Menu

Sicuri per legge (parte seconda)

Sicuri per legge (parte seconda)

Riprendiamo l’analisi delle Nuove disposizioni di vigilanza prudenziale per le banche già esaminate nella prima parte di questo articolo anch'esso intitolato "Sicuri per Legge", concentrando questa volta la nostra attenzione sulla parte dedicata all’analisi del rischio.

La normativa vigente precisa che l’analisi dei rischi definisce le funzioni aziendali e le componenti del sistema informativo che presentano rischi rilevanti per la banca… e definisce come rischio informatico il rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologia dell’informazione e della comunicazione… e come rischio informatico residuo il rischio informatico a cui l’intermediario è esposto una volta applicate le misure di attenuazione individuate nel processo di analisi dei rischi.

Per Banca d’Italia l’analisi del rischio informatico costituisce uno strumento a garanzia dell’efficacia ed efficienza delle misure di protezione delle risorse ICT, che consente di graduare le misure di mitigazione nei vari ambienti in funzione del profilo di rischio.

Vengono definiti gli attori coinvolti nel processo di analisi dei rischi: utente responsabile, personale della funzione ICT, funzioni di controllo dei rischi, sicurezza informatica, audit e viene richiesto che il processo avvenga secondo metodologie e responsabilitĂ  formalmente definite. Inoltre, i risultati del processo (livelli di classificazione, rischi potenziali e residui, lista delle minacce considerate, elenco dei presidi individuati), ogni loro aggiornamento successivo, le assunzioni operate e le decisioni assunte, sono documentati e portati a conoscenza dell’organo con funzione di gestione.

L’analisi dei rischi prevede le fasi di valutazione del rischio potenziale e successivamente il trattamento del rischio (definizione delle misure di attenuazione tecniche/organizzative). 

La valutazione dei rischi (da effettuare in occasione di nuovi progetti, di modifica rilevante del sistema informativo e su componenti del sistema informativo non precedentemente analizzate) parte con la classificazione delle risorse ICT in termini di rischio informatico (ad esempio, con riferimento alla sicurezza informatica, va assegnato un indicatore di criticità in relazione al potenziale impatto di eventuali violazioni dei livelli di riservatezza, integrità, disponibilità richiesti dall’utente responsabile e alla probabilità di accadimento delle minacce che potrebbero causare tali violazioni) e tiene in debito conto dei dati disponibili in merito agli incidenti di sicurezza informatica verificatisi in passato.

E’ interessante notare che la classificazione delle informazioni gestite mediante strumenti ICT deve essere raccordata con quella il cui trattamento avviene in formato diverso da quello elettronico.

E’ piuttosto raro trovare questo livello di attenzione; si spendono molto risorse per la tutela dei dati quando questi sono presenti sul sistema informativo e ci si dimentica spesso che l’unica tutela di un dato quando questo è stampato su un foglio di carta è data dalla sicurezza fisica dello stesso.

Relativamente ai sistemi già in essere, sui quali deve comunque essere eseguita l’analisi dei rischi, se emerge l’esigenza di attivare presidi aggiuntivi è necessario definire uno specifico piano di implementazione.

Al riguardo i tempi di attuazione del piano ed i presidi compensativi di tipo organizzativo o procedurale devono essere documentati e sottoposti all’accettazione formale dell’utente responsabile.

Il rischio residuo deve essere espressamente e formalmente accettato dall’utente responsabile e, qualora ecceda il limite di rischio definito dall’azienda, è necessario individuare adeguate misure alternative di trattamento del rischio, definite con il coinvolgimento della funzione di controllo dei rischi e sottoposte all’approvazione dell’organo con funzione di gestione.

In tale documento il rischio residuo deve essere adeguatamente descritto, evidenziando i possibili eventi dannosi che potrebbero comunque verificarsi in determinate circostanze.

Le attività relative all’ analisi del rischio sono ripetute periodicamente, in funzione dei sistemi in essere e del verificarsi di situazioni che ne consiglino una riedizione.

Il testo di Banca d’Italia non da indicazioni su metodologie da seguire intese in senso stretto, ma il processo da seguire è chiaro.

I Ruoli nel sistema di sicurezza

La normativa dà particolare enfasi alla suddivisione dei compiti assegnati alle varie funzioni aziendali in merito all’analisi dei rischi; in particolare:

  1. l’organo con funzione di supervisione strategica (1): 
    1. approva il quadro di riferimento organizzativo e metodologico per l’analisi del rischio informatico, promuovendo l’opportuna valorizzazione dell’informazione sul rischio tecnologico all’interno della funzione ICT e l’integrazione con i sistemi di misurazione e gestione dei rischi (in particolare quelli operativi, reputazionali e strategici); 
    2. approva la propensione al rischio informatico, avuto riguardo ai servizi interni e a quelli offerti alla clientela, in conformitĂ  con gli obiettivi di rischio e il quadro di riferimento per la determinazione della propensione al rischio definiti a livello aziendale; 
    3. è informato con cadenza almeno annuale sulla situazione di rischio informatico rispetto alla propensione al rischio.
  2. l’organo con funzione di gestione (2):
    1. approva almeno annualmente la valutazione del rischio delle componenti critiche nonché la relazione sull’adeguatezza e costi dei servizi ICT, informando a tale riguardo l’organo con funzione di supervisione strategica; in tale ambito, riscontra la complessiva situazione del rischio informatico in rapporto alla propensione al rischio definita, disponendo allo scopo di idonei flussi informativi concernenti, come minimo, il livello di rischio residuo per le diverse risorse informatiche, lo stato di implementazione dei presidi di attenuazione del rischio, l’evoluzione delle minacce connesse con l’utilizzo di ICT nonché gli incidenti registratisi nel periodo di riferimento;
  3. la funzione ICT mantiene linee di riporto dirette a livello dell’organo con funzione di gestione a garanzia dell’unitarietĂ  della visione gestionale e del rischio informatico…
  4. la funzione che presidia la sicurezza informatica partecipa alla valutazione del rischio potenziale nonchĂ© all’individuazione dei presidi di sicurezza nell’ambito del processo di analisi del rischio informatico;
  5. i controlli interni effettuano controlli di secondo livello sulla evoluzione del rischio informatico e sul monitoraggio dell’efficacia delle misure di protezione delle risorse ICT

(1) “organo con funzione di supervisione strategica”: l’organo aziendale a cui - ai sensi del codice civile o per disposizione statutaria - sono attribuite funzioni di indirizzo della gestione dell’impresa, mediante, tra l’altro, esame e delibera in ordine ai piani industriali o finanziari ovvero alle operazioni strategiche;

(2) “organo con funzione di gestione”: l’organo aziendale o i componenti di esso a cui - ai sensi del codice civile o per disposizione statutaria - spettano o sono delegati compiti di gestione corrente, intesa come attuazione degli indirizzi deliberati nell’esercizio della funzione di supervisione strategica. Il direttore generale rappresenta il vertice della struttura interna e come tale partecipa alla funzione di gestione;


Il documento si conclude relativamente alla parte di analisi del rischio individuando i seguenti documenti:

DOCUMENTI DI POLICY E STANDARD AZIENDALI

Documento

Approvazione

Aggiornamento

Note

Metodologia di analisi del rischio informatico

Organo con funzione di supervisione strategica

In base alla necessitĂ 

 

VALUTAZIONI AZIENDALI

Rapporto sintetico sulla situazione del rischio informatico

Organo con funzione di supervisione strategica

Annuale

 

Una normale azienda non dispone ovviamente di una struttura così articolata, salvo che non sia di grandi dimensioni, tuttavia il modello proposto può offrire interessanti spunti di riflessione.

Giancarlo Butti

Ultima modifica ilMercoledì, 27 Novembre 2013 11:38

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto