1

I progetti dell’Associazione

Ing. Anthony Cecil WrightPresidente

Convegno La Banca ApertaMilano, 14 ottobre 2004

2

ANSSAIF

Associazione Nazionale degli Specialisti di Sicurezza in Aziende di Intermediazione Finanziaria.

3

ANSSAIF

L'Associazione è stata costituita per perseguire i seguenti obiettivi:1) contribuire alla maturazione, in tutte le sedi opportune, anche universitarie, della

consapevolezza dei problemi connessi alla necessaria protezione dei beni informatici, dei dati e delle informazioni, per garantirne la riservatezza, l'integrità e la disponibilità;__________________________________________________________________________

2) promuovere studi e ricerche nel campo della sicurezza ICT (Information and Communication Technology), curando altresì di individuare processi e momenti di integrazione della sicurezza logica e di quella fisica;__________________________________________________________________________

3) conservare il patrimonio di esperienze professionali degli specialisti di sicurezza del settore, anche al termine della loro attività lavorativa;__________________________________________________________________________

4) curare la condivisione di esperienze e conoscenze atte a migliorare l'attività professionale degli associati;__________________________________________________________________________

5) curare la promozione culturale e l'aggiornamento dei soci;__________________________________________________________________________

6) concorrere alla formazione di giovani specialisti;_________________________________________________________________________

7) fornire informazioni sulla regolamentazione in ordine a tutti gli aspetti concernenti gli obblighi delle Aziende e dei Responsabili della sicurezza nei confronti delle norme.

4

Premessa:

I principi ispiratori dei progetti:I nuovi progetti costituiscono una pressione non indifferente:

•Sulle aziende, sotto il profilo economico ed organizzativo;•Sugli addetti alla Sicurezza e alla Continuità operativa;•Sugli esperti di Organizzazione ed ICT.

5

Domande:

• Le organizzazioni sono strutturate in modo ottimale per fare fronte alle nuove sfide?

• Le metodologie di analisi del rischio operativo sono adeguate alle esigenze di valutazione dei rischi ICT?

• Esistono esperienze consolidate di business continuity planning and management alle quali fare riferimento?

6

I progetti dell’Associazione

ANSSAIF, in linea con le indicazioni della Banca d’Italia ed i progetti dell’ABI, cerca di dare il suo con-tributo, innanzitutto, di “information sharing” a chi si occupa di assicurare la continuità dei processi di business ed operativi.

7

I progetti dell’Associazione

Information sharing:1. Forum, email, conference call, ecc.2. B.C.: osservatorio sullo stato di avanzamen-

to nei maggiori gruppi bancari.3. Security awareness: collaborazione tramite

un osservatorio sulle iniziative di sicurezza in Italia ed estero. Costituzione di un labora-torio su particolari tecniche di cyber crime.

8

I progetti dell’Associazione

Inoltre, un contributo a chi già si sta occupando di questi temi.

Basilea 2: L’analisi del rischio ICT:1. Stima della probabilità di accadimento e

della possibile perdita economica, quale contributo alla cost justification.

2. Proposta di creazione di indicatori di “benchmarking” sullo stato della Sicurezza ICT in banca.

9

Costruzione di indicatori sullo stato della Sicurezza ICT

L’indicatore di rischio ICT di sistema viene proposto in due modi:

1. A livello totale, per analisi andamentale

2. A livello di media, per raffronti interni da parte di ogni azienda.

10

Costruzione di indicatori sullo stato della Sicurezza ICT

L’indicatore citato può essere calcolato con un prodotto, definito a livello di sistema, che ponga domande identiche, per gli stessi ambienti infor-matici ed informativi scelti, a tutte le banche partecipanti.

ANSSAIF sta attualmente eseguendo una sperimentazione fra alcuni partecipan-ti.

11

Ipotesi indici di raffronto

Banche /punt. medio

GeneraleM=1550

DettaglioPolicy=67 D/R = 90

A 1234 24 34

B 1670 97 45

… … … …

12

Domanda

• Nell’esempio presentato, la Banca A potrebbe avere uno “sconto” sugli accantonamneti per rischio operativo?

13

Basilea 2: L’analisi del rischio ICT.

Servono informazioni che, ad esempio, nell’area crediti già esistono:

1. La probabilità di avere perdite,2. L’ammontare della possibile perdita,3. La probabilità che proprio quello sia

l’ammontare della perdita.Chi ci dà questa informazione? Il “passato”? Ossia, la “loss collection”?Quanti eventi ICT risultano in tale DB?

14

Probabilità di subire una perdita di ammontare X

1999 2000 2001 2002 2003 averageTIPOLOGIA EVENTO PD% PD% PD% PD% PD% PD%

Denial of Service 19,7 21,2 27,6 30,4 27,9 26Laptop 66,2 60,4 72,7 55,0 62,8 62Active Wiretap (1) 0,5 0,2 0,6 0,2 0,3 0Telecom fraud 12,8 8,6 2,6 7,9 8,5 7Unauthorized Access by Insiders 22,6 15,9 20,6 18,3 18,1 18Virus 61,4 70,0 92,7 78,7 63,8 75Financial Fraud 14,1 13,6 11,6 11,4 15,3 13Insider Abuse of Net Access 48,4 45,5 57,0 46,8 45,2 48System penetration 13,8 14,3 20,3 28,0 22,1 21Telecom Eavesdropping(2) 12,8 8,6 2,6 7,9 8,5 7Sabotage 13,0 12,8 12,8 13,9 15,3 14Theft of Proprietary Info 16,2 13,8 20,9 13,4 15,3 16

15

Perdita X

MAX AVERAGE COSTTIPOLOGIA DI EVENTO 2000 2001 2002 2003 2000-2003

Denial of Service 108.717 122.389 297.000 1.427.028 1.427.028 Laptop Theft 58.794 61.881 89.000 47.107 89.000 Active Wiretapping (1) 5.000.000 - - 352.500 5.000.000 Telecom fraud 212.000 502.278 22.000 50.107 502.278 Unauthorized Access by Insiders 1.124.725 275.636 300.000 31.254 1.124.725 Virus 180.092 243.835 283.000 199.871 283.000 Financial Fraud 1.646.941 4.420.738 4.632.000 328.594 4.632.000 Insider Abuse of Net Access 307.524 357.160 536.000 135.255 536.000 System penetration by outsider 244.965 453.967 226.000 56.212 453.967 Telecom Eavesdropping(2) 66.080 55.375 1.205.000 15.200 1.205.000 Sabotage of data networks 969.577 199.350 541.000 214.521 969.577 Theft of Proprietary Info 3.032.818 4.447.900 6.571.000 2.699.842 6.571.000

………………TOTAL AVERAGE COST……..

16

Probabilità perdita media

AVERAGE PD%COST COST

Denial of Service 441.418 7,42 Laptop Theft 63.383 2,91 Active Wiretapping (1) 1.901.667 0,44 Telecom fraud 60.989 1,52 Unauthorized Access by Insiders 478.536 2,58 Virus 229.573 11,67 Financial Fraud 2.476.037 21,13 Insider Abuse of Net Access 337.925 9,60 System penetration by outsider 236.154 3,23 Telecom Eavesdropping(2) 63.361 0,18 Sabotage of data networks 496.477 4,04 Theft of Proprietary Info 4.249.921 35,28

17

La Business Continuity.

• La Banca d’Italia ha inviato una lettera, contenente l’invito a seguire le condi-vise linee guida sulla continuità opera-tiva, ed un questionario per conoscere lo stato dell’arte nel tema in oggetto.

• ANSSAIF ha condotto una prima piccola indagine fra i propri soci per conoscere come le banche stanno procedendo. Le risultanze vengono qui di seguito rap-presentate in estrema sintesi.

18

L’indagine ANSSAIF: Quali scelte al momento in tema BC?

• Il progetto è stato avviato, la conduzione è nella capo gruppo nell’ambito Organizzazione / Sistemi Informativi (il D/R nella Società di IT).

• Lo “Sponsor” del progetto è stato generalmen-te definito a livello DG o AD.

• Viene nominato un BCM generalmente in ambito Capo Gruppo / Holding, con referenti nelle UU.OO. e Società del gruppo (questi, a volte, sono i responsabili della Sicurezza).

• La figura del BCM e BCP a volte non coincide.

19

Quali scelte al momento in tema BC? (cont.ne)

• Viene eseguita una risk analysis preliminare.• Vengono censiti e classificati tutti i processi.• Sono coinvolte pienamente le UU.OO.• Priorità di soluzione viene al momento data ai

processi di “sistema” e al D/R.• I Comitati di Crisi vengono costituiti sia a livello

di Capo Gruppo che di singola Società.• Comitati “snelli”. Più enfasi sugli “emergency

Team”.• Approccio pragmatico, con forte coinvolgimen-

to delle funzioni aziendali competenti.

20

Quali scelte al momento in tema BC? (cont.ne)

• Forte integrazione fra R.U., Orga., IT, B.U., e Risk Management.

• Stretta collaborazione con gli outsourcer, supportati da società di consulenza specia-lizzate.

• Alcuni hanno scelto una Società per impostare il progetto e la BIA, ed un’altra per l’individua-zione delle possibili soluzioni.

• Elevato coinvolgimento del CdA.• Investimenti iniziali previsti molto elevati (da

15 a 40 mil.).

21

Ma, che in realtà cos’è la B.C.?

BCI- Business ContinuityInstitute

22

Cambiamenti organizzativi

• Un grande gruppo bancario ha eseguito un benchmarking delle soluzioni organizzative per la Sicurezza (ICT e fisica) e la B.C.

• I soci ANSSAIF hanno esaminato lo studio ed hanno discusso su quale dovrebbe essere l’indirizzo auspicato.

23

Tre modelli: 1) CSO

• Dal punto di vista organizzativo si osservano tre modelli di riferimento:– La costituzione di una struttura organizzativa ad hoc

dipendente direttamente dal CEO e/o dal BoD, presieduta da un Chief Security Officer (CSO), chiamato anche Global Security Officer, che ha la responsabilità globale della sicurezza (interna, esterna, fisica, logica, personale), sia per la componente strategica/di governo che operativa

24

2) CISO

– La gestione della sicurezza logica all’interno di strutture IT, con la costituzione di un Chief Information Security Officer (CISO), dipendente direttamente dal CIO, che ha la responsabilità della protezione delle informazioni e, eventualmente, di altri aspetti strettamente correlati, quali, ad esempio, la sicurezza fisica, la pianificazione e sviluppo delle architetture di sicurezza, gli incidenti informatici

25

3) misto

– La centralizzazione delle funzioni di controllo strategico della sicurezza in una struttura esistente in staff al CEO (ad esempio nella struttura di Risk Management, ove questa è preposta al governo dei rischi) responsabile della definizione delle policy, delle priorità e delle linee guida per tutto il Gruppo, con la costituzione di un Comitato di controllo cui è demandata la responsabilità sul rischio, delegando la parte di governo operativo al CISO, per la parte IT, oppure ad altre strutture operative (ad esempio la Logistica) preposte al presidio delle diverse tipologie di rischio

26

Quale formulazione?

Innanzitutto, come anche ribadito dall’ABI, è poco produttivo considerare ancora separate le due “sicurezze”.

B.C., significa definire le misure preventive, di emergenza e di ripristino che consentano di fronteggiare efficacemente i rischi di business interruption.

E ciò in base all’analisi dei rischi, alla determi-nazione delle vulnerabilità, alla valutazione dell’impatto economico, legale, reputazionale, derivante dal verificarsi di eventi anche disastrosi che sfruttino le vulnerabilità esistenti.

27

Conclusione

Continuità operativa, sicurezza ICT e sicurezza fisica sono tesi ad un comune indirizzo, e quindi preferibilmente sotto un unico respon-sabile.

Il Risk management indica, ed aggiorna,la metodologia e gli strumenti di analisi.

Dove posizionare la struttura di Sicurezza e B.C. è una scelta aziendale. Ciò che è importante è che abbia credibilità.

Il personale deve provenire da non trascurabili esperienze in ICT, Organizzazione, Auditing, e Forze di Polizia.

28

Cyber Crime:Il rischio è anche dall’interno

• Infatti:• Ignoranza,• Disattenzione,• Complicità,

• possono aiutare bande criminali esterne. Come combatterle? Quanto bisogna investire?

• Non più di quanto si possa credere.

29

Che fare?

La via è quella che in modo naturale abbiamo già avviato:– Investire a migliorare l’informativa su quello

che avviene anche all’estero (la news letter è uno di questi mezzi; l’altro è quello che abbiamo chiamato “laboratorio”);

– Stimolare la raccolta di dati sugli incidents;– Continuare sulla strada delle sinergie con

Associazioni, Enti ed Università.

30

Conclusione dell’intervento

L’information sharing è il nostro primo obiettivo, e utilizziamo:

• news letter, • studi e ricerche,• Conference call per soluzioni,• Email, per rapide risposte,• Convegni dei soli soci con relatori sia

interni che esterni,• Forum su internet.

31

Ho concluso

Grazie per la vostra cortese attenzione.