1 / 27

LA VALUTAZIONE E LA GESTIONE DEL RISCHIO INFORMATICO

Convenzione Interbancaria per i Problemi dell’Automazione. LA VALUTAZIONE E LA GESTIONE DEL RISCHIO INFORMATICO. Convegno ANSSAIF Roma, 26 gennaio 2006. Convenzione Interbancaria per i Problemi dell’Automazione. Principale obiettivo della sicurezza informatica è garantire:. Riservatezza

kirra
Download Presentation

LA VALUTAZIONE E LA GESTIONE DEL RISCHIO INFORMATICO

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Convenzione Interbancaria per i Problemi dell’Automazione LA VALUTAZIONE E LA GESTIONE DEL RISCHIO INFORMATICO Convegno ANSSAIF Roma, 26 gennaio 2006

  2. Convenzione Interbancaria per i Problemi dell’Automazione Principale obiettivo della sicurezza informatica è garantire: Riservatezza Integrità Disponibilità delle RISORSE INFORMATICHE nel più ampio obiettivo aziendale di garanzia della continuità operativa 2

  3. Convenzione Interbancaria per i Problemi dell’Automazione Processi basilari per gestione della sicurezza informatica sono: valutazione del rischio informatico gestione del rischio informatico 3

  4. VALUTAZIONE DEL RISCHIO INFORMATICO • Infrastrutturali e tecnologiche • Informative • Umane • con particolare riferimento alla loro vulnerabilità Individuazione e classificazione delle risorse 4

  5. PASS VALUTAZIONE DEL RISCHIO INFORMATICO • dall’interno del perimetro aziendale a cura di persone interne o esterne accreditate (c.d. insiders). che possono provenire: • dall’esterno del perimetro aziendale a cura di persone esterne (c.d. hackers); Individuazione e classificazione delle risorse Individuazione delle minacce 5

  6. VALUTAZIONE DEL RISCHIO INFORMATICO Individuazione e classificazione delle risorse Individuazione delle minacce • errori e malfunzionamenti • frodi e furti • software dannoso • danneggiamenti fisici • sovraccarico del sistema • mancato rispetto della legislazione vigente 6

  7. VALUTAZIONE DEL RISCHIO INFORMATICO Individuazione e classificazione delle risorse Individuazione delle minacce Individuazione e valutazione dei possibili danni • danni diretti (distruzione di apparati, perdita di dati ..) • danni indiretti (interruzione di processi produttivi, perdita di profitti, richieste di risarcimento, attivazione di penali) • danni indiretti irreversibili 7

  8. VALUTAZIONE DEL RISCHIO INFORMATICO Individuazione e classificazione delle risorse Individuazione delle minacce Individuazione e valutazione dei possibili danni Individuazione e classificazione delle contromisure con obiettivi : • di prevenzione • di rilevazione • di ripristino 8

  9. VALUTAZIONE DEL RISCHIO INFORMATICO Individuazione e classificazione delle risorse Individuazione delle minacce Individuazione e valutazione dei possibili danni Individuazione e classificazione delle contromisure Analisi dei costi/benefici per l’adozione delle contromisure • valutazione economica del rischio • valutazione economica degli investimenti 9

  10. VALUTAZIONE DEL RISCHIO INFORMATICO 100 0 Prevenzionecontrastodifesa 10

  11. GESTIONE DEL RISCHIO INFORMATICO Definizione dei piani di azione • Preventiva • Correttiva per il contrasto del rischio 11

  12. GESTIONE DEL RISCHIO INFORMATICO Definizione dei piani di azione Manutenzione periodica dei piani • a cadenze stabilite • sulla base degli eventi accaduti 12

  13. GESTIONE DEL RISCHIO INFORMATICO Definizione dei piani di azione Manutenzione periodica dei piani Documentazione e accettazione del rischio residuo • determinato sulla base del punto di equilibrio individuato 13

  14. GESTIONE DEL RISCHIO INFORMATICO Definizione dei piani di azione Manutenzione periodica dei piani Documentazione e accettazione del rischio residuo Simulazione di attacchi • estemporanei e imprevedibili senza arrecare danni ai sistemi 14

  15. GESTIONE DEL RISCHIO INFORMATICO Definizione dei piani di azione Manutenzione periodica dei piani Documentazione e accettazione del rischio residuo Simulazione di attacchi Gestione degli incidenti • pronta reazione secondo piani formalizzati (IRT) • insegnamento per il futuro 15

  16. GESTIONE DEL RISCHIO INFORMATICO Definizione dei piani di azione Manutenzione periodica dei piani Documentazione e accettazione del rischio residuo Simulazione di attacchi Gestione degli incidenti Attività di auditing • diretta a verificare la corretta applicazione delle norme 16

  17. VALUTAZIONE E GESTIONE DEL RISCHIO INFORMATICO RIFERIMENTI METODOLOGICI Standard internazionali di sicurezza • BS7799 – parte 1 – Standard code of practice (ISO 17799) • BS7799 – parte 2 – Specification for information security management system 17

  18. VALUTAZIONE E GESTIONE DEL RISCHIO INFORMATICO RIFERIMENTI METODOLOGICI Standard internazionali di sicurezza • Common Criteria for Information technology security evaluation (ICC) • Informatition Technology Security Evaluation Criteria (ITSEC) • Control Objectives for Information and related Technologies (CObIT) 18

  19. VALUTAZIONE E GESTIONE DEL RISCHIO INFORMATICO RIFERIMENTI METODOLOGICI Standard internazionali di sicurezza • Central Computer and Telecommunication Agency Risk Analysis and Management (CRAMM) • Operationally Critical Threat Asset and Vulnerability Evaluation (OCTAVE) 19

  20. Convenzione Interbancaria per i Problemi dell’Automazione L’impegno delle banche per la sicurezza informatica è: elevato in termini di impegni finanziari 20

  21. Spesa per la sicurezza informatica nelle banche (distribuzione indici percentuali, in rapporto al totale costi ICT) 9 % 1° quartile 8 % 2° quartile 3° quartile 4° quartile 4 % 3 % 3 % 2,5 % 2 % 1,5 % 2005 (Previsionale) 2004 (Consuntivo) 21 Fonte: CIPA ABI - Rilevazione dello stato dell’automazione del sistema creditizio

  22. Convenzione Interbancaria per i Problemi dell’Automazione L’impegno delle banche per la sicurezza informatica è: elevato in termini di impegni finanziari crescente nel tempo 22

  23. Attività di sicurezza informatica nelle banche (trend triennale) 23 Fonte: CIPA ABI - Rilevazione dello stato dell’automazione del sistema creditizio

  24. Convenzione Interbancaria per i Problemi dell’Automazione CONTINUITÀ OPERATIVA DEL SISTEMA FINANZIARIO La CIPA partecipa al gruppo di lavoro costituito presso la Banca d’Italia – Area Sistema del Pagamenti 24

  25. Convenzione Interbancaria per i Problemi dell’Automazione CONTINUITÀ OPERATIVA DEL SISTEMA FINANZIARIO La CIPA partecipa al gruppo di lavoro costituito presso la Banca d’Italia – Area Sistema del Pagamenti L’attacco informatico è uno degli scenari presi a riferimento dal gruppo di lavoro 25

  26. Iniziative in atto in materia di sicurezza FURTO DI IDENTITA’ ELETTRONICA TRAMITE INTERNET ANALISI CONGIUNTA CIPA – ABI – CNIPA OBIETTIVI: Ricognizione del fenomeno e azioni intraprese Analisi delle esperienze estere Pubblicazione di un rapporto 26

  27. Convenzione Interbancaria per i Problemi dell’Automazione grazie per l’attenzione www.cipa.it 27

More Related