Upload
phamduong
View
218
Download
0
Embed Size (px)
Citation preview
ABI Lab – Centro di Ricerca e Innovazione per la BancaABI Lab – Centro di Ricerca e Innovazione per la Banca
• Nuove Disposizioni di Vigilanza Prudenziale di Banca d’Italia
– Principali elementi di attenzione per i capitoli 8 e 9
• Attività ABI Lab a supporto dell’adeguamento e della GAP Analysis
Agenda
115/04/2014
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaAggiornamento Titolo V: struttura del documento
Capitolo 7: Il sistema dei controlli interni
• Sezione I: Disposizioni preliminari e principi generali
• Sezione II: Il ruolo degli organi aziendali
• Sezione III: Funzioni aziendali di controllo
• Sezione IV: Esternalizzazione di funzioni aziendali (Outsourcing) al di fuori del gruppo bancario
• Sezione V: Il RAF, il sistema dei controlli interni e l’esternalizzazione nei gruppi bancari
• Sezione VI: Imprese di riferimento
• Sezione VII: Succursali di banche comunitarie e di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci o in quelli inclusi in un elenco pubblicato dalla Banca d’Italia
• Sezione VIII: Informativa alla Banca d’Italia
Capitolo 8: Sistema informativo
• Sezione I: Disposizioni di carattere generale
• Sezione II: Governo e organizzazione del sistema informativo
• Sezione III: L’analisi del rischio informatico
• Sezione IV: La gestione della sicurezza informatica
• Sezione V: Il sistema di gestione dei dati
• Sezione VI: L’esternalizzazione del sistema informativo
Capitolo 9: Disposizioni in materia di continuità operativa
• Allegato A – Sezione I: Disposizioni di carattere generale
• Allegato A – Sezione II: Requisiti per tutti gli operatori
• Allegato A – Sezione III: Requisiti particolari per i processi a rilevanza sistemica
ABI Lab – Centro di Ricerca e Innovazione per la Banca 215/04/2014
� Principi di fondo della normativa:
� coinvolgimento vertici aziendali
� visione integrata dei rischi
� efficienza ed efficacia dei controlli
� applicazione delle norme in funzione della dimensione e della complessità operativa
� Principali elementi di novità – focus capitoli 8 e 9 � Definizione dei compiti e delle responsabilità degli organi aziendali con funzione di supervisione
strategica, gestione e controllo.
� Introduzione di una disciplina in materia di esternalizzazione delle funzioni aziendali e del sistema
informativo
� Con riferimento al capitolo 8 sui sistemi informativi, la disciplina è stata integralmente rivista, disciplinando:
� governance e organizzazione del sistema informativo
� gestione del rischio informatico
� requisiti per assicurare la sicurezza informatica e il sistema di gestione dei dati.
� presidi di sicurezza per l’accesso a sistemi e servizi critici tramite il canale internet, recependo le raccomandazioni della BCE in materia di sicurezza dei pagamenti in internet
� Con riferimento al capitolo 9 sulla continuità operativa, la normativa riorganizza le disposizioni
attualmente contenute in diverse fonti in un unico titolo del documento, introducendo le seguenti novità:
� ridefinisce le modalità di gestione delle crisi all’interno del sistema finanziario, definendo il processo di escalation
� formalizza il ruolo del CODISE, quale struttura di coordinamento presieduta da Banca d'Italia
Fon
te: F
on
te:
Co
mu
nic
ato
Sta
mp
a B
anca
d’I
talia
h
ttp
://w
ww
.ban
cad
ital
ia.it
/med
ia/c
om
sta/
20
13
/20
13
0703
_dis
p_v
ig.p
df
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaAggiornamento Titolo V: principali evidenze
ABI Lab – Centro di Ricerca e Innovazione per la Banca 315/04/2014
TEMPISTICHE DI ADEGUAMENTO
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaVersione definitiva
Fon
te: F
on
te:
Co
mu
nic
ato
Sta
mp
a B
anca
d’I
talia
h
ttp
://w
ww
.ban
cad
ital
ia.it
/med
ia/c
om
sta/
20
13
/20
13
0703
_dis
p_v
ig.p
df
� Le disposizioni sono entrate in vigore il giorno di pubblicazione sul sito Internet della Banca d’Italia (3 luglio 2013)
� Secondo quanto riportato nella Circolare n.263 di Banca d’Italia, le banche:
� si conformano alle disposizioni inserite nel capitolo 8 entro il 1°febbraio
2015, in linea con quella fissata dalla BCE per le raccomandazioni in tema di pagamenti internet.
� si conformano alle disposizioni contenute nel capitolo 9 entro il 1°luglio
2014.
� adeguano i contratti di esternalizzazione del sistema informativo (Sezione VI) in essere alla data di entrata in vigore delle presenti disposizioni alla prima scadenza contrattuale e comunque entro tre anni dall’entrata in
vigore (1°luglio 2016).
� Entro il 31 gennaio 2014 i destinatari della disciplina:
� hanno inviato alla Banca d’Italia una relazione recante un’autovalutazione
della propria situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis). La relazione indica le misure da adottare e la
relativa scansione temporale per assicurare il pieno rispetto delle presenti disposizioni.
� hanno comunicato alla Banca d'Italia i contratti di esternalizzazione in
essere alla data di entrata in vigore delle presenti disposizioni e la relativa durata.
ABI Lab – Centro di Ricerca e Innovazione per la Banca 415/04/2014
• INCIDENTE DI SICUREZZA INFORMATICA: qualsiasi evento che implica la violazione
(anche potenziale) delle norme e delle prassi aziendali in materia di sicurezza
informatica (es. frodi, malfunzionamenti, disservizi).
• GRAVE INCIDENTE DI SICUREZZA INFORMATICA: qualsiasi incidente di sicurezza informatica che comporti:
― perdite economiche elevate o prolungati disservizi per l’intermediario, oppure
― disservizi rilevanti sulla clientela e altri soggetti, in relazione al numero di clienti e controparti potenzialmente coinvolti e l’ammontare del rischio, oppure
― il rischio che la banca non possa più adempiere agli obblighi di legge o previsti dalla disciplina di vigilanza.
Tra i principali elementi di novità rispetto alla consultazione, si segnalano:
� il recepimento delle Recommendations for the security of internet payments emanate
dalla BCE il 31 gennaio 2013
� l’introduzione delle definizioni di
� la modifica della definizione di utente responsabile
la figura aziendale identificata per ciascun sistema o applicazione e che ne
assume formalmente la responsabilità, in rappresentanza degli utenti e nei
rapporti con le funzioni preposte allo sviluppo e alla gestione tecnica.
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 8 – Sezione I – Disposizioni di carattere generale
ABI Lab – Centro di Ricerca e Innovazione per la Banca 515/04/2014
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 8 – Sezione II – Governo e organizzazione del sistema informativo
ABI Lab – Centro di Ricerca e Innovazione per la Banca 615/04/2014
� Visibilità agli organi con funzioni di supervisione strategica e con funzione di gestione dei processi di gestione dell’ICT e della gestione dei sistemi informativi: è richiesta un’articolazione organizzativa della funzione ICT che abbia linee di riporto dirette con gli organi al livello dell’organo con funzione di gestione, per garantire l’unitarietà della visione generale e del rischio informatico
� Organizzazione del SI: la norma si pone l’obiettivo di chiarire i ruoli e le attività dei diversi organi aziendali e la loro relazione con un eventuale outsourcer cui sia affidata la gestione del sistema informativo, lasciando al contempo flessibilità organizzativa
� Indipendenza di giudizio della funzione di sicurezza informatica: sul fronte delle soluzioni tecniche, è importante che la funzione di sicurezza informatica mantenga indipendenza di giudizio rispetto alle funzioni operative nell’espletamento dei compiti assegnati. A tal fine, il dialogo interfunzionale dovrebbe essere improntato a favorire la sinergia delle rispettive competenze pur rispettando l’indipendenza nelle valutazioni
POSSIBILI LINEE DI AZIONE
� Assegnazione ruoli e responsabilità (OFSS, OFG, Sicurezza Informatica, Compliance ICT,
ICT Audit)
� Definizione flussi informativi e coinvolgimento organi e strutture competenti per
approvazione attività e controlli
� Definizione struttura organizzativa funzione ICT
PRINCIPALI EVIDENZE
� Coordinamento dei diversi attori coinvolti – Risk Management, Sicurezza Informatica, IT, Utente e, dove previsto, Audit
� È importante prevedere una stretta collaborazione tra le funzioni preposte al governo della variabile informatica e la funzione di risk management/ORM
� La valutazione del rischio potenziale riguarda i nuovi progetti e le modifiche rilevanti al SI, mentre è prevista una valutazione integrativa per le procedure già in esercizio per le quali non è stata svolta l’analisi del rischio in fase di sviluppo
� Indipendenza e flessibilità dell’adeguamento rispetto alla struttura organizzativa definita dalla banca: i diversi attori potranno cooperare in modo funzionale agli obiettivi della normativa indipendentemente dall’assetto organizzativo definito
� Il ruolo dell’utente responsabile: è importante che nella valutazione del rischio e delle soluzioni di mitigazione sia garantito il giusto equilibrio tra il business e le figure con competenze tecniche
POSSIBILI LINEE DI AZIONE� Definizione obiettivi e metodologie di analisi del rischio informatico e correlazione con
l’analisi e la gestione del rischio operativo
� Identificazione della figura dell’utente responsabile
� Valutazione rischio potenziale/effettivo/residuo
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 8 – Sezione III – L’analisi del rischio informatico
ABI Lab – Centro di Ricerca e Innovazione per la Banca 715/04/2014
PRINCIPALI EVIDENZE
PRINCIPALI COMMENTI PROPOSTI IN FASE DI CONSULTAZIONE
� Promuovere una stretta collaborazione tra l’owner del rischio informatico e la funzione di risk
management/Operational risk management (ORM)
� Definire modalità strutturate per interagire con la funzione di risk management, al fine di integrare le valutazioni di carattere tecnologico nel più ampio processo di gestione e analisi del rischio operativo, così come metodologicamente definito da Basilea II e dalle prassi gestionali in campo ORM.
INDICAZIONI BANCA D’ITALIA
• Evidenziata l’importanza di una stretta collaborazione tra utente responsabile e la funzione RM
→ Utente responsabile: collabora all’analisi del rischio di uno specifico sistema di competenza, con l’obiettivo principale dell’individuazione dei presidi di sicurezza da applicare per ottenere un livello di rischio accettabile rispetto alle esigenze del business
→ Funzione di risk management : gestisce il rischio informatico con un’ottica di secondo livello.
� Condivisa l’opportunità di integrare le metodologie dei framework adottati e di sfruttare le
sinergie a livello operativo tra la funzione di risk management e il personale specialistico che collabora alle attività di analisi del rischio informatico.
� Non sono state fornite indicazioni di dettaglio sui modelli di valutazione del rischio e di reporting
da adottare.
ABI Lab – Centro di Ricerca e Innovazione per la Banca 815/04/2014
Focus Sezione III – L’analisi del rischio informaticoInterazioni tra rischio informatico e rischi operativi
Fon
te: I
nte
rven
to B
anca
d’I
talia
-se
min
ario
AB
I Fo
rmaz
ion
e d
el 2
4 s
ette
mb
re 2
01
3
RELAZIONE TRA RAF e RISCHIO ICT
ABI Lab – Centro di Ricerca e Innovazione per la Banca 915/04/2014
Correlazione Rischio Informatico – Rischio Operativo
� Sono esplicitate le attività in carico alla Sicurezza Informatica, che concorre, tra l’altro, al processo di analisi del Rischio Informatico
� È stata svolta l’opera di armonizzazione richiesta delle Disposizioni con altre normative già
emanate in materia, quali:
� le raccomandazioni BCE in materia di sicurezza dei pagamenti internet
� il Provvedimento dell’Autorità Garante per la Protezione dei Dati Personali in materia di circolazione delle informazioni e tracciamento delle operazioni
� le riflessioni in atto in materia di data e information governance
al fine di ridurre la complessità in fase di adeguamento e non creare disallineamenti operativi
� Analogamente a quanto indicato nel Capitolo 9 per quanto attiene la continuità operativa, viene prevista una procedura di escalation attraverso la quale valutare la gravità degli
incidenti di sicurezza informatica e individuare di conseguenza le funzioni a cui comunicare
l’incidente
POSSIBILI LINEE DI AZIONE
� Processo di redazione e approvazione policy sicurezza informatica
� Gestione delle operazioni critiche
� Prevenzione/gestione degli incidenti di sicurezza informatica
� Interventi tecnologici per il presidio della sicurezza
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 8 – Sezione IV – La gestione della sicurezza informatica
ABI Lab – Centro di Ricerca e Innovazione per la Banca 1015/04/2014
PRINCIPALI EVIDENZE
* B
anch
e, is
titu
ti d
i pag
amen
to, i
stit
uti
di m
on
eta
elet
tro
nic
a, P
ost
e e
tram
ite
app
osi
te c
lau
sole
co
ntr
attu
ali a
nch
e ag
li o
uts
orc
er c
oin
volt
i
OBIETTIVO GENERALE• Definire i requisiti minimi indirizzati a PSP*, Autorità di governo di schemi e sistemi di pagamento ed e-
merchant, da applicare nell’erogazione di pagamenti tramite cards, credit transfers, e-mandate ed e-money
STRUTTURA del DOCUMENTO• Le 14 Recommendations sono organizzate in 3 categorie:
• Controlli generali (Racc. 1-5);
• Controlli specifici e misure di sicurezza per i pagamenti internet (Racc. 6-11);
• Comunicazione con la clientela e customer awareness (Racc. 12-14);
composte da Key Considerations e Best Practices.
IMPATTI PER LE BANCHE• Secondo quanto previsto dai principi guida fondanti le raccomandazioni, sono previste le seguenti attività:
• Realizzazione di un assessment specifico dei rischi connessi all’offerta dei servizi di pagamento online (fornite indicazioni di carattere organizzativo e operativo);
• Introduzione di strumenti di strong authentication in fase di accesso ai servizi on line;• Implementazione di procedure efficaci in merito all’autorizzazione e monitoraggio delle transazioni per
identificare comportamenti anomali e prevenire le frodi;• Promozione di iniziative di sensibilizzazione della clientela.
TEMPI DI IMPLEMENTAZIONE
• A livello nazionale, le raccomandazioni sono recepite da Banca d’Italia e inserite nelle Nuove Disposizioni di
Vigilanza Prudenziale.
• La scadenza per il recepimento è prevista per il 1 febbraio 2015
ABI Lab – Centro di Ricerca e Innovazione per la Banca 1115/04/2014
Focus sulle Raccomandazioni BCE in materia
di sicurezza dei pagamenti Internet 1/2
FOCUS – LA DEFINIZIONE di STRONG AUTHENTICATION
• Uno degli elementi su cui è necessario puntare l’attenzione riguarda la definizione
adottata di “strong authentication” che include anche i requisiti di non-reusabilità e non
replicabilità di almeno uno dei mezzi utilizzati.
• Nella KC 7.1, sono stati al contempo elencati esplicitamente i casi in cui i PSP possono adottare misure alternative di autenticazione della clientela:
� pagamenti verso beneficiari sicuri, precedentemente inseriti in apposite white list;
� transazioni tra due account dello stesso cliente presso lo stesso PSP;
� trasferimenti all’interno dello stesso PSP giustificati dalla risk analysis;
� pagamenti di importi ridotti, come previsto nella PSD.
“Second, as a general principle, the initiation of internet payments as well as access to sensitive payment data
should be protected by strong customer authentication. For the purpose of this report, sensitive payment data are
defined as data which could be used to carry out fraud. […]
Strong customer authentication is a procedure based on the use of two or more of the following elements –
categorised as knowledge, ownership and inherence: i) something only the user knows, e.g. static password, code,
personal identification number; ii) something only the user possesses, e.g. token, smart card, mobile phone; iii)
something the user is, e.g. biometric characteristic, such as a fingerprint. In addition, the elements selected must
be mutually independent, i.e. the breach of one does not compromise the other(s). At least one of the elements
should be non-reusable and non-replicable (except for inherence), and not capable of being surreptitiously stolen
via the internet. The strong authentication procedure should be designed in such a way as to protect the
confidentiality of the authentication data”
ABI Lab – Centro di Ricerca e Innovazione per la Banca 1215/04/2014
Focus sulle Raccomandazioni BCE in materia
di sicurezza dei pagamenti Internet 2/2
� A livello aziendale viene prevista la definizione di uno standard di data governance, individuando ruoli e responsabilità delle funzioni coinvolte nel trattamento e la gestione dei dati
� Il processo di gestione dei rischi, la cui definizione è a cura dell’organo con funzione di gestione, comprende le fasi di identificazione, misurazione, valutazione, monitoraggio, prevenzione o attenuazione dei rischi connessi con la qualità dei dati
� È necessario documentare e presidiare le procedure inerenti la gestione e l’aggregazione dei dati, i processi di acquisizione di dati da information provider e le procedure di estrazione dei dati, di trasformazione, controllo e caricamento negli archivi centrali
POSSIBILI LINEE DI AZIONE
� Definizione e approvazione standard di data governance
� Correlazione gestione dati con gestione rischi
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 8 – Sezione V – Il sistema di gestione dei dati
ABI Lab – Centro di Ricerca e Innovazione per la Banca 1315/04/2014
PRINCIPALI EVIDENZE
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 8 – Sezione VI – L’esternalizzazione del sistema informativo
� Outsourcing extragruppo: l’esternalizzazione completa o parziale del sistema informativo al di fuori del gruppo deriva da una scelta aziendale basata sull’analisi del rischio.
� Previsione di exit strategies: potrebbe apparire complessa nelle realtà di più piccole dimensioni, per cui andrebbe vista come capacità della banca di poter definire adeguatamente con l’outsourcer
� flussi informativi
� livelli di servizio
� policy di sicurezza
� clausole di recesso
� Outsourcing infragruppo: alla luce delle operazioni di razionalizzazione delle attività all’interno dei gruppi bancari che ha portato alla creazione di società strumentali, le previsioni in materia di esternalizzazione si applicano solo al caso di affidamento di attività all’esterno del gruppo
POSSIBILI LINEE DI AZIONE
� Analisi criteri di esternalizzazione
� Analisi requisiti contratto di fornitura di Sistemi e Servizi ICT
ABI Lab – Centro di Ricerca e Innovazione per la Banca 1415/04/2014
PRINCIPALI EVIDENZE
� Il documento integra diverse normative già esistenti in un unico quadro, un capitolo all’interno del quale sono inserite, in un allegato, le nuove disposizioni. Più in dettaglio:
Capitolo 9: Disposizioni in materia di continuità operativa
• Allegato A – Sezione I: Disposizioni di carattere generale
• Allegato A – Sezione II: Requisiti per tutti gli operatori
• Allegato A – Sezione III: Requisiti particolari per i processi a rilevanza sistemica
STRUTTURA DEL CAPITOLO
destinatari della nuova disciplina
nuove definizioni e terminologie
precedentemente disciplinata nel 2007
precedentemente disciplinata nel 2004
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 9 – Integrazione del tema della continuità operativa
ABI Lab – Centro di Ricerca e Innovazione per la Banca 1515/04/2014
PRINCIPALI EVIDENZE
� Viene infatti previsto, a differenza del testo precedente, che in caso di incidente si comunichi quanto accaduto e le relative conseguenze che hanno impattato la banca alle strutture preposte alla dichiarazione dello stato di emergenza.
� Per molte realtà, tuttavia, sarà
necessario del tempo per recepire questa novità.
� La principale novità delle nuove Disposizioni è l’introduzione del tema dell’Incident Management nella normativa, che raccoglie un’esigenza nata già in alcune banche per ottimizzare l’efficacia del Business Continuity Plan e oggetto di molte progettualità.
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 9 – Integrazione fra Incident e Crisis Management
ABI Lab – Centro di Ricerca e Innovazione per la Banca 1615/04/2014
PRINCIPALI EVIDENZE
� Le previsioni relative ai processi a rilevanza sistemica si applicano solo ad alcuni
soggetti, caratterizzati da particolare rilevanza per il mercato.
� A seguito dell’emanazione delle nuove Disposizioni, ci si attende un nuovo flusso di
comunicazioni nominative che confermi i soggetti tenuti all’osservanza di tali requisiti.
Soggetti
2 … N
1
3
…
N
2
XX
XX
X
X X
X
Se
rviz
i
1 3
� Per maggiore chiarezza, Banca d’Italia indicherà a ciascun operatore i processi a rilevanza sistemica di pertinenza.
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 9 – Processi a rilevanza sistemica
ABI Lab – Centro di Ricerca e Innovazione per la Banca 1715/04/2014
PRINCIPALI EVIDENZE
� È stata introdotta una novità nella modalità di valutazione dei tempi di
ripartenza: in particolare il rispetto dei tempi prefissati decorre dalla
dichiarazione dello stato di crisi. Questo rappresenta una discontinuità forte
con impatti procedurali, che richiederà alle banche di lavorare sui processi
decisionali per potersi adeguare.
� Tale previsione riguarda normativamente i soli processi a rilevanza sistemica.
� Per una maggiore chiarezza espositiva, sono state inserite nella normativa delle definizioni dei diversi tempi contemplati dalle Disposizioni.
� È stato disciplinato il caso di blocco dei processi a rilevanza sistemica degli altri operatori che determinano a cascata il blocco dei processi a rilevanza
sistemica della banca. Il tempo di ripartenza per questi ultimi è di due ore.
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 9 – Tempi di ripristino
ABI Lab – Centro di Ricerca e Innovazione per la Banca 1815/04/2014
PRINCIPALI EVIDENZE
� Aggiornamento del piano di continuità operativa: in carico all’Organo con funzione di gestione, è rilevante aggiornare il piano di CO alla luce delle innovazioni dal punto di vista organizzativo, tecnologico e infrastrutturale. Il responsabile del piano di CO è incaricato di verificare l’adeguatezza del piano con cadenza almeno annuale.
� Revisione dell’analisi di impatto: alla luce di quanto previsto dalle Nuove Disposizioni, risulta strategica un’attenta e dettagliata attività di revisione della Business Impact Analysis.
� Fornitori critici: è in atto un notevole sforzo da parte delle banche per coinvolgere i fornitori critici in un processo di condivisione e scambio di informazioni. Questo ambito si conferma complesso da portare a termine.
Disposizioni di Vigilanza Prudenziale di Banca d’ItaliaCapitolo 9 – Ulteriori spunti
ABI Lab – Centro di Ricerca e Innovazione per la Banca 1915/04/2014
PRINCIPALI EVIDENZE
Il questionario di Gap AnalysisCapitolo 8 – Il sistema informativo
ABI Lab – Centro di Ricerca e Innovazione per la Banca 2015/04/2014
Agenda
2115/04/2014
• Nuove Disposizioni di Vigilanza Prudenziale di Banca d’Italia
– Principali elementi di attenzione per i capitoli 8 e 9
• Attività ABI Lab a supporto dell’adeguamento e della GAP Analysis
� Realizzazione di un documento con osservazioni e commenti a supporto della lettura e della
comprensione del testo delle disposizioni, al fine di evidenziare i principali punti da considerare in
fase di adeguamento e i relativi impatti.
1. Redazione di un COMMENTARIO
Output 1: Foglio
di lavoro
Output 2:
Documento di
sintesi
Ma
teri
ale
dis
po
nib
ile
su
l p
ort
ale
AB
I La
b
ABI Lab – Centro di Ricerca e Innovazione per la Banca 2215/04/2014
Le attività a supporto dell’analisi delle disposizioniCommentario e foglio di lavoro
ABI Lab – Centro di Ricerca e Innovazione per la Banca 23
A seguito degli ultimi incontri e discussioni sul tema, è stato revisionato il commentario, diffuso al gruppo di lavoro nel mese di novembre. È disponibile, sul portale ABI Lab, la versione definitiva.
Nel documento sono inserite tutte le disposizioni presenti nella Circolare 263: alcuni degli aspetti di novità sono stati approfonditi e commentati da chi ha partecipato all’attività di prima stesura del documento.
Ringraziamo i partecipanti al tavolo di lavoro che hanno contribuito alla realizzazione del commentario attraverso l’invio di commenti e feedback che sono stati raccolti e integrati da ABI Lab.
ABI Lab – Centro di Ricerca e Innovazione per la Banca 2315/04/2014
Il commentario alle DisposizioniLa versione finale
� A supporto della realizzazione dell’attività di gap analysis, può essere utile individuare i principali filoni progettuali di adeguamento e le attività previste per ciascuno di essi.
2. Individuazione MACRO FILONI PROGETTUALI
I MACRO PROGETTI INDIVIDUATI
� I Macro Progetti individuati verranno ripresi e analizzati nelle slide successive riguardanti il questionario
di Gap Analysis (pubblicato sul sito di Banca d’Italia) per considerazioni specifiche su singoli item.
Ma
teri
ale
dis
po
nib
ile
su
l p
ort
ale
AB
I La
b
ABI Lab – Centro di Ricerca e Innovazione per la Banca 2415/04/2014
Le attività a supporto dell’analisi delle disposizioniI filoni progettuali di riferimento
Ma
teri
ale
dis
po
nib
ile
su
l p
ort
ale
AB
I La
b
ABI Lab – Centro di Ricerca e Innovazione per la Banca 2515/04/2014
Ambiti di aggregazione progettualeCapitolo 8
ABI Lab – Centro di Ricerca e Innovazione per la Banca 2615/04/2014
Ambiti di aggregazione progettualeCapitolo 9
Ma
teri
ale
dis
po
nib
ile
su
l p
ort
ale
AB
I La
b
CLASSIFICAZIONE DELLE MINACCE
Scenario*
Minaccia
*5 scenari individuati: Cause organizzative – Errori umani –
Guasti tecnici – Atti intenzionali – Eventi esterni disastrosiL2 correlati
Asset
Fon
te: S
icu
rezz
a in
tegr
ata
in b
anca
, AB
I Lab
, 20
07
ABI Lab – Centro di Ricerca e Innovazione per la Banca 2715/04/2014
Approfondimento su gestione del rischio di sicurezzaCorrelazione tra minacce – rischio informatico – rischio operativo