logica e le altre funzioni di sicurezza - sinergie, conflitti, opportunità - benchmarking con altre importanti realtà bancarie e non Stefano.
TechNet Management European Expert Tour Milano, 4 ottobre 2005BENVENUTI TechNet Management European Expert Tour Milano, 4 ottobre 2005BENVENUTI Davide.
Obiettivo dell’incontro
RIASSETTO DI EURIZON SOLUTIONS INCONTRO CON LE OO.SS.
Struttura organizzativa as is: Banca Caboto Italia
CALL CENTER REGIONALE 24 marzo 2009.
OMAT VoiceCom - Roma 11, novembre 2003 Francesco Arciprete La Qualità e la Sicurezza delle TLC fattori abilitanti dell E-Government OMAT VoiceCom – Roma,
OA: nuovo modello organizzativo ed operativo delle Access Operations Area Roma, aprile 2012 PROPRIETARY & CONFIDENTIAL_FOR INTERNAL USE ONLY.
Information Technology
Componenti del modello
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
LA FORMA ORGANIZZATIVA DECENTRATA
Banche e Aziende ICT: esploriamo nuovi orizzonti
Paolo Angelucci – Presidente Assinform Smau Convegno inaugurale Smau Linnovazione ICT, una leva strategica per la competitività del Sistema Italia.
CRIF al servizio di banche e società finanziarie
Organizzazioni e teoria organizzativa
AREA COMMERCIALE BUSINESS:
Roma, 17 novembre 2003 Michele Morciano 1 Roma, 17 novembre 2003 Michele Morciano 1 Programmazione e controllo di gestione nelle amministrazioni pubbliche:
Posizione di Telecom Italia sullAnno Indice Organizzazione del Progetto Anno 2000 Aree di Presidio Piano di Adeguamento Test di Interoperabilità
1 PROGRAMMA ANNO 2000 PROGRAMMA ANNO 2000 Conferenza Nazionale sulladeguamento informatico dellAnno Roma 17 Giugno 1999 Presentazione ing. Laganà
Finanza Direzione Centrale
1 Banksiel Web Solutions in Finance. 2 Scenario Nuovi canali distributivi ---> Nuovi servizi Ipercompetizione ---> T.t.M., Scalabilita Incroci tra diversi.
Chief Information Office/ SRTLC Luglio 2008 Progetto di sperimentazione Telelavoro Chief Information Office Progetto di sperimentazione Telelavoro Chief.
PROGETTO SECURITY ROOM
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.
ORSS Web 2012.
14 Aprile 2005 Presentazione v. 6 - Tutti I diritti riservati. Vietata la duplicazione e la distribuzione parziale o totale Presentazione della Società
1 Corso di formazione sul monitoraggio e la valutazione dei Piani di zona avviati in Provincia di Torino Secondo Modulo: La valutazione del livello di.
Raffaele Zenti Ras Asset Management SGR S. p. A
Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste.
, PRESENTAZIONE AZIENDALE, VERSIONE DEL 24/02/1999, 1.
NUOVO MODELLO DI FUNZIONAMENTO DELL’AMMINISTRAZIONE DEL PERSONALE
Evoluzione del modello organizzativo di Poste Italiane
“La gestione integrata del rischio nelle strutture sanitarie”
BANCA MONTE DEI PASCHI DI SIENA
L’information security e la governance
Struttura Complessa per la gestione dei Sistemi Informativi Aziendali e Progettazione Reti Informatiche LInformation Technology nel settore sanitario,
COO/RU - Organizzazione Operativa 0 CHIEF OPERATING OFFICE COMMISSIONE INQUADRAMENTO Roma, 25 luglio 2007 Incontro con le OO.SS. Nazionali.
Esternalizzazione dell’ICT nella PA
Sviluppa il tuo Repository di Enterprise Architecture Implementa la tua reportistica, Prepara il tuo Cruscotto di Governance. Modellare, analizzare e condividere!
Il macro ambito “Organisation performance”. Allegato 1: Organisation Performance 1. Il macro ambito “Organisation Performance” Il modello (framework)
Esperienza di UniCredit Group Evoluzione e nuove sfide nella gestione del rischio operativo Milano 15 ottobre 2013 Group Operational & Reputational Risks.
Salotto MIX 2014 "La sicurezza di Internet in Italia: rischi, resilienza e fragilità" Milano, 25 Novembre 2014.
IShared Security Service (S 3 ) La nostra filosofia, il nostro approccio, le nostre soluzioni… al VOSTRO servizio.
Finanza cooperativa e finanza etica per lo sviluppo
Presentazione della costituenda Funzione Towers alle OO.SS. Principali elementi GRUPPO TELECOM ITALIA PEOPLE VALUE Roma, 13 Ottobre 2014 Confidential –
Dipartimento di Studi Aziendali ed Economici anno acc
RUO – Sviluppo Organizzativo e Pianificazione 10 Marzo 2010 Aree Territoriali Controllo Interno.
Adolfo Bertani Presidente Cineas Politecnico di Milano, 06 novembre 2014 Inaugurazione Anno Accademico Cineas Anno Accademico Cineas2014/2015 Per una.
Lezione 12 Gestione Finanziaria delle Imprese LAVORARE IN FINANZA Lezione 12.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Deutsche Bank Deutsche Bank A leading bank in Italy and in the world Aprile 2011.
Struttura Organizzativa Consiglio d’Amministrazione del 28 maggio 2015.
BNL per le Reti d’Impresa
FORUM P.A Seminari tematici Nuovi strumenti di programmazione e controllo: Sistemi budgetari e gestione per obiettivi Intervento del Direttore Pianificazione.
PMI EMEA Congress Session PRJ11 Generating Opportunities from Constraints Ethics for Project Success Michela Ruffa, PMP © - Director at Large –
Newsmercati Report survey Sondaggio Formazione & internazionalizzazione.
Il Paese che cambia passa da qui. Il nuovo Piano triennale per l’Italia digitale: la strategia sulle infrastrutture Antonio Samaritani, Direttore generale.
Attori Enterprise risk management
ROMA 24 GIUGNO 2016 AREA TEMATICA 4. NUOVE FONTI E DOMANDE Raffaella Cagliano NUOVE FONTI E DOMANDE ISTAT - Rilevazione Multiscopo sulle attività complesse.
ROMA 23 GIUGNO 2016 OFFICINA MODERNIZZAZIONE - PROJECT E PORTFOLIO MANAGEMENT PER LA MODERNIZZAZIONE DELLA PUBBLICA AMMINISTRAZIONE Inserire il Titolo.
1 luglio Application Security Database Protection.
Via Emilio Ghione, Roma
Transcript della presentazione:

Benchmark dei modelli organizzativi della sicurezza Riservato Benchmark dei modelli organizzativi della sicurezza Sintesi delle evidenze Milano, 20 Luglio 2004

Agenda Contesto Pag. 3 Modelli organizzativi – Riporto diretto al CEO/BoD Pag. 6 Modelli organizzativi – Riporto al CIO Pag. 7 Referenze internazionali Merrill Lynch Pag. 9 Bank of America Pag. 10 American Express Pag. 11 ABN Amro Pag. 12 Crèdit Agricole Indusuez S.A. Pag. 13 Banco Santander Central Hispano Americano/Banco Bilbao Vizcaya Argentaria Pag. 14 Referenze italiane Unicredit Pag. 15 Capitalia Pag. 16 Banca Lombarda e Piemontese Pag. 17 Banca Svizzera Italiana Pag. 18 Banca Mediolanum Pag. 19 SIA Pag. 20 Riferimenti Pag. 21

Contesto (1/3) La sicurezza è sempre più riconosciuta come parte integrante del business e gestita nell’insieme delle sue componenti in modo unitario a livello Corporate Nelle realtà internazionali, e soprattutto in quelle Americane anche a seguito della riforma del diritto societario, si osserva: Il riconoscimento che la sicurezza è legata tanto alla tecnologia quanto al business, in quanto gestore di una parte dei rischi operativi Un progressivo allargamento dell’ambito gestito dalle strutture di sicurezza, che, alla gestione della tematiche di sicurezza logica, fisica e protezione degli asset, aggiungono prima le tematiche relative al copyright ed alla Business Continuity e, in alcuni casi, anche il presidio del rapporto con la clientela Dal punto di vista organizzativo si osservano tre modelli di riferimento: La costituzione di una struttura organizzativa ad hoc dipendente direttamente dal CEO e/o dal BoD, presieduta da un Chief Security Officer (CSO), chiamato anche Global Security Officer, che ha la responsabilità globale della sicurezza (interna, esterna, fisica, logica, personale), sia per la componente strategica/di governo che operativa La gestione della sicurezza logica all’interno strutture IT, con la costituzione di un Chief Information Security Officer (CISO), dipendente direttamente dal CIO, che ha la responsabilità della protezione delle informazioni e, eventualmente, di altri aspetti strettamente correlati, quali, ad esempio, la sicurezza fisica, la pianificazione e sviluppo delle architetture di sicurezza, gli incidenti informatici La centralizzazione delle funzioni di controllo strategico della sicurezza in una struttura esistente in staff al CEO (ad esempio nella struttura di Risk Management, ove questa è preposta al governo dei rischi) responsabile della definizione delle policy, delle priorità e delle linee guida per tutto il Gruppo, con la costituzione di un Comitato di controllo cui è demandata la responsabilità sul rischio, delegando la parte di governo operativo al CISO, per la parte IT, oppure ad altre strutture operative (ad esempio la Logistica) preposte al presidio delle diverse tipologie di rischio

— Considerazioni su Governance, Budget e Dimensionamento — Contesto (2/3) — Considerazioni su Governance, Budget e Dimensionamento — Il CSO/CISO riporta ancora prevalentemente al CIO, anche se si sta affermando la scelta di posizionare la sicurezza al di fuori delle strutture IT CIO: 35% ca. CEO/BoD: 15% ca. Altri riporti del CEO (COO, CRO, CTO): 30% ca. Altri: 20% La maggior parte delle aziende (ca. il 70%) ritiene di investire in sicurezza una cifra paragonabile a quella delle altre aziende con cui si confronta e, nell’ultimo anno, il budget dedicato alla sicurezza è cresciuto per il 65% delle aziende, attestandosi ad un valore pari a ca. il 7% di quello dell’IT Il numero delle persone dedicate alla sicurezza è in rapida crescita in tutte le realtà e fra le maggiori istituzioni finanziarie il 28% di queste si avvale di uno staff superiore alle 100 unità

— Sfide future — Contesto (3/3) Supportare il Top Management nelle valutazioni di business, offrendo un punto di vista integrato del rischio cui l’azienda è sottoposta e definendo la priorità degli interventi in base alle strategie concordate Definire ed implementare un sistema di analisi e monitoraggio di una serie di indicatori, che consenta di valutare ed oggettivare il livello di rischio, comparare scelte differenti e indirizzare gli investimenti in una logica costo/protezione misurabile Gestire le tematiche di sicurezza nel loro complesso in un contesto fortemente dinamico, nel quale i nuovi servizi/canali di accesso per la clientela, le ristrutturazioni organizzative ed infrastrutturali, le relazioni con attori terzi, quali partnership e fornitori, sono, allo stesso tempo, opportunità di business da perseguire e, soprattutto, fonti di rischio da governare

— Modello di riferimento — Modelli organizzativi - Riporto diretto al CEO/BoD La tendenza che si osserva è quella di creare una struttura di sicurezza autonoma, con responsabilità globale della sicurezza, budget proprio e riporto diretto al CEO/BoD — Modello di riferimento — — Considerazioni — Si osserva come tendenzialmente tutte le aziende certificate BS7799 abbiano la funzione sicurezza dipendente da un CSO, che riporta direttamente al CEO/BoD, e che tale modello organizzativo è stato adottato principalmente dalle aziende USA e UK Il CSO ha la responsabilità globale della sicurezza (interna, esterna, fisica, logica, personale) e di tutti i suoi aspetti (strategia, governo, controllo e implementazione) Il CSO ha alle sue dipendenze: un CISO, che ha la responsabilità della protezione delle informazioni e da cui dipendono: IT Security Manager (sicurezza informatica) IT Security Architect (risponde all’IT Security Manager e si occupa della pianificazione e sviluppo delle architetture di sicurezza) IT Security Incident Manager (incidenti Informatici) un Phisical Security Officer (PSO), che gestisce la sicurezza fisica della struttura, incluse le eventuali norme di personal safety degli impiegati La parte investigativa, ove presente, è composta dal: Capo dell'internal auditing, paritetico al CSO risponde come quest'ultimo al CEO Chief Investigation Officer, che si occupa delle investigazioni interne e riporta al capo internal auditing. Il Chief Investigation Officer ha, inoltre, una serie di Senior Investigators, che si occupano di frodi/illeciti/violazioni delle politiche, anche di tipo AUP/Information Security. Si avvale dello staff di IT security per le operazioni di incident response e digital forensic CEO/Board COO CIO CSO CISO Struttura autonoma, in staff al CEO, con responsabilità globale della sicurezza — Referenze — Swiss Bank Corporation HSBC The Royal Bank of Scotland Dresdner Bank Citigroup Republic National Bank New York Standard Chartered Bank Fidelity Investments State Street Global Advisors ING Eurobank Imperial Chemical Industries DuPont Nike Inc. Thomson Corporation Hershey Foods Corporation Google eBay ENI FIAT Pirelli

— Modello di riferimento — Modelli organizzativi - Riporto al CIO (1/2) Alcune realtà adottano ancora un modello organizzativo che prevede la funzione di Sicurezza posizionata nella componente IT, con il CISO che riporta al CIO — Modello di riferimento — — Considerazioni — Si osserva che tale modello organizzativo è ancora prevalentemente adottato nelle realtà bancarie italiane ed europee Il CISO dipende direttamente dal CIO ed è responsabile della pianificazione, del controllo e dell’implementazione del sistema di protezione delle informazioni e dell’architettura di sicurezza Il CISO si occupa prevalentemente della sicurezza logica e, in alcuni casi, di quella fisica, mentre il tema della Business Continuity viene ridotto alla definizione delle infrastrutture di Disaster Recovery nell’ambito delle attività di IT- Facility Management CEO/Board … CIO Struttura esistente (es. Risk Management) Altri ambiti di sicurezza CISO Funzione di sicurezza posizionata nell’IT, con ambito limitato alla sicurezza logica — Referenze — Merrill Lynch Bank of America American Express ABN Amro National Bank Of Belgium Crèdit Agricole Indosuez Banco Santander Central Hispano Americano Banco Bilbao Vizcaya Argentaria Capitalia Solvay Carnival Group

— Modello di riferimento — Modelli organizzativi - Riporto al CIO (2/2) Alternativamente, si osserva un modello “double layer”, in cui il CSO riporta ad una struttura esistente in staff al CEO, separata dall’IT, con responsabilità di governo, mentre la parte implementativa è delegata al CISO, che riporta al CIO, e alle altre strutture operative preposte — Modello di riferimento — — Considerazioni — Il CSO dipende da una struttura esistente di staff al CEO ed ha la responsabilità di definire le linee guida e gli obiettivi strategici e di controllarne l’effettivo rispetto; la responsabilità del rischio viene affidata ad un Comitato di controllo appositamente costituito L’applicazione delle strategie è demandata al CISO, per la parte IT, oppure ad altre strutture operative (ad esempio la Logistica) preposte al presidio delle diverse tipologie di rischio Il CISO risponde direttamente al CIO ed ha le seguenti responsabilità: Protezione delle informazioni Pianificazione e sviluppo delle architetture di sicurezza Incidenti informatici CEO/Board Comitato di controllo … CIO Struttura esistente (es. Risk Management) Altri ambiti di sicurezza CISO CSO “Double layer”: governo demandato ad un CSO dipendente da una struttura non IT in staff al CEO e responsabilità dell’implementazione affidata, per la parte IT, al CISO — Referenze — JP Morgan Chase Deutsche Bank Unicredit San Paolo IMI BNL

Referenze internazionali (1/6) Executive Management COO CFO CEO Chief Information & Services Officer CTO Chief Information Officer Security & Privacy Product Development Security Operations Information Security Officers & Service Management Europe & Asia Pacific Security Administration Global Technology & Services

Referenze internazionali (2/6) CIO Customer Knowledge IT Change Execution Support and Application Development Technology Services Enterprise Architecture & Emerging Technology Technology Solutions Technology Solutions Support Information Processing Group Information Security Information Processing Group Support

Referenze internazionali (3/6) CIO CSO Security Strategy & Technology Security Service Delivery & Support Governance & Management Controls & Compliance Responsible for the leadership, ownership and execution of the enterprise infrastructure strategic objectives, programs and processes, with a focus on the superior delivery of services to the business users Relationship management, business/technology alignment, info security management, policy management, program office, process coordination, project and resource coordination, key partner governance Security strategy, security technolgy/visioning, security architecture, technical requirements, vendor management, network and infrastructure security, application/database security and assessment, information protection Security Service design and delivery, user access control and automation, security operations and application support, monitoring and reporting, risk/vulnerability/threat management, response management Standard lifecycle management and compliance, business continuity planning, regulatory compliance and key control documentation, testing and certification

Referenze internazionali (4/6) CIO COO Architecture & Development Information Security Services Technical Security Service Enterprise Architecture Open Systems UNIX Infrastructure Security Architecture Network Perimeter & Intrusion Vulnerability Management Operations Mainframe Access Control Services

Business Continuity Plan Referenze internazionali (5/6) CIO …. Security Policy Valutazione dei rischi Progettazione e gestione sicurezza COO Business Continuity Plan

Referenze internazionali (6/6) CIO …. Security Policy e supervisione Business Continuity Plan e Disaster Recovery ICT Security Gestione Amministrazione

Referenze italiane (1/6) Presidente L’Unità Organizzativa della Sicurezza ha il compito di valutare tutti i rischi di natura criminosa cui sono soggette le società, le persone ed i beni del gruppo, al fine di individuare e di applicare le misure tecniche e procedurali più idonee a contenere tali rischi. Gestisce anche le tematiche di Business Continuity e Analisi del rischio Amministratore Delegato Sicurezza Direzione Audit Direzione Legale e Affari Societari Direzione Crediti Direzione Risorse Direzione Amministrazione Direzione Stra-tegia, Pianifica-zione, Controllo Procedure di Sicurezza Sicurezza Fisica Sicurezza delle informazioni Centrale Allarmi Torino Dist. Milano Direzione Retail Direzione Corporate Direzione Finanza Direzione Ope-rativa (Acquisti, Tecnico, Sicure-zza, USI - UPA) Direzione Estero Dist. Verona Centrale Allarmi Verona Dist. Tornio Acquisti Tecnico Sicurezza Corporate Centrale Allarmi Milano Dist. Treviso (*) La società di servizi USI (Unicredit Sistemi informativi) ha una struttura dedicata alla sicurezza, interna all’area architetture e sistemi, responsabile degli aspetti operativi legati alla sicurezza informatica perimetrale e alla gestione delle crisi informatiche di gruppo Dist. Roma Dist. Napoli Dist. Catania

Referenze italiane (2/6) Amministratore Delegato Direttore Generale Organizzazione e Sistemi Finanza, Prodotti e Canali Politiche del Credito Bilancio e Fiscale Partecipazioni Affari Generali Risorse Umane Funzionamento Organizzazione Sistemi Sicurezza Corporate Sviluppo ... Telecomunicazioni Sistemi Sicurezza Informatica

Referenze italiane (3/6) Amministratore Delegato Direttore Generale Compliance e Sicurezza Information Technology Servizi Amministrativi Servizi Beni Immobiliari Centro Acquisti (*) Organigramma relativo all’IT Provider di Banca Lombarda (LSS, Lombarda Sistemi e Servizi)

Referenze italiane (4/6) Amministrazione & Logistica Contabilità Finanziaria & Analitica Operations Registro Centrale Amministrazione TItoli Logistica Progetti Informatici Information Systems Organization Support Sicurezza e Servizi Ufficio Tecnico

Referenze italiane (5/6) Amministratore Delegato Direzione Sistemi e Organizzazione ... ... Direzione risorse umane Sicurezza Corporate Sviluppo Applicazioni Erogazione Servizio Telecomunicazioni e Sicurezza Organizzazione e Procedure Tecniche Organizzazione e Procedure Commerciali Sistemi rete Vendita Sistemi di Base Conti Correnti e Sistemi di Pagamento Sicurezza Informatica Sistemi Canali Diretti Service Management Titoli e Tesoreria Sistemi Vita Telecomunicazioni Anagrafica Clienti / Canali Diretti Change Management Sistemi banca e Fondi Processi Amministrativi Sicurezza Logica Gestione CED e impiantistica Sistemi del Personale e Office Automation Supporto Interfunzionale

Referenze italiane (6/6) AD DG Capi Area SU SAE BU IT Security LSA Service Manager Capi Progetto Figure attualmente presenti in azienda che necessitano di responsabilizzazione formale sulla sicurezza informatica

Riferimenti “Global Security Survey”, 2003 e 2004 – Deloitte Documentazione Gartner Consulting: research note “The role of the Chief Information Security Officer” Articoli, interviste, report e approfondimenti da csoonline.com: “The evolution of the Chief Security Office”, 2002 “State of the CSO 2003” “State of the CSO 2004” “The state of Information Security”, 2003 Richieste informali a persone di riferimento del settore