Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Transcript

1 Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology ISACA Venice Chapter 1

2 GENERALI GROUP Group Risk Management Operational Risk Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC FOCUS Convegno ISACA Venice - Mestre, 26 Ottobre 2012

3 Agenda 3 Rischi Operativi Approcci di Gestione IT Operational Risk: contesto e gestione IT Bottom Up Operational Risk Assessment: Obiettivi e Confronto con business Metodologia ANNEX Esempi di reportistica Q&A

4 Rischi Operativi 4 INTRODUZIONE Il rischio operativo è definito come il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di: Risorse; Processi; Sistemi Informativi; Infrastrutture. I rischi operativi, rispetto agli altri rischi cui una compagnia può essere esposta, presentano le seguenti peculiarità: sono una conseguenza delle attività svolte dalle compagnie assicurative; sono rischi puri e non speculativi; non rispettano la logica rischio-rendimento. Il Gruppo ha adottato un processo di gestione dei rischi operativi finalizzato alla riduzione del rischio, composto dalle seguenti fasi: definizione delle metodologie di individuazione e valutazione dei rischi operativi; definizione delle strategie per la gestione dei rischi operativi; analisi e definizione delle modalità di gestione dei rischi operativi; predisposizione adeguato reporting in merito alla gestione dei rischi operativi.

5 Approcci di Gestione dei Rischi Operativi 5 APPROCCI Gestione Proattiva Finalizzata a prevenire l assoggettamento della Compagnia e del Gruppo ai rischi di natura operativa anche attraverso la modellizzazione ex ante degli strumenti di gestione correlati Strumenti di gestione IT: Standard Internazionali (COBIT; ITIL; ISO 27001/27002,.); IT Operational Risk Framework; Processo di gestione dell IT Governance; Mappatura degli ambienti IT; Normativa IT (Charter, Policy, Procedure Operative); Software per il monitoraggio e la protezione degli ambienti IT ( strumenti per il controllo accessi, strumento versioning del software, ); Processi Risorse Umane Sistemi IT Gestione Proattiva Fattori di rischio operativo Gestione Reattiva Individuazione e valutazione degli eventi IT: Metodologia Operational Risk Metodologia IT Operational Risk IT Operational Risk assessment sulle applicazioni e sugli ambienti informatici che supportano i processi di business Gestione Reattiva Gestione ad-evento finalizzata all individuazione e valutazione degli eventi di rischio operativo, utilizzando come dimensione di analisi la catena del valore di Gruppo

6 IT Operational Risk: Contesto di riferimento 6 PROCESSI DI BUSINESS VS AMBIENTE IT La figura di seguito riportata rappresenta la relazione tra processi di business ed Ambiente IT: In tale contesto, la metodologia IT Operational Risk ha quindi l obiettivo di diffondere una maggiore consapevolezza dei rischi operativi di natura informatica cui ogni processo di business è soggetto.

7 Gestione Reattiva degli IT Operational Risk 7 GESTIONE REATTIVA La valutazione degli Operational Risk sui Processi di business è basata sulle seguenti attività: IT Bottom Up Operational Risk Assessment: condotti sulle applicazioni e sugli ambienti informatici che supportano i processi di business in analisi. Tali risultati saranno quindi forniti ai Risk Owner di Business in modo da poterli tenere in considerazione durante la valutazione dei loro rischi operativi; Attività di remediation: implementate al fine di mitigare gli impatti dei rischi operativi potranno coinvolgere processi di business, applicazioni ed i relativi ambienti informatici.

8 Prerequisiti della metodologia 8 PREREQUISITI Le attività di Assessment collegate ai rischi operativi IT sono considerate un integrazione degli assessment e dei test svolti già per le attività relative alla 262/05. In particolare la metodologia IT Operational Risk è stata definita tramite estensione del Framework e della Metodologia ITGC/ITAC.

9 IT Bottom Up Operational Risk Assessment - Obiettivi 9 OBIETTIVI L IT Bottom Up Operational Risk Assessment ha l obiettivo di: fornire agli utenti di Business informazioni di cui normalmente non avrebbero visibilità, inerenti il mondo IT; informare gli esperti di business sugli eventi identificati dagli esperti IT, nonché sulla relativa previsione della frequenza di accadimento e sugli indicatori di contesto; fornire, a completamento di tali informazioni, ulteriori elementi di analisi quali: identificazione delle cause IT che possono generare tali eventi; individuazione degli effetti che possono essere generati dagli eventi IT: valutati come effetti sul dipartimento IT; valutati, laddove possibile, come effetti con potenziale impatto o ripercussione sul Business (e.g. ore di straordinario, tempo di recupero, ).

10 IT Bottom Up Operational Risk Assessment: confronto con business 10 RELAZIONI L IT Bottom Up Operational Risk Assessment possiede le seguenti caratteristiche inerenti: Perimetro dell attività, costituito dagli applicativi di maggiore criticità rispetto ai processi di business analizzati; Modalità di intervista, le analisi svolte con i referenti delle aree dell IT Operational Risk Framework hanno focus diversi a seconda degli ambiti analizzati: aree specifiche (tra cui generalmente Software Change Management, Software Development Life Cycle, ecc ); aree trasversali a tutti gli applicativi gestiti dall IT Service Provider (tra cui generalmente Security Management, Infrastructure Project Management, ecc ). La valutazione delle frequenze di accadimento degli eventi IT deve essere considerata come approfondimento specifico sugli eventi di dettaglio legati al fattore IT e pertanto non può sostituire la valutazione che il referente di business effettua considerando anche gli altri fattori di rischio (risorse e processi), piuttosto la completa e permette di darne una valutazione più accurata laddove fornisse informazioni di cui il Business non è a conoscenza.

11 Area specifica IT Operational Risk Framework 11 FRAMEWORK IT Contracting and Outsourcing Technology Licencing PO4, DS1, DS2, ME2 PO9, AI5, DS9, ME3, ME4 Security Management PO4, DS5, DS12 Software Change Management Software Development Life Cycle Data and IT Operations Management Records Management PO10, AI1, AI2, AI3, AI6, AI7, DS4 PO6, PO10, AI1, AI6 PO2, DS4, DS5, DS8, DS10, DS11, DS13 DS11, PO2, PO9 IT Service Resilience DS11, DS4 Infrastructure Change and Project Management PO6, PO10, AI1, AI3, AI6 Architecture PO1, PO2, PO3, PO4, PO5, AI1, AI2, AI3 Physical and Enviromental Security DS12 Asset Management PO10, AI5, DS3, ME4 Area Trasversale CobiT Mapping

12 Metodologia 12 CONTESTO METODOLOGICO OPERATIONAL RISK Per la valutazione delle perdite operative sui processi di business e sui relativi strumenti organizzativi è stata definita la seguente metodologia al fine di valutare i valori di perdita attesa ed intraprendere le opportune azioni correttive:

13 Metodologia 13 METODOLOGIA IT OPERATIONAL RISK La metodologia di IT Bottom Up Operational Risk Assessment comprende le seguenti fasi: definizione del perimetro: include l identificazione del perimetro per gli ambienti IT oggetto delle successive attività di analisi ed è basato su attività ricorsive di censimento delle applicazioni e degli IT service provider, di definizione di criteri di aggregazione e prioritizzazione delle applicazioni e di definizione del relativo perimetro di analisi; Risk Assessment: comprende una serie di analisi finalizzate ad ottenere le informazioni necessarie per identificare e valutare i rischi operativi connessi all ambiente IT; valutazione e reportistica: include la valutazione dei risultati del IT Risk Assessment e la predisposizione della relativa reportistica.

14 Definizione del perimetro 14 DEFINIZIONE DEL PERIMETRO La fase di definizione del perimetro è composta dalle seguenti attività: Mappatura degli applicativi: identifica le applicazioni che supportano i processi di business in perimetro; Mappatura degli IT service provider: identifica gli IT service provider che forniscono servizi IT per ciascun sistema applicativo identificato nell attività di mappatura degli applicativi; Identificazione degli applicativi condivisi tra più Società: identifica gli applicativi condivise tra due o più Società del Gruppo, al fine di evitare la duplicazione delle attività richieste e dei relativi dati raccolti. Prioritizzazione applicativi: assegna una priorità agli applicativi in ambito, sulla base di informazioni precedentemente raccolte; Definizione dei gruppi degli applicativi e del perimetro: identifica gruppi omogenei di applicativi sulla base di policy e pratiche comuni utilizzate dal personale operativo. IT Bottom Up Operational Risk Assessment Definizione del perimetro Risk Assessment Valutazione e Reportistica Definizione del perimetro Mappatura degli applicativi Mappatura IT service Provider Identificazione degli applicativi condivisi tra più Società Prioritizzazione applicativi Definizione dei gruppi degli applicativi e del perimetro

15 Risk Assessment 15 RISK ASSESSMENT Per ogni applicativo in ambito di analisi l IT risk assessment si basa sui seguenti elementi: IT Operational Risk Framework: elenco di rischi IT basato sulle caratteristiche principali degli standard CobiT, ITIL e ISO e suddiviso in aree di competenza al fine di fornire delle linee guida sulle modalità di gestione degli IT Operational Risk e permettere un assessment continuo dello stato dei controlli interni IT. Modelli di identificazione: Modello degli eventi operativi; Modello degli cause; Modello degli effetti; Modello degli strumenti di gestione IT; Modello dei fattori di rischio operativo.

16 Valutazione e Reportistica 16 VALUTAZIONE E REPORTISTICA La fase di valutazione e reportistica è composta dalle seguenti attività: predisposizione reportistica: gli obiettivi principali sono quelli di analizzare i risultati dei risk assessment condotti, classificarli, riorganizzarli e valutarli; comunicazione e condivisione dei risultati: fornire ai Risk Owner informazioni dettagliate sugli assessment degli eventi IT e sui valori assoluti dei Key Context Indicator, in modo da integrare i bottom up operational risk assessment di business e completare la stima del valore di perdita attesa; identificare possibili azioni di rimedio al fine di mitigare le problematiche IT emerse nella fase di risk assessment in ambito IT. IT Bottom Up Operational Risk Assessment Definizione del Perimetro Risk Assessment Valutazione e Reportistica Valutazione e Reportistica Predisposizione reportistica Comunicazione e condivisione dei risultati

17 Key Context Indicator 17 KEY CONTEXT INDICATOR Sono stati definite due macrocategorie di indicatori denominati Key Context Indicator (KCI), di business ed IT, al fine di: poter offrire ai Risk Owner di Business una modalità di contestualizzazione soggettiva dei risultati dei risk assessment in ambito IT sui singoli processi di business; connettere i risultati degli Operational Risk Assessment in ambito IT con quelli di business. KCI IT = 500 App1 App2 KCI IT Local= 100 Proc 1 Società Network Hardware 1 DB1 App3 DB2 App4 KCI IT Local = 400 Proc 2 Sala CED Hardware 2 DB3 Ambiente IT KCI Valore assoluto Ambiente Business - KCI Valore relativo

18 ANNEX - Esempi di reportistica (1/4) 18

19 ANNEX - Esempi di reportistica (2/4) 19

20 ANNEX - Esempi di reportistica (3/4) 20 Causa di 1 Livello Causa di 2 Livello Indice aggregato di significatività della causa Inadeguatezza o disfunzioni operative dalle risorse umane Inadeguatezza o disfunzione di infrastrutture informatiche / telematiche Inadeguatezza sviluppo delle risorse umane Inadeguatezza dei sistemi di sicurezza e conservazione delle informazioni Media Bassa Effetto IT di 1 Livello Effetti economici Effetto IT di 2 Livello Risarcimenti / indennizzi dovuti a controversie legali Grado aggregato annuo dell effetto Media Effetti gestionali Numero di clienti danneggiati Media Effetto business di 1 Livello Effetto business di 2 Livello Grado aggregato annuo dell effetto Effetti economici Risarcimenti / indennizzi dovuti a controversie legali Perdite non recuperabili Media Media

21 ANNEX - Esempi di reportistica (4/4) 21 Di seguito è riportato la classifica delle Cause di 3 livello con maggior significatività: Causa di 3 Livello Causa di 2 Livello Causa di 1 Livello 1 Inadeguata formazione delle risorse Inadeguatezza sviluppo delle risorse umane Mancanza / inadeguatezza / Insufficienza dei controlli automatici su dati inseriti / da inserire Inadeguatezza del software in relazione alle necessità operative Inadeguatezza delle attrezzature hardware rispetto alle esigenze operative Mancanza / inadeguatezza dei controlli di linea sugli altri processi Inadeguatezza delle infrastrutture hardware e software Inadeguatezza del monitoraggio e controllo sui processi Inadeguatezza o disfunzioni operative dalle risorse umane Inadeguatezza o disfunzione di infrastrutture informatiche / telematiche Inadeguatezza o disfunzione di processi / procedure, attività di comunicazione e contrattualistica con gli outsourcer

22 Q&A 22 Grazie per l attenzione!

23 GENERALI GROUP Group Risk Management Operational Risk Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology FOCUS Davide Lizzio CISA CRISC Operational Risk Tel: / Convegno ISACA Venice - Mestre, 26 Ottobre 2012