21 maggio 20041 il rischio accettato giusto bilanciamento fra rischio e costo delle contromisure...
TRANSCRIPT
21 maggio 2004 1
Il rischio accettato
Giusto bilanciamento fra rischio e costo delle contromisureIng. Anthony Cecil Wright, Direzione Risk Management – BCM
Presidente ANSSAIF
21 maggio 2004 2
Un caso recente
21 maggio 2004 3
21 maggio 2004 4
Ora
21 maggio 2004 5
Mi domando:
• Erano insufficienti le misure di rilevazione e di spegnimento dell’incendio?
• Oppure, non era presente il numero minimo di persone richiesto per gestire l’emergenza?
• E se fosse così, l’Assicurazione paga, o solleva eccezioni?
• Il piano di esodo e gestione della crisi era mai stato provato?
• Le persone presenti quella notte, avevano avuto l’opportuno training?
21 maggio 2004 6
Basilea
21 maggio 2004 7
Uno dei casi ricordati dal Comitato: era il 1995, la Barings aveva 303 anni…
21 maggio 2004 8
Basilea: le cause dei fallimenti
21 maggio 2004 9
Una domanda
21 maggio 2004 10
Gli investimenti negli ultimi anni
• Prevalentemente investimenti nel rifacimento dei sistemi informativi (euro; anno 2000; Mergers & Acquisitions; logistica; ecc.) e poco in Sicurezza ICT (tra l’1% ed il 3% del budget)
• Nei prodotti e canali di comunicazione con il Cliente, nella maggior parte dei casi, non si sono privilegiati gli aspetti di sicurezza.
• Si è investito in sistemi ERP per il recupero di produttività, ma non ci si è resi conto che la Sicurezza è indispensabile per raggiungere gli obiettivi.
21 maggio 2004 11
Riacquisire la fiducia da parte del consumatore
“Restoring the integrity of the fiduciary relationship is absolutely essential to business
at this time”.(Eliot Spitzer – HBR – may 2004)
21 maggio 2004 12
Perché tante perplessità nell’investire in sicurezza?
• Provo a citarne alcune possibili cause:– La sicurezza non è ancora diffusamente percepita in
azienda come un “plus”. – Insufficiente conoscenza dei rischi ICT da parte del
Vertice Aziendale e dei dipendenti (cfr. risultanze dello Psychological Risk Assessment della Soc.NTS);
– Ancora poche aziende eseguono annualmente un’analisi approfondita del rischio ICT.
– La gestione del rischio ICT in azienda, dal punto di vista metodologico ed organizzativo, non è ancora allo stesso livello degli altri rischi (credito, mercato, tasso, ecc.).
21 maggio 2004 13
Perché tante perplessità nell’investire in sicurezza?
– Assenza di dati quantitativi a livello italiano; assenza di rilevazioni sistematiche su un campione rappre-sentativo di aziende;
– Omessa denuncia, in diversi casi, dei sinistri informatici subiti;
– Scarsa diffusione di una raccolta sistematica degli incidents a livello aziendale;
– Le spinte “esogene” sono ancora insufficienti.– Anche i consumatori non percepiscono ancora il
beneficio derivante da robuste misure di sicurezza
21 maggio 2004 14
Perché tante perplessità nell’investire in sicurezza?
– Assenza di metodi e standard per la quantizzazione del “rischio-ritorno”.
– Non è ancora applicato uno standard accettato e chiaro che leghi fra loro: risk analysis, business continuity, business impact analysis, crisis management,…
21 maggio 2004 15
Cosa fare?
“The real challenge is to integrate all the different operational risk components in a
consistent and efficient way”.(da: Operational Resilience – The Art of Risk Management –
IBM)
21 maggio 2004 16
Come?
21 maggio 2004 17
Come?
• Migliorare il livello di comunicazione delle esigenze di investimenti in Sicurezza attraverso:– Una migliore chiarezza dei rispettivi ruoli dei
principali attori in azienda;– Un metodo in grado di fornire stime di possibili
perdite economiche il più possibile attendibili;– La valutazione di ipotesi alternative, fra le quali
l’accettazione del rischio residuo;– Un processo di individuazione delle soluzioni,
semplice, fattibile, condiviso a livello aziendale.
21 maggio 2004 18
1. Chiarire i ruoli: La Business Continuity
• E’ necessario un Business Continuity Manager?• Se sì, chi è? In quale struttura è collocato? • Chi indica la metodologia da utilizzare per la
B.C.M?• L’analisi del rischio ICT è inclusa nella BCM?• Chi fornisce le probabilità d’accadimento?• Chi fa il calcolo costi / benefici delle diverse
soluzioni a mitigazione del rischio?
21 maggio 2004 19
La Business Continuity
21 maggio 2004 20
Banca d’Italia: Sistema dei controlli interni
• I controlli di linea, diretti ad assicurare il cor-retto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture produttive (…);
• I controlli sulla gestione dei rischi, che hanno l’obiettivo di concorrere alla definizione delle metodologie di mitigazione del rischio, (…) di controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di ri-schio-rendimento assegnati. Essi sono affidati a strutture diverse da quelle produttive;
• L’attività di revisione interna, volta a individu-are andamenti anomali, (…).
21 maggio 2004 21
I ruoli: una macro ipotesi, per discussione
• Security Manager:– Sviluppo e gestione degli strumenti e metodi a
protezione degli asset; vulnerability assessment; partecipazione in tutte le attività di pianificazione, controllo e test.
• Global Risk Management: – Metodologia, indicatori.
• Organizzazione:– Normativa, processi, ICT risk analysis, crisis
management, definizione soluzioni recovery e resumption.
21 maggio 2004 22
I ruoli
• Sistemi Informativi:– Definizione, pianificazione e test del Piano di Disaster
Recovery; coinvolgimento in tutte le attività di analisi e pianificazione.
• Business Units:– Definizione possibili perdite; definizione ed aggiorna-
mento dei processi critici; partecipazione nelle fasi di scelta delle contromisure; formazione / informazione del personale relativamente ai piani di gestione della continuità; validazione dei test dei piani.
• R.U., Legale, Comunicazione, I.A.:– Partecipazione in tutte le fasi di definizione e
pianificazione.
21 maggio 2004 23
2. Dati quantitativi: la valutazione dei sinistri
• Per una stima della probabilità di accadimento di un sinistro e per la valutazione del possibile danno, ci servono dei dati di base. Esistono?
• Italia:– L’FTI, in collaborazione con SPACE-Univ. Bocconi, pubblica
annualmente l’Osservatorio Criminalità ICT; – l’International Crime Analysis Association esegue da
qualche tempo uno studio approfondito.• Da oltre otto anni negli USA c’è l’indagine CSI/FBI, ricco
anche di dati economici, ed analoga esiste da due anni in Australia (AusCert e polizia federale).
• Negli UK abbiamo degli studi della PriceWaterhouse-Coopers e NHTCU (Scotland Yard).
21 maggio 2004 24
2003 - 8th Annual CSI / FBI Computer Crime Survey
Total Average Maximum C-E F / (B-1) # %Total losses reported
Highest loss reported
Sum of losses, after excl. Max value
Average loss after exclusion max value
of losses reported
losses$65.643.300 $1.427.028 $60.000.000 $5.643.300 $125.407 46 8% DOS$27.382.340 $199.871 $6.000.000 $21.382.340 $157.223 137 24% Virus$6.830.500 $47.107 $2.000.000 $4.830.500 $33.545 145 25% Laptop Theft
$11.767.200 $135.255 $6.000.000 $5.767.200 $67.060 87 15% Net abuse$701.500 $50.107 $250.000 $451.500 $34.731 14 2% Telecom Fraud$406.300 $31.254 $100.000 $306.300 $25.525 13 2% Unauthorized access
$70.195.900 $2.699.842 $35.000.000 $35.195.900 $1.407.836 26 5% Theft of Proprietary Info$10.186.400 $328.594 $4.000.000 $6.186.400 $206.214 31 5% Financial Fraud$5.148.500 $214.521 $2.000.000 $3.148.500 $136.891 24 4% Sabotage$2.754.400 $56.212 $1.000.000 $1.754.400 $36.550 49 9% System Penetration
$201.016.340 $116.350.000 $84.666.340 $148.277 572 100%
Un esempio
21 maggio 2004 25
I dati quantitativi
• Una valutazione qualitativa, ripetuta annual-mente, delle possibili perdite economiche, su-bibili dall’azienda e suddivise per tipologia di evento, è assolutamente indispensabile.
• La valutazione qualitativa è basata su una autovalutazione dei responsabili delle business units e dei process owners, secondo una me-todologia basata su standard generalmente accettati.
• L’autovalutazione, però, tende a sovrastimare le perdite economiche del proprio ambito.
21 maggio 2004 26
I dati quantitativi
• I dati dell’autovalutazione devono essere perciò confrontati con dati quantitativi.
• Tali dati devono provenire da “loss collection” interna all’azienda e da basi dati esterne.
• Solo da tale confronto, si può auspicare di giungere ad una valutazione abbastanza oggettiva delle possibili perdite economiche a fronte di eventi dannosi che, sfruttando delle vulnerabilità, colpiscano le risorse a supporto dei processi di business.
21 maggio 2004 27
I dati quantitativi – un possibile metodo
• Se:• EL qualitativa >>> EL quantitativa Elqual=Elquant
• Se:• Elqualitatitiva<<EL quantitativa esame cause
21 maggio 2004 28
Dati quantitativi – un possibile metodo
Stima della possibile perdita massima:• ELmax(e)=[ΣiΣt(γ(i)xLmax(i,t)/C(e,i,t))] / m x n
• Ove: (i=1,m), (t=1,n); Lmax: perdita massima regi-strata al tempo t, dall’indagine i, per l’evento e, pon-derata con il peso γ e C(e,i,t)=n.totale casi denunciati.
• ELmed(e)= [ ΣiΣt(γ(i) x Lmed(i,t) ] / m x n• Ove: (i=1,m), (t=1,n); Lmed: perdita media regi-strata
al tempo t, dall’indagine i, per l’evento e, pon-derata con il peso γ.
• ELtot(e) = ELmax(e) + ELmed(e) x p(e)• Ove p(e) è la probabilità di accadimento dell’evento e:• p(e)= ΣiΣt (γ(i) x F(i,t)), ove F= frequenza evento e
rilevata al tempo t per l’indagine i.
21 maggio 2004 29
Dati quantitativi – un possibile metodo
Quello riportato rappresenta una possibile moda-lità di stima della possibile perdita economica per tipologia di evento e l’ho riportata per provocare il dibattito.
Ai dati quantitativi menzionati, si devono aggiun-gere dei Key Performance Indicators necessa-ri a tenere sotto osservazione i fenomeni e a formulare previsioni di possibili perdite econo-miche.
21 maggio 2004 30
Esempio di calcolo: Stima della probabilità di accadimento
DOS 29,6
Virus 77,4
Laptop Theft 67,3
Net abuse 58,0
Telecom Fraud 8,3
Unauthorized access 41,8
Theft of Proprietary Info 18,0
Financial Fraud 13,4
Sabotage 11,6
System Penetration 21,1
Media delle frequenzeRiportate dalle indagini:
•Nhtcu – UK (2002)•Auscert (2002-2003)•Csi – USA (1999-2003)
21 maggio 2004 31
Il processo
Ciclo di sensibilizzazione del personale dell’Azienda alla Sicurezza
Individuazione delle vulnerabilità e delle possibili perdite economiche Tramite analisi del rischio ICT sulle risorse
Business Impact Analysis e determinazione dei processi critici per laContinuità del business
Raffronto con le valutazioni quantitative
Individuazione delle contromisure più idonee e cost justified
21 maggio 2004 32
Il processo (cont.ne)
Stima di indicatori di rischio (scorecard)
Comunicazione del possibile livello di rischio attuale e prospettico,Ossia, dopo la messa in esercizio delle contromisure proposte
Raccolta sistematica e classificazione degli incidents di ICT securitye loro correlazione ai KPI
Presentazione periodica di rapporti al management sull’andamentodel livello di rischio (PD, EL, ecc.) e sulle azioni in corso
21 maggio 2004 33
Esempio: la metodologia IBM
Risk Analysis
probabilitàeventi
efficaciasalvaguardia
valoriassets impatto
economico
vulnerabilità
misure preventivedi sicurezza
Business Impact
Analysis
identificazioneprocessi vitali
impattoeconomico
indisponibilitàdeterminazionesoglie
indisponibilitàsostenibile
RecoverabilityAnalysis
identificazionecomponentidei processi
attualicapacitàripristinoquantificazione
gap
RecoveryStrategy
pianificazioneriduzionetempi direcovery
step by step
EnterpriseSolutionDesign
definizionesoluzioni tecnologiche,
organizzazione,modalitàBusiness
Continuity Planpiano aziendale
gestione emergenze
IT Continuity
Plan
stesurapiano
recoveryI/T
test
aggiornamento
Scenario di Riferimento
21 maggio 2004 34
Conclusione
• Investimenti in “Company’s ICT Security awareness”,
• una maggiore chiarezza dei ruoli tra Business Continuity Manager, Security Manager, Global Risk Manager,
• un processo di Company’s Resilience suppor-tato da metodi chiari e condivisi,
non potranno che migliorare la capacità di co-municazione e pianificazione delle esigenze in termini di continuità del business, e di qualità dei prodotti e dei servizi offerti dall’Azienda ai suoi Clienti.
21 maggio 2004 35
…e ricordiamoci che non esiste solo il BS7799…
21 maggio 2004 36
Grazie per l’attenzione, e…