26.10.2012 - ISACA Venice Chapter
1 Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all’Information Technology
Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati
all’Information Technology
Venezia Mestre, 26 Ottobre 2012
Davide Lizzio – CISA – CRISC
FOCUS
GENERALI GROUP
Group Risk Management
Operational Risk
Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi
legati all’Information Technology
Convegno ISACA Venice - Mestre, 26 Ottobre 2012
Davide Lizzio – CISA – CRISC
3 Agenda
Rischi Operativi
Approcci di Gestione
IT Operational Risk: contesto e gestione
IT Bottom Up Operational Risk Assessment: Obiettivi e Confronto con business
Metodologia
ANNEX – Esempi di reportistica
Q&A
4 Rischi Operativi
Il Gruppo ha adottato un processo di gestione dei rischi operativi finalizzato alla riduzione del rischio, composto dalle
seguenti fasi:
definizione delle metodologie di individuazione e valutazione dei rischi operativi;
definizione delle strategie per la gestione dei rischi operativi;
analisi e definizione delle modalità di gestione dei rischi operativi;
predisposizione adeguato reporting in merito alla gestione dei rischi operativi.
INTRODUZIONE Il rischio operativo è definito come il rischio di
perdite derivanti dalla inadeguatezza o dalla
disfunzione di:
Risorse;
Processi;
Sistemi Informativi;
Infrastrutture.
I rischi operativi, rispetto agli altri rischi cui una
compagnia può essere esposta, presentano le
seguenti peculiarità:
sono una conseguenza delle attività svolte
dalle compagnie assicurative;
sono rischi “puri” e non speculativi;
non rispettano la logica rischio-rendimento.
5 Approcci di Gestione dei Rischi Operativi
Finalizzata a prevenire l’assoggettamento della Compagnia e del Gruppo ai rischi di natura operativa anche attraverso
la modellizzazione ex ante degli strumenti di gestione correlati
Gestione “ad-evento” finalizzata all’individuazione e valutazione degli eventi di rischio operativo, utilizzando come
dimensione di analisi la catena del valore di Gruppo
APPROCCI
Gestione Proattiva
Gestione Reattiva
Strumenti di gestione IT:
– Standard Internazionali (COBIT; ITIL;
ISO 27001/27002,….);
– IT Operational Risk Framework;
– Processo di gestione dell’IT
Governance;
– Mappatura degli ambienti IT;
– Normativa IT (Charter, Policy,
Procedure Operative);
– Software per il monitoraggio e la
protezione degli ambienti IT (
strumenti per il controllo accessi,
strumento versioning del
software,…);
– …
Individuazione e valutazione degli eventi
IT:
– Metodologia Operational Risk
– Metodologia IT Operational Risk
– IT Operational Risk assessment
sulle applicazioni e sugli ambienti
informatici che supportano i
processi di business
Processi Risorse Umane Sistemi IT
Fattori di rischio operativo
Gestione
Reattiva Gestione
Proattiva
6 IT Operational Risk: Contesto di riferimento
La figura di seguito riportata rappresenta la relazione tra processi di business ed Ambiente IT: PROCESSI DI
BUSINESS VS
AMBIENTE IT
In tale contesto, la metodologia IT Operational Risk ha quindi l’obiettivo di diffondere una maggiore
consapevolezza dei rischi operativi di natura informatica cui ogni processo di business è soggetto.
7 Gestione Reattiva degli IT Operational Risk
La valutazione degli Operational Risk sui Processi di business è basata sulle seguenti attività:
IT Bottom Up Operational Risk Assessment: condotti sulle applicazioni e sugli ambienti informatici che supportano i
processi di business in analisi. Tali risultati saranno quindi forniti ai Risk Owner di Business in modo da poterli tenere in
considerazione durante la valutazione dei loro rischi operativi;
Attività di remediation: implementate al fine di mitigare gli impatti dei rischi operativi potranno coinvolgere processi di
business, applicazioni ed i relativi ambienti informatici.
GESTIONE
REATTIVA
8 Prerequisiti della metodologia
Le attività di Assessment collegate ai rischi operativi IT sono considerate un’integrazione
degli assessment e dei test svolti già per le attività relative alla 262/05. In particolare la
metodologia IT Operational Risk è stata definita tramite estensione del Framework e
della Metodologia ITGC/ITAC.
PREREQUISITI
9 IT Bottom Up Operational Risk Assessment - Obiettivi
L’IT Bottom Up Operational Risk Assessment ha l’obiettivo di:
fornire agli utenti di Business informazioni di cui normalmente non avrebbero visibilità, inerenti il mondo IT;
informare gli esperti di business sugli eventi identificati dagli esperti IT, nonché sulla relativa previsione della frequenza
di accadimento e sugli indicatori di contesto;
fornire, a completamento di tali informazioni, ulteriori elementi di analisi quali:
identificazione delle cause IT che possono generare tali eventi;
individuazione degli effetti che possono essere generati dagli eventi IT:
– valutati come effetti sul dipartimento IT;
– valutati, laddove possibile, come effetti con potenziale impatto o ripercussione sul Business (e.g. ore di
straordinario, tempo di recupero,…).
OBIETTIVI
10
L’IT Bottom Up Operational Risk Assessment possiede le seguenti caratteristiche inerenti:
Perimetro dell’attività, costituito dagli applicativi di maggiore criticità rispetto ai processi di
business analizzati;
Modalità di intervista, le analisi svolte con i referenti delle aree dell’IT Operational Risk
Framework hanno focus diversi a seconda degli ambiti analizzati:
aree specifiche (tra cui generalmente Software Change Management, Software Development Life Cycle,
ecc…);
aree trasversali a tutti gli applicativi gestiti dall’IT Service Provider (tra cui generalmente Security
Management, Infrastructure Project Management, ecc…).
RELAZIONI
IT Bottom Up Operational Risk Assessment: confronto con business
La valutazione delle frequenze di accadimento degli eventi IT deve essere considerata come
approfondimento specifico sugli eventi di dettaglio legati al fattore IT e pertanto non può
sostituire la valutazione che il referente di business effettua considerando anche gli altri fattori di
rischio (risorse e processi), piuttosto la completa e permette di darne una valutazione più
accurata laddove fornisse informazioni di cui il Business non è a conoscenza.
11
FRAMEWORK IT
IT Operational Risk Framework
Security Management
IT Service Resilience
Software
Change
Management
Software
Development
Life Cycle
Data and IT
Operations
Management
Physical and Enviromental Security
Records
Management
Architecture
Contracting and Outsourcing
Technology Licencing
Infrastructure Change and Project Management
Asset Management
PO1, PO2, PO3, PO4, PO5, AI1, AI2, AI3
PO6, PO10, AI1, AI3, AI6
DS11, DS4
DS12
PO10, AI5, DS3, ME4
PO10, AI1, AI2, AI3, AI6, AI7,
DS4PO6, PO10, AI1, AI6
PO2, DS4, DS5, DS8, DS10,
DS11, DS13DS11, PO2, PO9
PO4, DS1, DS2, ME2
PO9, AI5, DS9, ME3, ME4
PO4, DS5, DS12
Are
a s
pec
ific
a
Area Trasversale CobiT Mapping
12 Metodologia
Per la valutazione delle perdite operative sui processi di business e sui relativi strumenti organizzativi è stata definita la
seguente metodologia al fine di valutare i valori di perdita attesa ed intraprendere le opportune azioni correttive:
CONTESTO
METODOLOGICO
OPERATIONAL
RISK
13
La metodologia di IT Bottom Up Operational Risk Assessment comprende le seguenti fasi:
definizione del perimetro: include l’identificazione del perimetro per gli ambienti IT oggetto delle successive attività di
analisi ed è basato su attività ricorsive di censimento delle applicazioni e degli IT service provider, di definizione di criteri di
aggregazione e prioritizzazione delle applicazioni e di definizione del relativo perimetro di analisi;
Risk Assessment: comprende una serie di analisi finalizzate ad ottenere le informazioni necessarie per identificare e
valutare i rischi operativi connessi all’ambiente IT;
valutazione e reportistica: include la valutazione dei risultati del IT Risk Assessment e la predisposizione della relativa
reportistica.
METODOLOGIA IT
OPERATIONAL
RISK
Metodologia
14
La fase di definizione del perimetro è composta dalle seguenti attività:
Mappatura degli applicativi: identifica le applicazioni che supportano i processi di business in perimetro;
Mappatura degli IT service provider: identifica gli IT service provider che forniscono servizi IT per ciascun
sistema applicativo identificato nell’attività di mappatura degli applicativi;
Identificazione degli applicativi condivisi tra più Società: identifica gli applicativi condivise tra due o più
Società del Gruppo, al fine di evitare la duplicazione delle attività richieste e dei relativi dati raccolti.
Prioritizzazione applicativi: assegna una priorità agli applicativi in ambito, sulla base di informazioni
precedentemente raccolte;
Definizione dei gruppi degli applicativi e del perimetro: identifica gruppi omogenei di applicativi sulla base
di policy e pratiche comuni utilizzate dal personale operativo.
DEFINIZIONE DEL
PERIMETRO
Definizione del perimetro
IT Bottom Up Operational Risk Assessment
Definizione del perimetro
Mappatura IT
service
Provider
Identificazione degli applicativi condivisi tra più
Società
Prioritizzazione
applicativi
Mappatura
degli
applicativi
Definizione dei gruppi degli
applicativi e del perimetro
Risk Assessment Valutazione e
Reportistica
Definizione del
perimetro
15
Per ogni applicativo in ambito di analisi l’IT risk assessment si basa sui seguenti elementi:
IT Operational Risk Framework: elenco di rischi IT basato sulle caratteristiche principali degli standard CobiT, ITIL e ISO
27001-27002 e suddiviso in aree di competenza al fine di fornire delle linee guida sulle modalità di gestione degli IT
Operational Risk e permettere un assessment continuo dello stato dei controlli interni IT.
Modelli di identificazione:
Modello degli eventi operativi;
Modello degli cause;
Modello degli effetti;
Modello degli strumenti di gestione IT;
Modello dei fattori di rischio operativo.
RISK
ASSESSMENT
Risk Assessment
16
La fase di valutazione e reportistica è composta dalle seguenti attività:
predisposizione reportistica: gli obiettivi principali sono quelli di analizzare i risultati dei risk assessment
condotti, classificarli, riorganizzarli e valutarli;
comunicazione e condivisione dei risultati:
fornire ai Risk Owner informazioni dettagliate sugli assessment degli eventi IT e sui valori assoluti dei Key Context
Indicator, in modo da integrare i bottom up operational risk assessment di business e completare la stima del valore
di perdita attesa;
identificare possibili azioni di rimedio al fine di mitigare le problematiche IT emerse nella fase di risk assessment in
ambito IT.
VALUTAZIONE E
REPORTISTICA
Valutazione e Reportistica
IT Bottom Up Operational Risk Assessment
Risk Assessment Valutazione e Reportistica Definizione del Perimetro
Valutazione e Reportistica
Comunicazione e
condivisione dei risultati
Predisposizione
reportistica
17 Key Context Indicator
Sono stati definite due macrocategorie di indicatori denominati Key Context Indicator (KCI), di business ed IT, al
fine di:
poter offrire ai Risk Owner di Business una modalità di contestualizzazione soggettiva dei risultati dei risk assessment in
ambito IT sui singoli processi di business;
connettere i risultati degli Operational Risk Assessment in ambito IT con quelli di business.
KEY CONTEXT
INDICATOR
Network Hardware 1
Hardware 2
DB1
DB2
DB3
App1
App3
App2
App4
Proc 1
Proc 2
Società
Ambiente IT – KCI Valore assoluto Ambiente Business - KCI Valore relativo
KCI IT = 500
Sala CED
KCI IT Local = 400
KCI IT Local= 100
20 ANNEX - Esempi di reportistica (3/4)
Causa di 1°Livello Causa di 2°Livello Indice aggregato di significatività della causa
Inadeguatezza o disfunzioni operative dalle risorse
umane Inadeguatezza sviluppo delle risorse umane Media
Inadeguatezza o disfunzione di infrastrutture
informatiche / telematiche
Inadeguatezza dei sistemi di sicurezza e
conservazione delle informazioni Bassa
Effetto IT di 1°Livello Effetto IT di 2°Livello Grado aggregato annuo
dell’effetto
Effetti economici Risarcimenti / indennizzi
dovuti a controversie legali Media
Effetti gestionali Numero di clienti
danneggiati Media
Effetto business di
1°Livello
Effetto business di
2°Livello
Grado aggregato annuo
dell’effetto
Effetti economici
Risarcimenti / indennizzi
dovuti a controversie legali Media
Perdite non recuperabili Media
21
Di seguito è riportato la classifica delle Cause di 3° livello con maggior significatività:
ANNEX - Esempi di reportistica (4/4)
Causa di 3°Livello Causa di 2°Livello Causa di 1°Livello
1 Inadeguata formazione delle risorse Inadeguatezza sviluppo delle risorse umane Inadeguatezza o disfunzioni operative dalle
risorse umane
2 Mancanza / inadeguatezza / Insufficienza dei
controlli automatici su dati inseriti / da inserire
Inadeguatezza delle infrastrutture hardware e
software
Inadeguatezza o disfunzione di infrastrutture
informatiche / telematiche 3 Inadeguatezza del software in relazione alle
necessità operative
4 Inadeguatezza delle attrezzature hardware
rispetto alle esigenze operative
5 Mancanza / inadeguatezza dei controlli di linea
sugli altri processi
Inadeguatezza del monitoraggio e controllo sui
processi
Inadeguatezza o disfunzione di processi /
procedure, attività di comunicazione e
contrattualistica con gli outsourcer
… … … …
FOCUS
GENERALI GROUP
Group Risk Management
Operational Risk
Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi
legati all’Information Technology
Convegno ISACA Venice - Mestre, 26 Ottobre 2012
Davide Lizzio – CISA – CRISC Operational Risk
Tel: +39 040/671428
Top Related