1

Benchmark dei modelli organizzativi della sicurezza

Sintesi delle evidenze

Milano, 20 Luglio 2004

Riservato

2

Contesto Pag. 3

Modelli organizzativi – Riporto diretto al CEO/BoD Pag. 6

Modelli organizzativi – Riporto al CIO Pag. 7

Referenze internazionali

• Merrill Lynch Pag. 9

• Bank of America Pag. 10

• American Express Pag. 11

• ABN Amro Pag. 12

• Crèdit Agricole Indusuez S.A. Pag. 13

• Banco Santander Central Hispano Americano/Banco Bilbao Vizcaya Argentaria Pag. 14

Referenze italiane

• Unicredit Pag. 15

• Capitalia Pag. 16

• Banca Lombarda e Piemontese Pag. 17

• Banca Svizzera Italiana Pag. 18

• Banca Mediolanum Pag. 19

• SIA Pag. 20

Riferimenti Pag. 21

Agenda

3

Nelle realtà internazionali, e soprattutto in quelle Americane anche a seguito della riforma del diritto societario, si osserva:

• Il riconoscimento che la sicurezza è legata tanto alla tecnologia quanto al business, in quanto gestore di una parte dei rischi operativi

• Un progressivo allargamento dell’ambito gestito dalle strutture di sicurezza, che, alla gestione della tematiche di sicurezza logica, fisica e protezione degli asset, aggiungono prima le tematiche relative al copyright ed alla Business Continuity e, in alcuni casi, anche il presidio del rapporto con la clientela

Dal punto di vista organizzativo si osservano tre modelli di riferimento:

• La costituzione di una struttura organizzativa ad hoc dipendente direttamente dal CEO e/o dal BoD, presieduta da un Chief Security Officer (CSO), chiamato anche Global Security Officer, che ha la responsabilità globale della sicurezza (interna, esterna, fisica, logica, personale), sia per la componente strategica/di governo che operativa

• La gestione della sicurezza logica all’interno strutture IT, con la costituzione di un Chief Information Security Officer (CISO), dipendente direttamente dal CIO, che ha la responsabilità della protezione delle informazioni e, eventualmente, di altri aspetti strettamente correlati, quali, ad esempio, la sicurezza fisica, la pianificazione e sviluppo delle architetture di sicurezza, gli incidenti informatici

• La centralizzazione delle funzioni di controllo strategico della sicurezza in una struttura esistente in staff al CEO (ad esempio nella struttura di Risk Management, ove questa è preposta al governo dei rischi) responsabile della definizione delle policy, delle priorità e delle linee guida per tutto il Gruppo, con la costituzione di un Comitato di controllo cui è demandata la responsabilità sul rischio, delegando la parte di governo operativo al CISO, per la parte IT, oppure ad altre strutture operative (ad esempio la Logistica) preposte al presidio delle diverse tipologie di rischio

Contesto (1/3)

La sicurezza è sempre più riconosciuta come parte integrante del business e gestita nell’insieme delle sue componenti in modo unitario a livello Corporate

4

Il CSO/CISO riporta ancora prevalentemente al CIO, anche se si sta affermando la scelta di posizionare la sicurezza al di fuori delle strutture IT

• CIO: 35% ca.

• CEO/BoD: 15% ca.

• Altri riporti del CEO (COO, CRO, CTO): 30% ca.

• Altri: 20%

La maggior parte delle aziende (ca. il 70%) ritiene di investire in sicurezza una cifra paragonabile a quella delle altre aziende con cui si confronta e, nell’ultimo anno, il budget dedicato alla sicurezza è cresciuto per il 65% delle aziende, attestandosi ad un valore pari a ca. il 7% di quello dell’IT

Il numero delle persone dedicate alla sicurezza è in rapida crescita in tutte le realtà e fra le maggiori istituzioni finanziarie il 28% di queste si avvale di uno staff superiore alle 100 unità

Contesto (2/3)

— Considerazioni su Governance, Budget e Dimensionamento —

5

Supportare il Top Management nelle valutazioni di business, offrendo un punto di vista integrato del rischio cui l’azienda è sottoposta e definendo la priorità degli interventi in base alle strategie concordate

Definire ed implementare un sistema di analisi e monitoraggio di una serie di indicatori, che consenta di valutare ed oggettivare il livello di rischio, comparare scelte differenti e indirizzare gli investimenti in una logica costo/protezione misurabile

Gestire le tematiche di sicurezza nel loro complesso in un contesto fortemente dinamico, nel quale i nuovi servizi/canali di accesso per la clientela, le ristrutturazioni organizzative ed infrastrutturali, le relazioni con attori terzi, quali partnership e fornitori, sono, allo stesso tempo, opportunità di business da perseguire e, soprattutto, fonti di rischio da governare

Contesto (3/3)

— Sfide future —

6

Modelli organizzativi - Riporto diretto al CEO/BoD

La tendenza che si osserva è quella di creare una struttura di sicurezza autonoma, con responsabilità globale della sicurezza, budget proprio e riporto diretto al CEO/BoD

— Modello di riferimento —

Si osserva come tendenzialmente tutte le aziende certificate BS7799 abbiano la funzione sicurezza dipendente da un CSO, che riporta direttamente al CEO/BoD, e che tale modello organizzativo è stato adottato principalmente dalle aziende USA e UK

Il CSO ha la responsabilità globale della sicurezza (interna, esterna, fisica, logica, personale) e di tutti i suoi aspetti (strategia, governo, controllo e implementazione)

Il CSO ha alle sue dipendenze:

• un CISO, che ha la responsabilità della protezione delle informazioni e da cui dipendono:

– IT Security Manager (sicurezza informatica)

– IT Security Architect (risponde all’IT Security Manager e si occupa della pianificazione e sviluppo delle architetture di sicurezza)

– IT Security Incident Manager (incidenti Informatici)

• un Phisical Security Officer (PSO), che gestisce la sicurezza fisica della struttura, incluse le eventuali norme di personal safety degli impiegati

La parte investigativa, ove presente, è composta dal:

• Capo dell'internal auditing, paritetico al CSO risponde come quest'ultimo al CEO

• Chief Investigation Officer, che si occupa delle investigazioni interne e riporta al capo internal auditing. Il Chief Investigation Officer ha, inoltre, una serie di Senior Investigators, che si occupano di frodi/illeciti/violazioni delle politiche, anche di tipo AUP/Information Security. Si avvale dello staff di IT security per le operazioni di incident response e digital forensic

— Considerazioni —

Swiss Bank Corporation HSBC The Royal Bank of Scotland Dresdner Bank Citigroup Republic National Bank New York Standard Chartered Bank

Fidelity Investments State Street Global Advisors ING Eurobank

Imperial Chemical Industries DuPont

Nike Inc. Thomson Corporation Hershey Foods Corporation Google eBay ENI FIAT Pirelli

CEO/Board

CIO CSOCOO

CISO

— Referenze —

Struttura autonoma, in staff al CEO, con responsabilità globale della sicurezza

7

Alcune realtà adottano ancora un modello organizzativo che prevede la funzione di Sicurezza posizionata nella componente IT, con il CISO che riporta al CIO

Si osserva che tale modello organizzativo è ancora prevalentemente adottato nelle realtà bancarie italiane ed europee

Il CISO dipende direttamente dal CIO ed è responsabile della pianificazione, del controllo e dell’implementazione del sistema di protezione delle informazioni e dell’architettura di sicurezza

Il CISO si occupa prevalentemente della sicurezza logica e, in alcuni casi, di quella fisica, mentre il tema della Business Continuity viene ridotto alla definizione delle infrastrutture di Disaster Recovery nell’ambito delle attività di IT- Facility Management

Merrill Lynch Bank of America American Express ABN Amro National Bank Of Belgium Crèdit Agricole Indosuez

— Referenze —

Banco Santander Central Hispano Americano

Banco Bilbao Vizcaya Argentaria Capitalia

Solvay Carnival Group

Modelli organizzativi - Riporto al CIO (1/2)

CEO/Board

CIO

Struttura esistente (es.

Risk Management)

CISO

…

Altri ambiti di sicurezza

Funzione di sicurezza posizionata nell’IT, con ambito limitato alla sicurezza logica

— Modello di riferimento — — Considerazioni —

8

Alternativamente, si osserva un modello “double layer”, in cui il CSO riporta ad una struttura esistente in staff al CEO, separata dall’IT, con responsabilità di governo, mentre la parte implementativa è delegata al CISO, che riporta al CIO, e alle altre strutture operative preposte

— Modello di riferimento —

Il CSO dipende da una struttura esistente di staff al CEO ed ha la responsabilità di definire le linee guida e gli obiettivi strategici e di controllarne l’effettivo rispetto; la responsabilità del rischio viene affidata ad un Comitato di controllo appositamente costituito

L’applicazione delle strategie è demandata al CISO, per la parte IT, oppure ad altre strutture operative (ad esempio la Logistica) preposte al presidio delle diverse tipologie di rischio

Il CISO risponde direttamente al CIO ed ha le seguenti responsabilità:

• Protezione delle informazioni

• Pianificazione e sviluppo delle architetture di sicurezza

• Incidenti informatici

— Considerazioni —

JP Morgan Chase Deutsche Bank Unicredit San Paolo IMI BNL

CEO/Board

CIO

Struttura esistente (es.

Risk Management)

CISO

— Referenze —

CSO

Comitato di controllo

…

Altri ambiti di sicurezza

“Double layer”: governo demandato ad un CSO dipendente da una struttura non IT in staff al CEO e responsabilità dell’implementazione affidata, per la parte IT, al CISO

Modelli organizzativi - Riporto al CIO (2/2)

9

Executive Management

COO CFOCEO

Chief Information & Services Officer

CTOChief Information

OfficerSecurity & Privacy

Product Development

Security OperationsInformation Security Officers & Service

Management

Europe & Asia Pacific Security Administration

Global Technology & Services

Referenze internazionali (1/6)

10

Referenze internazionali (2/6)

CIO

Customer Knowledge

IT Change ExecutionSupport and Application

DevelopmentTechnology Services

Enterprise Architecture &

Emerging Technology

Technology Solutions

Technology Solutions Support

Information Processing Group

Information SecurityInformation

Processing Group Support

11

CIO

CSO

Security Strategy & Technology

Security Service Delivery & Support

Governance & Management

Controls & Compliance

Responsible for the leadership, ownership and execution of the enterprise infrastructure strategic objectives, programs and processes, with a focus on the superior delivery of services to the business users

Relationship management, business/technology alignment, info security management, policy management, program office, process coordination, project and resource coordination, key partner governance

Security strategy, security technolgy/visioning, security architecture, technical requirements, vendor management, network and infrastructure security, application/database security and assessment, information protection

Security Service design and delivery, user access control and automation, security operations and application support, monitoring and reporting, risk/vulnerability/threat management, response management

Standard lifecycle management and compliance, business continuity planning, regulatory compliance and key control documentation, testing and certification

Referenze internazionali (3/6)

12

Referenze internazionali (4/6)

CIOCOO

Architecture & Development

Information Security Services

Technical Security Service

Enterprise Architecture

Open Systems UNIX Infrastructure

Security Architecture

Network Perimeter & Intrusion

Vulnerability Management

Information Security Services

Operations Mainframe

Access Control Services

13

Referenze internazionali (5/6)

CIO

…. Security

Policy

Valutazione dei rischi

Progettazione e gestione sicurezza

COO

Business Continuity Plan

14

CIO

….

Security Policy e supervisione

Business Continuity Plan e Disaster Recovery

ICT Security

Gestione

Amministrazione

Referenze internazionali (6/6)

15

(*) La società di servizi USI (Unicredit Sistemi informativi) ha una struttura dedicata alla sicurezza, interna all’area architetture e sistemi, responsabile degli aspetti operativi legati alla sicurezza informatica perimetrale e alla gestione delle crisi informatiche di gruppo

Presidente

Amministratore Delegato

Direzione Legale e Affari

Societari

Direzione Crediti

Direzione Risorse

Direzione Audit

Direzione Amministrazio

ne

Direzione Stra-tegia,

Pianifica-zione,

Controllo

Direzione Retail

Direzione Corporate

Direzione Finanza

Direzione Ope-rativa

(Acquisti, Tecnico,

Sicure-zza, USI - UPA)

Direzione Estero

Acquisti TecnicoSicurezza Corporate

Procedure di

Sicurezza

Centrale Allarmi Torino

Centrale Allarmi Verona

Centrale Allarmi Milano

Dist. Milano

Dist. Verona

Dist. Tornio

Dist. Treviso

Dist. Roma

Sicurezza Fisica

Dist. Napoli

Dist. Catania

Sicurezza delle

informazioni

Sicurezza

L’Unità Organizzativa della Sicurezza ha il compito di valutare tutti i rischi di natura criminosa cui sono soggette le società, le persone ed i beni del gruppo, al fine di individuare e di applicare le misure tecniche e procedurali più idonee a contenere tali rischi. Gestisce anche le tematiche di Business Continuity e Analisi del rischio

Referenze italiane (1/6)

16

Referenze italiane (2/6)

SistemiOrganizzazione

Sviluppo

Telecomunicazioni

Sistemi

Sicurezza Informatica

Sicurezza Corporate

...

Amministratore Delegato

Direttore Generale

Finanza, Prodotti e Canali

Politiche del Credito

Bilancio e FiscaleOrganizzazione e

SistemiFunzionamentoRisorse UmanePartecipazioni Affari Generali

17

Amministratore Delegato

Direttore Generale

Information Technology

Servizi Amministrativi

Servizi Beni Immobiliari

Compliance e Sicurezza Centro Acquisti

(*) Organigramma relativo all’IT Provider di Banca Lombarda (LSS, Lombarda Sistemi e Servizi)

Referenze italiane (3/6)

18

Amministrazione & Logistica

Operations Registro CentraleAmministrazione

TItoli

Contabilità Finanziaria &

AnaliticaLogistica Progetti Informatici

Information Systems Organization

Support

Sicurezza e Servizi

Ufficio Tecnico

Referenze italiane (4/6)

19

Organizzazione e Procedure

Commerciali

Organizzazione e Procedure Tecniche

Telecomunicazioni e Sicurezza

Erogazione Servizio Sviluppo

Applicazioni

Sistemi di Base

Service Management

Change Management

Sicurezza Informatica

Telecomunicazioni

Gestione CED e impiantistica

Sistemi rete Vendita

Sistemi Canali Diretti

Sistemi Vita

Sistemi banca e Fondi

Sistemi del Personale e Office

Automation

Conti Correnti e Sistemi di

Pagamento

Titoli e Tesoreria

Anagrafica Clienti / Canali Diretti

Processi Amministrativi

Sicurezza Logica

Supporto Interfunzionale

Amministratore Delegato

... ...Direzione risorse

umaneDirezione Sistemi e

Organizzazione

Sicurezza Corporate

Referenze italiane (5/6)

20

Referenze italiane (6/6)

Figure attualmente presenti in azienda che necessitano di responsabilizzazione formale sulla sicurezza informatica

AD

DG

Capi Area

SU SAEBU

IT Security

LSA

ServiceManager

CapiProgetto

21

Riferimenti

“Global Security Survey”, 2003 e 2004 – Deloitte

Documentazione Gartner Consulting: research note “The role of the Chief Information Security Officer”

Articoli, interviste, report e approfondimenti da csoonline.com:

• “The evolution of the Chief Security Office”, 2002

• “State of the CSO 2003”

• “State of the CSO 2004”

• “The state of Information Security”, 2003

Richieste informali a persone di riferimento del settore