26.10.2012 - ISACA Venice Chapter

1 Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all’Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati

all’Information Technology

Venezia Mestre, 26 Ottobre 2012

Davide Lizzio – CISA – CRISC

FOCUS

GENERALI GROUP

Group Risk Management

Operational Risk

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi

legati all’Information Technology

Convegno ISACA Venice - Mestre, 26 Ottobre 2012

Davide Lizzio – CISA – CRISC

3 Agenda

Rischi Operativi

Approcci di Gestione

IT Operational Risk: contesto e gestione

IT Bottom Up Operational Risk Assessment: Obiettivi e Confronto con business

Metodologia

ANNEX – Esempi di reportistica

Q&A

4 Rischi Operativi

Il Gruppo ha adottato un processo di gestione dei rischi operativi finalizzato alla riduzione del rischio, composto dalle

seguenti fasi:

definizione delle metodologie di individuazione e valutazione dei rischi operativi;

definizione delle strategie per la gestione dei rischi operativi;

analisi e definizione delle modalità di gestione dei rischi operativi;

predisposizione adeguato reporting in merito alla gestione dei rischi operativi.

INTRODUZIONE Il rischio operativo è definito come il rischio di

perdite derivanti dalla inadeguatezza o dalla

disfunzione di:

Risorse;

Processi;

Sistemi Informativi;

Infrastrutture.

I rischi operativi, rispetto agli altri rischi cui una

compagnia può essere esposta, presentano le

seguenti peculiarità:

sono una conseguenza delle attività svolte

dalle compagnie assicurative;

sono rischi “puri” e non speculativi;

non rispettano la logica rischio-rendimento.

5 Approcci di Gestione dei Rischi Operativi

Finalizzata a prevenire l’assoggettamento della Compagnia e del Gruppo ai rischi di natura operativa anche attraverso

la modellizzazione ex ante degli strumenti di gestione correlati

Gestione “ad-evento” finalizzata all’individuazione e valutazione degli eventi di rischio operativo, utilizzando come

dimensione di analisi la catena del valore di Gruppo

APPROCCI

Gestione Proattiva

Gestione Reattiva

Strumenti di gestione IT:

– Standard Internazionali (COBIT; ITIL;

ISO 27001/27002,….);

– IT Operational Risk Framework;

– Processo di gestione dell’IT

Governance;

– Mappatura degli ambienti IT;

– Normativa IT (Charter, Policy,

Procedure Operative);

– Software per il monitoraggio e la

protezione degli ambienti IT (

strumenti per il controllo accessi,

strumento versioning del

software,…);

– …

Individuazione e valutazione degli eventi

IT:

– Metodologia Operational Risk

– Metodologia IT Operational Risk

– IT Operational Risk assessment

sulle applicazioni e sugli ambienti

informatici che supportano i

processi di business

Processi Risorse Umane Sistemi IT

Fattori di rischio operativo

Gestione

Reattiva Gestione

Proattiva

6 IT Operational Risk: Contesto di riferimento

La figura di seguito riportata rappresenta la relazione tra processi di business ed Ambiente IT: PROCESSI DI

BUSINESS VS

AMBIENTE IT

In tale contesto, la metodologia IT Operational Risk ha quindi l’obiettivo di diffondere una maggiore

consapevolezza dei rischi operativi di natura informatica cui ogni processo di business è soggetto.

7 Gestione Reattiva degli IT Operational Risk

La valutazione degli Operational Risk sui Processi di business è basata sulle seguenti attività:

IT Bottom Up Operational Risk Assessment: condotti sulle applicazioni e sugli ambienti informatici che supportano i

processi di business in analisi. Tali risultati saranno quindi forniti ai Risk Owner di Business in modo da poterli tenere in

considerazione durante la valutazione dei loro rischi operativi;

Attività di remediation: implementate al fine di mitigare gli impatti dei rischi operativi potranno coinvolgere processi di

business, applicazioni ed i relativi ambienti informatici.

GESTIONE

REATTIVA

8 Prerequisiti della metodologia

Le attività di Assessment collegate ai rischi operativi IT sono considerate un’integrazione

degli assessment e dei test svolti già per le attività relative alla 262/05. In particolare la

metodologia IT Operational Risk è stata definita tramite estensione del Framework e

della Metodologia ITGC/ITAC.

PREREQUISITI

9 IT Bottom Up Operational Risk Assessment - Obiettivi

L’IT Bottom Up Operational Risk Assessment ha l’obiettivo di:

fornire agli utenti di Business informazioni di cui normalmente non avrebbero visibilità, inerenti il mondo IT;

informare gli esperti di business sugli eventi identificati dagli esperti IT, nonché sulla relativa previsione della frequenza

di accadimento e sugli indicatori di contesto;

fornire, a completamento di tali informazioni, ulteriori elementi di analisi quali:

identificazione delle cause IT che possono generare tali eventi;

individuazione degli effetti che possono essere generati dagli eventi IT:

– valutati come effetti sul dipartimento IT;

– valutati, laddove possibile, come effetti con potenziale impatto o ripercussione sul Business (e.g. ore di

straordinario, tempo di recupero,…).

OBIETTIVI

10

L’IT Bottom Up Operational Risk Assessment possiede le seguenti caratteristiche inerenti:

Perimetro dell’attività, costituito dagli applicativi di maggiore criticità rispetto ai processi di

business analizzati;

Modalità di intervista, le analisi svolte con i referenti delle aree dell’IT Operational Risk

Framework hanno focus diversi a seconda degli ambiti analizzati:

aree specifiche (tra cui generalmente Software Change Management, Software Development Life Cycle,

ecc…);

aree trasversali a tutti gli applicativi gestiti dall’IT Service Provider (tra cui generalmente Security

Management, Infrastructure Project Management, ecc…).

RELAZIONI

IT Bottom Up Operational Risk Assessment: confronto con business

La valutazione delle frequenze di accadimento degli eventi IT deve essere considerata come

approfondimento specifico sugli eventi di dettaglio legati al fattore IT e pertanto non può

sostituire la valutazione che il referente di business effettua considerando anche gli altri fattori di

rischio (risorse e processi), piuttosto la completa e permette di darne una valutazione più

accurata laddove fornisse informazioni di cui il Business non è a conoscenza.

11

FRAMEWORK IT

IT Operational Risk Framework

Security Management

IT Service Resilience

Software

Change

Management

Software

Development

Life Cycle

Data and IT

Operations

Management

Physical and Enviromental Security

Records

Management

Architecture

Contracting and Outsourcing

Technology Licencing

Infrastructure Change and Project Management

Asset Management

PO1, PO2, PO3, PO4, PO5, AI1, AI2, AI3

PO6, PO10, AI1, AI3, AI6

DS11, DS4

DS12

PO10, AI5, DS3, ME4

PO10, AI1, AI2, AI3, AI6, AI7,

DS4PO6, PO10, AI1, AI6

PO2, DS4, DS5, DS8, DS10,

DS11, DS13DS11, PO2, PO9

PO4, DS1, DS2, ME2

PO9, AI5, DS9, ME3, ME4

PO4, DS5, DS12

Are

a s

pec

ific

a

Area Trasversale CobiT Mapping

12 Metodologia

Per la valutazione delle perdite operative sui processi di business e sui relativi strumenti organizzativi è stata definita la

seguente metodologia al fine di valutare i valori di perdita attesa ed intraprendere le opportune azioni correttive:

CONTESTO

METODOLOGICO

OPERATIONAL

RISK

13

La metodologia di IT Bottom Up Operational Risk Assessment comprende le seguenti fasi:

definizione del perimetro: include l’identificazione del perimetro per gli ambienti IT oggetto delle successive attività di

analisi ed è basato su attività ricorsive di censimento delle applicazioni e degli IT service provider, di definizione di criteri di

aggregazione e prioritizzazione delle applicazioni e di definizione del relativo perimetro di analisi;

Risk Assessment: comprende una serie di analisi finalizzate ad ottenere le informazioni necessarie per identificare e

valutare i rischi operativi connessi all’ambiente IT;

valutazione e reportistica: include la valutazione dei risultati del IT Risk Assessment e la predisposizione della relativa

reportistica.

METODOLOGIA IT

OPERATIONAL

RISK

Metodologia

14

La fase di definizione del perimetro è composta dalle seguenti attività:

Mappatura degli applicativi: identifica le applicazioni che supportano i processi di business in perimetro;

Mappatura degli IT service provider: identifica gli IT service provider che forniscono servizi IT per ciascun

sistema applicativo identificato nell’attività di mappatura degli applicativi;

Identificazione degli applicativi condivisi tra più Società: identifica gli applicativi condivise tra due o più

Società del Gruppo, al fine di evitare la duplicazione delle attività richieste e dei relativi dati raccolti.

Prioritizzazione applicativi: assegna una priorità agli applicativi in ambito, sulla base di informazioni

precedentemente raccolte;

Definizione dei gruppi degli applicativi e del perimetro: identifica gruppi omogenei di applicativi sulla base

di policy e pratiche comuni utilizzate dal personale operativo.

DEFINIZIONE DEL

PERIMETRO

Definizione del perimetro

IT Bottom Up Operational Risk Assessment

Definizione del perimetro

Mappatura IT

service

Provider

Identificazione degli applicativi condivisi tra più

Società

Prioritizzazione

applicativi

Mappatura

degli

applicativi

Definizione dei gruppi degli

applicativi e del perimetro

Risk Assessment Valutazione e

Reportistica

Definizione del

perimetro

15

Per ogni applicativo in ambito di analisi l’IT risk assessment si basa sui seguenti elementi:

IT Operational Risk Framework: elenco di rischi IT basato sulle caratteristiche principali degli standard CobiT, ITIL e ISO

27001-27002 e suddiviso in aree di competenza al fine di fornire delle linee guida sulle modalità di gestione degli IT

Operational Risk e permettere un assessment continuo dello stato dei controlli interni IT.

Modelli di identificazione:

Modello degli eventi operativi;

Modello degli cause;

Modello degli effetti;

Modello degli strumenti di gestione IT;

Modello dei fattori di rischio operativo.

RISK

ASSESSMENT

Risk Assessment

16

La fase di valutazione e reportistica è composta dalle seguenti attività:

predisposizione reportistica: gli obiettivi principali sono quelli di analizzare i risultati dei risk assessment

condotti, classificarli, riorganizzarli e valutarli;

comunicazione e condivisione dei risultati:

fornire ai Risk Owner informazioni dettagliate sugli assessment degli eventi IT e sui valori assoluti dei Key Context

Indicator, in modo da integrare i bottom up operational risk assessment di business e completare la stima del valore

di perdita attesa;

identificare possibili azioni di rimedio al fine di mitigare le problematiche IT emerse nella fase di risk assessment in

ambito IT.

VALUTAZIONE E

REPORTISTICA

Valutazione e Reportistica

IT Bottom Up Operational Risk Assessment

Risk Assessment Valutazione e Reportistica Definizione del Perimetro

Valutazione e Reportistica

Comunicazione e

condivisione dei risultati

Predisposizione

reportistica

17 Key Context Indicator

Sono stati definite due macrocategorie di indicatori denominati Key Context Indicator (KCI), di business ed IT, al

fine di:

poter offrire ai Risk Owner di Business una modalità di contestualizzazione soggettiva dei risultati dei risk assessment in

ambito IT sui singoli processi di business;

connettere i risultati degli Operational Risk Assessment in ambito IT con quelli di business.

KEY CONTEXT

INDICATOR

Network Hardware 1

Hardware 2

DB1

DB2

DB3

App1

App3

App2

App4

Proc 1

Proc 2

Società

Ambiente IT – KCI Valore assoluto Ambiente Business - KCI Valore relativo

KCI IT = 500

Sala CED

KCI IT Local = 400

KCI IT Local= 100

18 ANNEX - Esempi di reportistica (1/4)

19 ANNEX - Esempi di reportistica (2/4)

20 ANNEX - Esempi di reportistica (3/4)

Causa di 1°Livello Causa di 2°Livello Indice aggregato di significatività della causa

Inadeguatezza o disfunzioni operative dalle risorse

umane Inadeguatezza sviluppo delle risorse umane Media

Inadeguatezza o disfunzione di infrastrutture

informatiche / telematiche

Inadeguatezza dei sistemi di sicurezza e

conservazione delle informazioni Bassa

Effetto IT di 1°Livello Effetto IT di 2°Livello Grado aggregato annuo

dell’effetto

Effetti economici Risarcimenti / indennizzi

dovuti a controversie legali Media

Effetti gestionali Numero di clienti

danneggiati Media

Effetto business di

1°Livello

Effetto business di

2°Livello

Grado aggregato annuo

dell’effetto

Effetti economici

Risarcimenti / indennizzi

dovuti a controversie legali Media

Perdite non recuperabili Media

21

Di seguito è riportato la classifica delle Cause di 3° livello con maggior significatività:

ANNEX - Esempi di reportistica (4/4)

Causa di 3°Livello Causa di 2°Livello Causa di 1°Livello

1 Inadeguata formazione delle risorse Inadeguatezza sviluppo delle risorse umane Inadeguatezza o disfunzioni operative dalle

risorse umane

2 Mancanza / inadeguatezza / Insufficienza dei

controlli automatici su dati inseriti / da inserire

Inadeguatezza delle infrastrutture hardware e

software

Inadeguatezza o disfunzione di infrastrutture

informatiche / telematiche 3 Inadeguatezza del software in relazione alle

necessità operative

4 Inadeguatezza delle attrezzature hardware

rispetto alle esigenze operative

5 Mancanza / inadeguatezza dei controlli di linea

sugli altri processi

Inadeguatezza del monitoraggio e controllo sui

processi

Inadeguatezza o disfunzione di processi /

procedure, attività di comunicazione e

contrattualistica con gli outsourcer

… … … …

22

Q&A

Grazie per l’attenzione!

FOCUS

GENERALI GROUP

Group Risk Management

Operational Risk

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi

legati all’Information Technology

Convegno ISACA Venice - Mestre, 26 Ottobre 2012

Davide Lizzio – CISA – CRISC Operational Risk

Tel: +39 040/671428

Davide_Lizzio@Generali.com