280 likes | 611 Views
Convenzione Interbancaria per i Problemi dell’Automazione. LA VALUTAZIONE E LA GESTIONE DEL RISCHIO INFORMATICO. Convegno ANSSAIF Roma, 26 gennaio 2006. Convenzione Interbancaria per i Problemi dell’Automazione. Principale obiettivo della sicurezza informatica è garantire:. Riservatezza
E N D
Convenzione Interbancaria per i Problemi dell’Automazione LA VALUTAZIONE E LA GESTIONE DEL RISCHIO INFORMATICO Convegno ANSSAIF Roma, 26 gennaio 2006
Convenzione Interbancaria per i Problemi dell’Automazione Principale obiettivo della sicurezza informatica è garantire: Riservatezza Integrità Disponibilità delle RISORSE INFORMATICHE nel più ampio obiettivo aziendale di garanzia della continuità operativa 2
Convenzione Interbancaria per i Problemi dell’Automazione Processi basilari per gestione della sicurezza informatica sono: valutazione del rischio informatico gestione del rischio informatico 3
VALUTAZIONE DEL RISCHIO INFORMATICO • Infrastrutturali e tecnologiche • Informative • Umane • con particolare riferimento alla loro vulnerabilità Individuazione e classificazione delle risorse 4
PASS VALUTAZIONE DEL RISCHIO INFORMATICO • dall’interno del perimetro aziendale a cura di persone interne o esterne accreditate (c.d. insiders). che possono provenire: • dall’esterno del perimetro aziendale a cura di persone esterne (c.d. hackers); Individuazione e classificazione delle risorse Individuazione delle minacce 5
VALUTAZIONE DEL RISCHIO INFORMATICO Individuazione e classificazione delle risorse Individuazione delle minacce • errori e malfunzionamenti • frodi e furti • software dannoso • danneggiamenti fisici • sovraccarico del sistema • mancato rispetto della legislazione vigente 6
VALUTAZIONE DEL RISCHIO INFORMATICO Individuazione e classificazione delle risorse Individuazione delle minacce Individuazione e valutazione dei possibili danni • danni diretti (distruzione di apparati, perdita di dati ..) • danni indiretti (interruzione di processi produttivi, perdita di profitti, richieste di risarcimento, attivazione di penali) • danni indiretti irreversibili 7
VALUTAZIONE DEL RISCHIO INFORMATICO Individuazione e classificazione delle risorse Individuazione delle minacce Individuazione e valutazione dei possibili danni Individuazione e classificazione delle contromisure con obiettivi : • di prevenzione • di rilevazione • di ripristino 8
VALUTAZIONE DEL RISCHIO INFORMATICO Individuazione e classificazione delle risorse Individuazione delle minacce Individuazione e valutazione dei possibili danni Individuazione e classificazione delle contromisure Analisi dei costi/benefici per l’adozione delle contromisure • valutazione economica del rischio • valutazione economica degli investimenti 9
VALUTAZIONE DEL RISCHIO INFORMATICO 100 0 Prevenzionecontrastodifesa 10
GESTIONE DEL RISCHIO INFORMATICO Definizione dei piani di azione • Preventiva • Correttiva per il contrasto del rischio 11
GESTIONE DEL RISCHIO INFORMATICO Definizione dei piani di azione Manutenzione periodica dei piani • a cadenze stabilite • sulla base degli eventi accaduti 12
GESTIONE DEL RISCHIO INFORMATICO Definizione dei piani di azione Manutenzione periodica dei piani Documentazione e accettazione del rischio residuo • determinato sulla base del punto di equilibrio individuato 13
GESTIONE DEL RISCHIO INFORMATICO Definizione dei piani di azione Manutenzione periodica dei piani Documentazione e accettazione del rischio residuo Simulazione di attacchi • estemporanei e imprevedibili senza arrecare danni ai sistemi 14
GESTIONE DEL RISCHIO INFORMATICO Definizione dei piani di azione Manutenzione periodica dei piani Documentazione e accettazione del rischio residuo Simulazione di attacchi Gestione degli incidenti • pronta reazione secondo piani formalizzati (IRT) • insegnamento per il futuro 15
GESTIONE DEL RISCHIO INFORMATICO Definizione dei piani di azione Manutenzione periodica dei piani Documentazione e accettazione del rischio residuo Simulazione di attacchi Gestione degli incidenti Attività di auditing • diretta a verificare la corretta applicazione delle norme 16
VALUTAZIONE E GESTIONE DEL RISCHIO INFORMATICO RIFERIMENTI METODOLOGICI Standard internazionali di sicurezza • BS7799 – parte 1 – Standard code of practice (ISO 17799) • BS7799 – parte 2 – Specification for information security management system 17
VALUTAZIONE E GESTIONE DEL RISCHIO INFORMATICO RIFERIMENTI METODOLOGICI Standard internazionali di sicurezza • Common Criteria for Information technology security evaluation (ICC) • Informatition Technology Security Evaluation Criteria (ITSEC) • Control Objectives for Information and related Technologies (CObIT) 18
VALUTAZIONE E GESTIONE DEL RISCHIO INFORMATICO RIFERIMENTI METODOLOGICI Standard internazionali di sicurezza • Central Computer and Telecommunication Agency Risk Analysis and Management (CRAMM) • Operationally Critical Threat Asset and Vulnerability Evaluation (OCTAVE) 19
Convenzione Interbancaria per i Problemi dell’Automazione L’impegno delle banche per la sicurezza informatica è: elevato in termini di impegni finanziari 20
Spesa per la sicurezza informatica nelle banche (distribuzione indici percentuali, in rapporto al totale costi ICT) 9 % 1° quartile 8 % 2° quartile 3° quartile 4° quartile 4 % 3 % 3 % 2,5 % 2 % 1,5 % 2005 (Previsionale) 2004 (Consuntivo) 21 Fonte: CIPA ABI - Rilevazione dello stato dell’automazione del sistema creditizio
Convenzione Interbancaria per i Problemi dell’Automazione L’impegno delle banche per la sicurezza informatica è: elevato in termini di impegni finanziari crescente nel tempo 22
Attività di sicurezza informatica nelle banche (trend triennale) 23 Fonte: CIPA ABI - Rilevazione dello stato dell’automazione del sistema creditizio
Convenzione Interbancaria per i Problemi dell’Automazione CONTINUITÀ OPERATIVA DEL SISTEMA FINANZIARIO La CIPA partecipa al gruppo di lavoro costituito presso la Banca d’Italia – Area Sistema del Pagamenti 24
Convenzione Interbancaria per i Problemi dell’Automazione CONTINUITÀ OPERATIVA DEL SISTEMA FINANZIARIO La CIPA partecipa al gruppo di lavoro costituito presso la Banca d’Italia – Area Sistema del Pagamenti L’attacco informatico è uno degli scenari presi a riferimento dal gruppo di lavoro 25
Iniziative in atto in materia di sicurezza FURTO DI IDENTITA’ ELETTRONICA TRAMITE INTERNET ANALISI CONGIUNTA CIPA – ABI – CNIPA OBIETTIVI: Ricognizione del fenomeno e azioni intraprese Analisi delle esperienze estere Pubblicazione di un rapporto 26
Convenzione Interbancaria per i Problemi dell’Automazione grazie per l’attenzione www.cipa.it 27