Passiamo agli aspetti relativi all’analisi dei rischi.
Va subito fatta una premessa: dal punto di vista della compliance l’analisi dei rischi è sia uno dei temi oggetto di verifica sia il risultato finale dell’attività di compliance stessa in quanto essa consiste proprio nel valutare (e gestire) “il rischio di non conformità alle norme”.
COSO Enterprise Risk Management Framework
Ciò premesso la prima scelta da fare è: quale tra gli innumerevoli standard gestione dei rischi conviene adottare? Dovendo parlare di rischi aziendali (e non solamente tecnologici) la scelta non può che ricadere sul COSO [4] Enterprise Risk Management Framework [5] un framework che non solo descrive i principi, le componenti ed i concetti più importanti della gestione del rischio aziendale ma fornisce anche una roadmap precisa per identificare e gestire i rischi.L’ERM si basa, inoltre, sull’ Internal Control — Integrated Framework, pubblicato nel 1992 dallo stesso COSO, cioè sullo standard internazionale più noto e diffuso per il sistema di controlli interni; tale standard, negli USA, è stato indicato come guidaline per la compliance al Sarbanes-Oxley Act dal SEC, l’organo di controllo della borsa; USA.
Verifiche di conformità sull’analisi dei rischi
Affrontiamo il primo aspetto del rapporto Compliance/Analisi dei rischi.Come già detto le già citate Istruzioni di vigilanza richiedono “una chiara e formalizzata individuazione e distinzione di ruoli e responsabilità ai fini della gestione del rischio (…) nonché l’istituzione di un’apposita funzione incaricata della gestione del rischio.
Dobbiamo quindi, a partire dalle “norme di etero e autoregolamentazione” che intendiamo seguire, censire e valutare sia “cosa” viene fatto in ambito gestione del rischio” per le norme che ci interessano sia “chi” e “come” se ne occupa.
Ricapitoliamo:
1) ci occupiamo solo di aspetti di sicurezza della compliance
2) teniamo conto solo delle seguenti norme come già precedentemente indicato http://www.isacaroma.it/html/newsletter/node/219:
- [BI-V1] Banca d’Italia - Istruzioni di Vigilanza per le banche
- [BI-V2] Banca d’Italia - Istruzioni di Vigilanza per gli Intermediari Finanziari iscritti nell'Elenco Speciale
- [BI-V3] Regolamento Banca d'Italia 29 gennaio 2002, Funzionamento dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento (CAI)
- [BC-V1] European Central Bank (ECB), Business continuity oversight expectations for systemically important payment systems, SIPS (pdf [6], 136 kB)
- [ME-A1] Antiriciclaggio - Decreto del Ministero Economia e Finanze 3/2/2006 n. 142
- [GP-C1] Il Codice in materia di protezione dei dati personali
- [GP-C2] Allegato “B. Disciplinare tecnico in materia di misure minime di sicurezza”
- [GP-C2] Allegato “A.5. Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”
3) per ciascuna di tali norme individuiamo le attività richieste (il “cosa”) ai sensi delle Istruzioni di vigilanza; ad esempio prendiamo in considerazione [BC-V1] – Obbligo dell’analisi d’impatto (business impact analysis).
Il NIST, nel suo“Contingency Planning Guide for Information Technology Systems [7]” prevede le seguenti fasi per il BIA:
- definire e classificare le risorse IT ed i processi aziendali,
- di identificare le interdipendenze
- di determinare le priorità.
- indichiamo “chi” è il responsabile della attività
- censiamo “come” il responsabile ha svolto le attività.
Rischio potenziale e rischio reale
Inherent risk
Passiamo ora al secondo aspetto: la valutazione del rischio di non conformità.Per ciascuna delle norme dare una valutazione del rischio potenziale (inherent risk secondo la terminologia di ERM) che potrebbe ad esempio essere collegata al danno potenziale che la Banca riceverebbe in caso di mancata conformità alla norma in oggetto. Usiamo ad esempio una scala A, B, C (con A = massimo danno e C = minimo danno) e decidiamo che:
[BI-V1] = A
[BI-V2] = C
[BI-V3] = C
[BC-V1] = B
[ME-A1] = B
[GP-C1] = C
[GP-C2] = C
[GP-C2] = C
Effective risk
Per ogni norma analizzata valutiamo, per mezzo di una check list, quello che è stato effettivamente svolto rispetto alle attività previste.Ad esempio rispetto alla BIA, ci chiediamo:
- Sono state definite e classificare le risorse IT ed i processi aziendali ?
- Sono state identificate le interdipendenze?
- Sono state determinare le priorità?
Nota
La fase di valutazione del rischio (inherent ed effective) va fatte per tutte le attività che rientrano in ambito “sicurezza” (non solo per le attività di sicurezza relative all’analisi dei rischi… e scusate la ricorsione!).Fine seconda parte
Leggi la prima parte [8]
IsacaRoma Neswletter link
- Incontro sulla Compliance – resoconto (prima parte) [9]
- Sicurezza e Compliance: quando il gioco si fa duro [10]
- Incontro sulla Compliance [11]
- KPMG: nuove sfide per la sicurezza delle informazioni [12]
Chi è Manlio Torquato?
Manlio si occupa di sicurezza informatica da tanti anni. È tra i fondatori dell'Associazione Nazionale Esperti di Sicurezza e Compliance (ANESC [13])Per IsacaRoma Newsletter ha scritto:
- NIST: Guida ai Sistemi di Intrusion Detection e Prevention (IDP) [14]
- La macchina del tempo – luglio 2004 [15]
- L’Italia secondo il Critical Information Infrastructure Protection (CIIP) Handbook [16]
- Letture sotto l’ombrellone per i Security Manager [17]
- Phishing – attacco all’autenticazione a due fattori [18]
- Zero day attack [19]
Contatti? [20]