1
CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce)
Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA)
“L’assicurazione come trasferimento del rischio residuo: una soluzione sia tecnica
che economica, in sintonia con le disposizioni di Basilea 2”
2
•Basilea 2: nuove regole sulla gestione del rischio
•Basilea 2: azioni da intraprendere •Basilea 2: difficoltà di attuazione•Quale alternativa?•Perdite coperte dall’assicurazione•Coperture particolari•Costi delle coperture: calcolo del premio•La valutazione
AGENDA
3
Basilea 2: nuove regole sulla gestione del rischio
Definizione di indicatori per il calcolo della quota di riserva capitale, correlati al rischio operativo.
Rischio operativo rischio di perdite risultanti da inadeguatezza o fallimento di:
• processi interni• persone o sistemi• eventi esterni
Le Istituzioni Finanziarie devono identificare le fonti del rischio operativo per calcolare la riserva capitale richiesta e valutare l’opportunità di trasferire all’assicurazione il rischio residuo.
4
Basilea 2: azioni da intraprendere
Le Istituzioni Finanziarie devono:
Creare il responsabile della sicurezza ITAssegnare ruoli e responsabilità per la
gestione del rischio ITSviluppare soluzioni per la gestione real time
del rischioAttivare processi di gestione degli incidenti
transazionaliMisurare e testare i livelli di sicurezza
5
Basilea 2: difficoltà di attuazione
Perchè le Istituzioni Finanziarie hanno difficoltà ad attuare le azioni richieste?
Mancanza di skills adeguate Minacce nuove, non prevedibili e non
identificabiliSistemi di sicurezza informatica (firewall,
antivirus, ...) non “totalmente sicuri”
6
Quale alternativa?
Non tutti i rischi possono essere identificati e adeguatamente coperti con una riserva di capitale
Valutare l’opportunità di trasferire all’assicurazione il rischio residuo per coprire:
- la frode- le modificazioni e/o perdite di dati e programmi- le spese extra in caso di disaster recovery- l’interruzione del servizio a causa di attacchi DoS- la perdita di profitto- le spese di ricostruzione dell’immagine
7
Perdite coperte dall’assicurazione (1)
Frode informatica (compresa l’infedeltà dei dipendenti) somme di denaro sottrattevalori di beni mobiliari sottrattispese di analisi e ricercaModificazioni e/o perdite di dati e programmi ricostituzione dei dati rimessa in funzione dei programmi
è coperto il danno dovuto ad errore umano (errata manipolazione), ma non a difetto del software.
8
Perdite coperte dall’assicurazione (2)
Spese supplementari (compreso disaster recovery) Tutte le spese sostenute per cercare di evitare e/o
limitare l’impatto del sinistroInterruzione del servizio a causa di attacchi DoS Le spese sostenute per rimettere in funzione i sistemiPerdita di profitto Recupero del mancato utile della BancaSpese di ricostruzione dell’immagine Le spese sostenute dalla Banca per ristabilire la propria
immagine nei confronti di clienti e partners (comunicazione)
9
Coperture particolari
• Conseguenze di Virus (massimali limitati)
• Conseguenze di azioni ricattatorie (bombe logiche)
10
Costi delle coperture: calcolo del premio
Non ci sono sufficienti elementi statistici checonsentano di poter stimare il rischionell’ambito dei grandi numeri.
L’assicuratore calcola il premio e determina i massimali assicurabili e le franchigie, dopo un’ attenta analisi dei rischi ed un audit di sicurezza.
11
La valutazione
La valutazione dell’assicuratore tenderà principalmente ad analizzare:
L’organizzazione dei sistemi informatici Il controllo che i sistemi informatici esercitano
sull’attività della Banca Le politiche di sicurezza della Banca
E ciò per valutare la capacità della Banca a: conoscere e comprendere i propri rischi gestire i propri rischi secondo le necessità reagire in modo adeguato a situazioni impreviste ed a
nuovi rischi.
12
Grazie!
pgiudice @ clusit.it
349 776 8882
Top Related