1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT,...

12
1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) “L’assicurazione come trasferimento del rischio residuo: una soluzione sia tecnica che economica, in sintonia con le disposizioni di Basilea 2”

Transcript of 1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT,...

Page 1: 1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.

1

CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce)

Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA)

“L’assicurazione come trasferimento del rischio residuo: una soluzione sia tecnica

che economica, in sintonia con le disposizioni di Basilea 2”

Page 2: 1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.

2

•Basilea 2: nuove regole sulla gestione del rischio

•Basilea 2: azioni da intraprendere •Basilea 2: difficoltà di attuazione•Quale alternativa?•Perdite coperte dall’assicurazione•Coperture particolari•Costi delle coperture: calcolo del premio•La valutazione

AGENDA

Page 3: 1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.

3

Basilea 2: nuove regole sulla gestione del rischio

Definizione di indicatori per il calcolo della quota di riserva capitale, correlati al rischio operativo.

Rischio operativo rischio di perdite risultanti da inadeguatezza o fallimento di:

• processi interni• persone o sistemi• eventi esterni

Le Istituzioni Finanziarie devono identificare le fonti del rischio operativo per calcolare la riserva capitale richiesta e valutare l’opportunità di trasferire all’assicurazione il rischio residuo.

Page 4: 1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.

4

Basilea 2: azioni da intraprendere

Le Istituzioni Finanziarie devono:

Creare il responsabile della sicurezza ITAssegnare ruoli e responsabilità per la

gestione del rischio ITSviluppare soluzioni per la gestione real time

del rischioAttivare processi di gestione degli incidenti

transazionaliMisurare e testare i livelli di sicurezza

Page 5: 1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.

5

Basilea 2: difficoltà di attuazione

Perchè le Istituzioni Finanziarie hanno difficoltà ad attuare le azioni richieste?

Mancanza di skills adeguate Minacce nuove, non prevedibili e non

identificabiliSistemi di sicurezza informatica (firewall,

antivirus, ...) non “totalmente sicuri”

Page 6: 1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.

6

Quale alternativa?

Non tutti i rischi possono essere identificati e adeguatamente coperti con una riserva di capitale

Valutare l’opportunità di trasferire all’assicurazione il rischio residuo per coprire:

- la frode- le modificazioni e/o perdite di dati e programmi- le spese extra in caso di disaster recovery- l’interruzione del servizio a causa di attacchi DoS- la perdita di profitto- le spese di ricostruzione dell’immagine

Page 7: 1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.

7

Perdite coperte dall’assicurazione (1)

Frode informatica (compresa l’infedeltà dei dipendenti) somme di denaro sottrattevalori di beni mobiliari sottrattispese di analisi e ricercaModificazioni e/o perdite di dati e programmi ricostituzione dei dati rimessa in funzione dei programmi

è coperto il danno dovuto ad errore umano (errata manipolazione), ma non a difetto del software.

Page 8: 1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.

8

Perdite coperte dall’assicurazione (2)

Spese supplementari (compreso disaster recovery) Tutte le spese sostenute per cercare di evitare e/o

limitare l’impatto del sinistroInterruzione del servizio a causa di attacchi DoS Le spese sostenute per rimettere in funzione i sistemiPerdita di profitto Recupero del mancato utile della BancaSpese di ricostruzione dell’immagine Le spese sostenute dalla Banca per ristabilire la propria

immagine nei confronti di clienti e partners (comunicazione)

Page 9: 1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.

9

Coperture particolari

• Conseguenze di Virus (massimali limitati)

• Conseguenze di azioni ricattatorie (bombe logiche)

Page 10: 1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.

10

Costi delle coperture: calcolo del premio

Non ci sono sufficienti elementi statistici checonsentano di poter stimare il rischionell’ambito dei grandi numeri.

L’assicuratore calcola il premio e determina i massimali assicurabili e le franchigie, dopo un’ attenta analisi dei rischi ed un audit di sicurezza.

Page 11: 1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.

11

La valutazione

La valutazione dell’assicuratore tenderà principalmente ad analizzare:

L’organizzazione dei sistemi informatici Il controllo che i sistemi informatici esercitano

sull’attività della Banca Le politiche di sicurezza della Banca

E ciò per valutare la capacità della Banca a: conoscere e comprendere i propri rischi gestire i propri rischi secondo le necessità reagire in modo adeguato a situazioni impreviste ed a

nuovi rischi.

Page 12: 1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.

12

Grazie!

pgiudice @ clusit.it

349 776 8882