Embed Size (px)
Citation preview
Using
Risk Management
Sessione di studio Torino 28/11/2013
Paolo Bocchiola
2
• Definizione
• Risk Appetite
• Risk Management
• Using COBIT5 for Risk
• Risk Function
perspective
• Risk Management
perspective
• Risk response
• Benefici
© 2013 ISACA. All rights reserved
Agenda
http://www.isaca.org/COBIT/Pages/Risk-product-page.aspx
3
Cobit5 for Risk è un
framework in grado di
supportare gli standard di
mercato nella definizione
delle procedure di Risk
Management
© 2013 ISACA. All rights reserved
Allienamento con gli
Standard
ISO 31000:2009
Cobit5 for Risk copre tutti i
principi di questo standard con i
propri enablers, e ne espande i
concetti per quanto concerne IT
Risk Management
ISO 27005:2011
Cobit5 for Risk considera tutti i
rischi e non solo quelli legati ad
InformationSecurity.
Inoltre definisce enfatizzandoli i
processi di allinemento con gli
obbiettivi di business.
CoSO-ERM
Cobit5 for Risk, seppure meno
focalizzato sui controlli, copre
tutti i principi di questo standard
e ne espande i concetti per
quanto concerne nell’utilizzo dei
modelli di governance
nell’enterprise
4
Un rischio è genericamente definito
come la combinazione di una
probabilità di un evento e dell’
impatto delle sue conseguenze.
(ISO Guide 73)
© 2013 ISACA. All rights reserved
IT Risk Definition
IT Risk o Rischio IT è il Rischio
Operativo associato all’uso, al
possesso, al coinvolgimento
operativo, all’influenza ed alla
adozione della IT nel contesto
aziendale.
Il Rischio IT non è solo
Information Security ma può
colpire ogni processo.
5
Risk Appetite o la propensione al rischio rappresenta il livello di rischio che un organizzazione è disposta ad accettare in assenza di ogni azione richiesta per minimizzarla. Il Risk Appetite di ogni singola azienda è una decisione strategica del management e si può classificare con i seguenti livelli:
© 2013 ISACA. All rights reserved
Risk Appetite
La propensione al rischio è uno dei
pilastri dell’imprenditoria:
nei secoli solo chi ha saputo rischiare
in modo calcolato ha ottenuto il
massimo dei profitti portando
innovazione e ridefinendo il mercato.
Avverso
Minimo
Cauto
Aperto
Affamato
6
Possiamo suddividere IT RISK nelle seguenti categorie
© 2013 ISACA. All rights reserved
Risk Management
Associato con le mancate opportunità di
usare le nuove tecnologie per migliorare
l’efficienza del business o per aprire a
nuove iniziative
Associato con Il contributo che IT può
dare al business in termini di nuovi
processi e progetti di investimento
Associato con tutti gli aspetti del
“business as usual” dei sistemi e dei
servizi IT che possono portare al
danneggiamento o alla riduzione del
valore d’impresa.
7 © 2013 ISACA. All rights reserved
Ciclo del Rischio IT
Governance
Management
8
Le procedure di IT Risk management si possono riassumere in queste cinque macro funzioni:
© 2013 ISACA. All rights reserved
Risk Management
COBIT5 for Risk applica i principi
generali di COBIT secondo lo
schema:
•Far crescere nell’organizzazione la coscienza della gestione dell’IT Risk e del sui impatto sui sistemi, sugli assets, sui dati e sulle capacità operative. Identificare
•Sviluppare ed implementare le appropriate contromisure atte a mitigare i rischi nell’effettuazione dei servizi critici di un azienda,seguendo le
priorità stabilite nel processo aziendale di risk management Proteggere
•Sviluppare ed implementare i meccanismi di identificazione di possibili minacce. Rilevare
•Sviluppare ed implementare le attività necessarie per rispondere ad un attacco, seguendo le priorità stabilite nel processo aziendale di risk
management. Rispondere
•Sviluppare ed implementare le attività necessarie per riprendere i processi ed I servizi critici che sono stati oggetto di un incidente,
seguendo le priorità stabilite nel processo aziendale di risk management. Ripristinare
9
COBIT5 for Risk permette di raggiungere il risultato di gestire il rischio IT dando due prospettive
© 2013 ISACA. All rights reserved
COBIT5 for Risk
Risk Function perspective:
che descrive cosa è necessario per
costruire e sostenere un processo
aziendale di governo e gestione dei
principali rischi
Risk Management perspective:
che descrive come i processi di
governo e gestione definiti possano
essere utilizzati per identificare,
proteggere, rilevare, rispondere, e
ripristinare i processi critici su base
giornaliera.
10
Nella RISK Function Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l’uso degli Enablers
© 2013 ISACA. All rights reserved
Risk Function
Perspective
11 © 2013 ISACA. All rights reserved
Processi COBIT di
Supporto
12
Nella RISK Management Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l’uso di: • Dei processi principali di IT Risk
Management, che devono essere utilizzati per implementare procedure efficaci di risk management che forniscano valore aggiunto per gli Stakeholders
© 2013 ISACA. All rights reserved
Risk Management
Perspective
Questi processi contengono le attività di Risk Function e:
They support the enterprise in obtaining stakeholder value and enterprise objectives while optimising resources and risk
13
Nella RISK Management Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l’uso di: • Dei processi principali di IT Risk
Management, che devono essere utilizzati per implementare procedure efficaci di risk management che forniscano valore aggiunto per gli Stakeholders
• Dei cosiddetti Risk Scenarios, ossia dei possibili fattori di rischio che danno una misura immediata dello stesso.
© 2013 ISACA. All rights reserved
Risk Management
Perspective
I cosiddetti Risk Scenario sono una descrizione dei possibili eventi che se si verificano possono avere un impatto non determinabile sugli obbiettivi aziendali. Sappiamo che possiamo definire gli scenari partendo dalla figura qui sopra in cui l’elenco completo dei possibili scenari può essere ottenuto combinando tutti i possibili fattori
14
Nella RISK Management Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l’uso di: • Dei processi principali di IT Risk
Management, che devono essere utilizzati per implementare procedure efficaci di risk management che forniscano valore aggiunto per gli Stakeholders
• Dei cosiddetti Risk scenarios, ossia dei possibili fattori di rischio che danno una misura immediata dello stesso.
© 2013 ISACA. All rights reserved
Risk Management
Perspective
I possibili scenari ottenuti dalla combinazione delle tipologie
descritte sopra sono 111 suddivisi in 20 categorie e sono tutti riportati in
COBIT 5 For Risk.
Come descritto in precedenza uno scenario di rischio può diventare un
opportunità se si considerano gli aspetti positivi.
15
Nella RISK Management Perspective COBIT 5 for Risk definisce la risposta ai Rischi attraverso l’uso di: • Dei processi principali di IT Risk
Management, che devono essere utilizzati per implementare procedure efficaci di risk management che forniscano valore aggiunto per gli Stakeholders
• Dei cosiddetti Risk scenarios, ossia dei possibili fattori di rischio che danno una misura immediata dello stesso.
• Dei COBIT 5 enablers, che devono essere usati per mitigare il rischio.
© 2013 ISACA. All rights reserved
Risk Management
Perspective
16
Occorre definire un workflow e COBIT5 for Risk ci dice come: 1) Valuta tutti gli scenari indicati da
COBIT 2) Fai un assessement degli scenari
con gli obbiettivi del Management 3) Definisci una Risk Map. 4) Valuta con il management se i
rischi eccedono la propensione 5) Aggiungi degli scenari non previsti
ma possibili 6) Ripeti l’assessment ad intervalli
regolari, dettati dalla priorità data allo scenario
© 2013 ISACA. All rights reserved
Si…ma in pratica?
17
Definiti gli scenari COBIT 5 ci permette di fare un risk assessment e di calcolare probabilità ed impatto, utilizzando per il secondo anche grandezze eterogeene
© 2013 ISACA. All rights reserved
Risk Assessment
1. Occorre definire una frequenza su base annua Anualized Rate of Occurency (ARO)
2. Occorre definire con il business delle categorie di impatto. Single Loss Expectation (SLE)
Il prodotto ARO* SLE è ciò che deve
essere notificato al Senior
Management
ARO * SLE = ALE
(Anualized Loss Expectation)
Ovviamente più il valore ottenuto è
alto più il Rischio è Critico.
18
Dai Process Enablers mi è facile definire tutti i componenti usando come riferimento il capitolo 5 del manuale COBIT 5 Enabling • IT Related Goals and Metrics • Process Goals and Metrics
© 2013 ISACA. All rights reserved
Risk Assessment
19
Dai Process Enablers mi è facile definire tutti i componenti usando come riferimento il capitolo 5 del manuale COBIT 5 Enabling • IT Related Goals and Metrics • Process Goals and Metrics • RACI Charts Mappings
© 2013 ISACA. All rights reserved
Si…ma in pratica?
20
Dai Process Enablers mi è facile definire tutti i componenti usando come riferimento il capitolo 5 del manuale COBIT 5 Enabling • IT Related Goals and Metrics • Process Goals and Metrics • RACI Charts Mappings • Input/output e Activities dei singolo
sottoprocesso.
© 2013 ISACA. All rights reserved
Risk Assessment
21
A questo punto ho tutti i parametri per definire con il managment il cosiddetto Risk Response Workflow
© 2013 ISACA. All rights reserved
Si…ma in pratica?
Posso decidere che tipo di risposta dare al mio scenario di rischio
Posso decidere quali parametri utilizzare per gestire il rischio
Posso decidere la priorità con cui affrontare i rischi derivati dagli scenari
22
Posso ora riportare al management i dati del mio Inherent risk e sulla base del loro Risk Appetite definire una Risk Tollerance. Se il rischio deve essere gestito allora occorre definire i cosiddetti Key Risk Indicators (KRI)
© 2013 ISACA. All rights reserved
Risk Response
I Key Risk Indicators devono essere implementati nei processi per fornire puntualmente lo stato di esposizione ad un particolare rischio e fornire un utile indicazione al management. Il calcolo dei KRI è un processo continuo che deve essere implementato a livello operativo e la cui verifica deve essere fatta dal mamagement.
Key Risk High Level KRI Calculation Amber Red Control
Frequency
Entitlement review
Number of systems in scope for entitlement
reviews for which the entitlements have not been
reviewed on time
0 1 Semiannual
Functional ID inventoryPercentage number of missing functional ID’s
within Ffunctional ID inventory3% 5% Monthly
FID entitlement reviewCalculate percentage number of Functional IDs not
being reviewed.3% 5% Monthly
Joiners Information Security
Training
Number of New Hires not having met the
Mandatory IS training requirements after 90 days0 1 Monthly
Leavers Information Security
Exit Checklist
Number of leavers with no IS Exit Checklist
completed0 1 Monthly
Independent Audit log
Review function
Percentage of Severs/devices/instances without
independant audit trail log review3% 5% Monthly
Audit tool/facility - Log
Review exceptions
Percentage of unjustified exceptions within the
appropriate period.3% 5% Monthly
23
COBIT definisce la misura del livello di maturità oltre che con i risk indicators anche con i Capability Levels.
© 2013 ISACA. All rights reserved
Benefici
Per ottenere questo ricorro al process assessment (PAM) di Cobit. Posso analizzare ogni singolo processo e definire il livello di attuazione di Best Practices e work products, ricavate dagli enablers dei processi per determinare il capability level
QUESTIONS &
COMMENTS
© 2013 ISACA. All rights reserved
Paolo Bocchiola Senior Consultant
IT Risk Management/IT Auditing +393357492587
[email protected] www.paolobocchiola.com
