PREVENZIONE ITALIA 2005
Roma, 16 giugno 2005
Business continuity e approccio
integrato alla gestione della sicurezza
Vincenzo Mirko Carlone
Associazione Bancaria Italiana
Settore Ricerca, ABI Lab
Indice
 Le attività sulla continuità operativa nel sistema finanziario italiano











Lo scenario
Il Sistema Italia
La risposta delle banche
Le continuità operativa
Le attività svolte sulla continuità operativa
I servizi infrastrutturali e le utilities
Il piano di Sistema
Le istruzioni di vigilanza sulla continuità operativa
Gli elementi normativi per la gestione della BC
La Metodologia ABI Lab
Le crescenti necessità delle banche verso gli outsourcer
 Costi e rischio operativo in ottica Basilea II
 Il nuovo approccio integrato alla sicurezza
-2-
Lo scenario
I cambiamenti e le evoluzioni del contesto economico e sociale
hanno modificato il profilo dei rischi che le imprese devono
affrontare.
• nuovi metodi di
valutazione del contesto
• approccio integrato alla
gestione della sicurezza
• misure di sicurezza,
anche organizzative,
a presidio di tutte le risorse
-3-
Il Sistema ITALIA
Sistema Paese
Sistema bancario
• Sicurezza per i cittadini e
le imprese
• Funzionamento servizio
bancario
• disponibilità servizi vitali
• funzionamento dei mercati
Telecommunication
Networks
Si
Si
2 X Cisco
10008
(multicast)
Multicast
Multicast
BB_GEN
Taramelli
2 X Cisco
10008
(multicast)
BB_GEN
Roncaglia
NS5200
NS5200
(vpn)
(vpn)
NS5200
NS5200
(vpn)
(vpn)
BS
23 0
BB_ESTER
PI
23 5
GE
20 8
TO
20 5
BI
22 1
NO
20 7
Ve
23 3
_1
BB_TELECOM
_3
BB_TELECOM
_2
BB_TELECOM
Si
6500
T1
TELECOM 1
10.115/16
Si
SSii
6500
6500
7200
7200
3600
Mi
29 33600
Si
6500
MO
23 4
UD
23 2
TN
23 1
Mi
226
CARRIER
S
ROUTER
S
Si
6500
7200
7200
3600
3600
Financial
Services
PD
20 6
_1
Si
6500
PR
22 7
_1
BB_TELECOM
_3
BB_TELECOM
_2
BB_TELECOM
Mi
260
_1
Vr
20 3
BB_ESTER
O2
BB_ESTER
O1
BB_FASTWEB
_2
BB_FASTWEB
O2
BB_ESTER
O1
BB_FASTWEB
_2
BB_FASTWEB
Mi
29 7
Mi
22 9
T2
TELECOM 2
10.116/16
T3
TELECOM 3
10.117/16
Mi
F1
FASTWEB 1
10.113/16
F2
Mi
FASTWEB 2
24 1
10.114/ 16
Estero 1
10.121/ 16 Mi
Estero 2
29 7
10.122/ 16
E1
Mi
29 0
Mi
228
Trading
Mi
202
Non-euro
Non-euro
Correspondents Retail
Fi
22 0
Rm
21 1
cliente dual
Carrier ESTERO
cliente doppio carrier
TELECOM / FASTWEB
F1 - T3
BKC
Mi
29 6
Mi
29 1
E2
cliente Mono
Carrier
TELECOM
dual VRF T1-T2
BK24B2
BKA
Credit Institution
Mi
29 5
large-value and
cross-border
payments
Money
market
((e-MID)
e-MID)
Security transactions
MTS
Borsa
OTC
Bo
20 4
Rm
21 3
RRG
Rm
210
Rm
209
Clearing
BI-COMP
EXPRESS 2
Electric
Grid
Settlement
Rm
21 5
Rm
21 6
Le
23 8
Ba
22 4
Na
22 3
BI-CB
An
23 7
Banca d’Italia
Pg
23 6
BIREL
Pa
22 2
DVP
EXPRESS
Monte Ti toli
collateral
TARGET
Monte Titoli - CSD
Financial
Networks
multilateral balance
E’ stata avviata da tutti i principali attori del sistema paese un’azione di presidio su le
infrastrutture critiche
-4-
La risposta delle banche
Priorità di investimento in ICT per il 2004 delle banche italiane.
10
IT governance e Cost control
Risk management
Adeguamento alle norme IAS
Business Continuity/Sicurezza
CRM
Adeguamento SI delle filiali
EAI - Progetti di integrazione
Multicanalità
Fonte: Assinform 2004 - Campione di 114 banche
0
Business Intelligence
Costi/Rischio e Business Continuity
-5-
La continuità operativa
• Interdipendenza delle
infrastrutture
• necessari differenti
La continuità operativa è definita
come “l'insieme di tutte le iniziative
volte a ridurre a un livello ritenuto
accettabile i danni conseguenti a
incidenti e catastrofi che colpiscono
direttamente o indirettamente
un’azienda”.
Bollettino di vigilanza BdI, luglio 2004.
“livelli” di analisi:
–
core financial services
–
financial network
–
telecommunications
–
utilities
High
Low
-6-
Le attività svolte sulla continuità operativa
In seguito agli eventi disastrosi dell’11 settembre le Banche Centrali hanno avviato
un processo di definizione delle misure da adottare per garantire la continuità di
esercizio sia a livello di sistema che di singolo operatore.
Le attività di
Banca d’Italia
• Primavera 2002: avvio iniziative di coordinamento
• Luglio 2004: normativa “Gestione della continuità
operativa” per le banche;
• Novembre 2004: “Linee guida per la continuità di
servizio delle infrastrutture qualificate dei sistemi di
pagamento”.
Il cammino
dell’ABI
• Partecipazione alle attività
coordinate da Banca d’Italia;
• Metodologia per la realizzazione del
piano di continuità operativa;
• Coinvolgimento terze parti e
infrastrutture critiche.
-7-
Le iniziative dell’ABI in merito ai servizi
infrastrutturali e le utilities
L’ABI ha intrapreso numerose iniziative al fine di supportare le banche nell’analisi
della continuità offerta sui servizi infrastrutturali e le utilities
dagli operatori del sistema Paese
Infrastrutture
critiche
Approfondimento della “Protezione delle infrastrutture critiche
informatizzate” promosso dalla Presidenza del Consiglio dei Ministri
Adesione al GdL Infrastrutture critiche di telecomunicazione
promosso da Ministero delle Comunicazioni.
Partecipazione ai sotto-gruppi di approfondimento:
Telecomunicazioni Servizi e Sicurezza
analisi dei rapporti di outsourcing instaurati o instaurabili dalle infrastrutture critiche
Gestione delle emergenze e degli incidenti
analisi della gestione delle emergenze ICT “locali”
Avvio dell’approfondimento sulla tematica con i distributori di energia
e il GRTN attraverso il consorzio costituito ABI Energia
-8-
Il piano di sistema
Banca d’Italia sta approfondendo le modalità di gestione del piano di continuità
di sistema con gli operatori e le banche di rilevanza sistemica
Dialogo diretto con
la Vigilanza
ICBPI
“Linee guida per la continuità di servizio
delle infrastrutture qualificate dei sistemi
di pagamento”
Servizi Vitali in corso di approfondimento
• Compensazione e regolamento: BI-REL, Target, Clearing e regolamento (Express II),
Gestione conti in titoli (CSD), Servizi di controparte centrale (CCP), RRG)
• Mercati monetari e finanziari: Mercato Interbancario dei depositi (e-MID), Operazioni
di politica monetaria (Aste BCE), Pronti controtermine su MTS
• Procedure interbancarie retail: Bancomat
-9-
Le istruzioni di vigilanza
sulla continuità operativa
Approccio normativo flessibile, basato sulla responsabilizzazione delle banche
che agiscono nel rispetto di raccomandazioni ed orientamenti, focalizzando gli
interventi prioritariamente sui propri processi critici autonomamente definiti
Normativa Banca d’Italia sulla
“Gestione della continuità
operativa” Bollettino di
Vigilanza luglio 2004
Scadenze per le banche


Gruppi bancari con attivo consolidato > 5 mld €:
- Stato Avanzamento Lavori entro marzo 2005
- pianificazione BC entro giugno 2005
- adeguamento DR entro giugno 2005
Altre Banche:
- piano di continuità entro 2006
- 10 -
Gli elementi normativi per la gestione della
business continuity
percorso strutturato sulla base degli
elementi previsti dalla normativa
Banca d’Italia del 15 Luglio 2004 sulla
“Gestione della continuità operativa”
4.1 Ruolo dei
vertici aziendali
4.3
Responsabilità
del piano
3. Ambito del piano 4.7
di continuità
Esternalizzazione
operativa
delle attività
critiche
3.1 Correlazione ai
rischi
4.8 Infrastrutture e
controparti
4.2 Processi critici rilevanti
5. Requisiti
particolari
4.4 Contenuto del
piano
4.6 Risorse
umane
4.5 Verifiche
4.9 Controlli
interni
4.10
Comunicazioni
alla Banca d’Italia
- 11 -
La Metodologia ABI di BC:
gli obiettivi e gli output
Metodologia per la realizzazione del Piano di Continuità Operativa
- 12 -
Le crescenti necessità delle banche verso gli
outsourcer
La continuità delle attività critiche in
outsourcing, in base alla nuova normativa,
rende necessaria una maggiore
responsabilizzazione dell’outsourcer sulla
qualità del servizio offerto e sulla continuità
Processo A
Relazioni “complesse” e
regolate da contratti
Processo C
Processo
Outsourcer
Caso di Outsourcing
Si denota una sempre maggiore
attenzione alla definizione di livelli di
servizio contrattuali dettagliati per
tipologia di servizio
Fonte: ABI CIPA, Rilevazione sullo stato dell’automazione del
sistema creditizio, 2004, 145 banche
- 13 -
Indice
 Le attività sulla continuità operativa nel sistema finanziario italiano
 Costi e rischio operativo in ottica Basilea II




Le fasi metodologiche: la sicurezza e i rischi secondo Basilea II
Le fasi metodologiche: l’approccio unitario dei rischi operativi
Le prossime attività dell’ABI in merito alla business continuity
Le azioni cooperative dell’ABI per supportare il sistema bancario
 Il nuovo approccio integrato alla sicurezza
- 14 -
Costi e rischio operativo (Basilea II)
Il percorso sulla
Business Continuity,
che le banche
devono sviluppare
per il 2006, presenta
numerosi punti di
contatto con
l'approccio sui
rischi operativi
indicato dagli accordi
di Basilea.
• individuazione dei
processi critici
• soluzioni di mitigazione
dei rischi
• analisi costi/benefici per
il contenimento dei costi
operativi
- 15 -
Le fasi metodologiche: la sicurezza e i rischi
secondo Basilea II
I rischi operativi insistono trasversalmente sui processi della banca creando
una stretta relazione tra la gestione dei rischi e l’analisi degli impatti
legati alla Business Continuity.
FRODI
INTERNE
Attività non
autorizzate
Furti e
frodi
FRODI
ESTERNE
Furti e
frodi
Crimini
informatici
CONTRATTO DI
LAVORO E
SICUREZZA DEL
CLIENTI,
PRODOTTI E
PRATICHE DI
DANNI O
PERDITA
DI BENI
POSTO DI LAV.
BUSINESS
MATERIALI
Fiducia, privacy
e relazioni con
il cliente
Disastri naturali
o altri eventi
Relazioni
sindacali
Sicurezza
sul lavoro
Discriminazioni
Pratiche
di business o
di mercato
improprie
Vizi
di prodotto
Selezione,
spons. e limiti
di esposizione
Principali tipologie di rischi
operativi connessi alla BC
Attività di consul.
informativa
IT E
APPLICATIVI
Sistemi
GESTIONE
DEL
PROCESSO
Avvio, esec . e
completamento
delle transazioni
Monitoraggio
e reporting
Acquisizione dei
clienti e relativa
documentaz .
Gestione dei
conti dei clienti
Controparti
commerciali
Gestione
Fornitori
- 16 -
Le prossime iniziative dell’ABI in merito alla
business continuity
L’ABI ha individuato l’opportunità di proseguire nell’approfondimento
delle logiche di gestione della business continuity con l’ausilio di
Gruppi di lavoro banche e aziende ICT
Business Continuity
 Erogazione di un sistema info/formativo per l’acquisizione di competenze
trasversali metodologiche sulla realizzazione del piano di continuità
operativa
 Definizione di soluzioni cooperative e standard in autoregolamentazione
 Approfondimenti con il GdL ABI di tematiche di interesse tra cui:
Modello di correlazione tra capitale di garanzia della banca e investimenti in BC
- 17 -
Le azioni cooperative dell’ABI per supportare il
sistema bancario
Approfondimento e definizione di azioni cooperative e standard
in autoregolamentazione come previsto tra le attività delle
associazioni di categoria nella normativa di Banca d'Italia.
Analisi e individuazione delle soluzioni di continuità sui processi critici
Obiettivo
Identificare possibili soluzioni cooperative e di continuità su processi critici, con
particolare attenzione all’area finanza
Realizzazione di un Osservatorio sulle soluzioni di DR
Obiettivo
Identificare soluzioni di DR coerenti con livelli di investimento e assetti
organizzativi-operativi sostenibili
- 18 -
Indice
 Le attività sulla continuità operativa nel sistema finanziario italiano
 Costi e rischio operativo in ottica Basilea II
 Il nuovo approccio integrato alla sicurezza




Le nuove esigenze emergenti: la gestione integrata della sicurezza
Oneri di gestione della sicurezza nelle banche
Il nuovo modello integrato di sicurezza
Un modello di governance integrato della sicurezza in banca
- 19 -
Le nuove esigenze emergenti:
la gestione integrata della sicurezza
Sicurezza dei beni materiali
ed immateriali (immagine aziendale)
Sicurezza
Aziendale
Sicurezza delle persone e
tutela ambientale
Sicurezza informatica
Sicurezza
dell’informazione
Azienda
Sicurezza del sistema
informativo non automatizzato
(informazione e know-how)
Sistema informativo
Sistema
informatico
- 20 -
Oneri di gestione della sicurezza nelle banche
La continua ricerca delle scelte e delle tecnologie comuni a tutti gli ambiti della
sicurezza è un punto di partenza per l’accrescimento dei livelli di sicurezza e
l’ottimizzazione dei costi
L’ottimizzazione dei “costi di sicurezza” impone l’analisi delle opportunità di
condivisione dell’esistente e l’aggregazione delle necessità di acquisto
Le nuove opportunità di cambiamento nella gestione del rischio operativo offrono
spazi per un’analisi sistematica dei rischi, degli impatti e delle contromisure
- 21 -
Il nuovo modello integrato di sicurezza
I driver emergenti indirizzano alla realizzazione di un nuovo modello della
sicurezza in banca che risulti trasversale ai processi gestionali e integrato
in termini di infrastrutture
LINEE GUIDA
• Integrazione fisico-logica
• Controllo integrato
• Modularità, riusabilità e sostituibilità
• Scalabilità tecnico economica
M
O
D
E
L
L
O
I
N
T
E
G
R
A
T
O
- 22 -
Un modello di governance integrato della
sicurezza in banca
S
E
C
U
R
I
T
Y
E
V
O
L
U
T
I
O
N
Dalla
sicurezza
perimetrale
alla
gestione
integrata
dei rischi
- 23 -
Obiettivi del progetto:
Contribuire allo sviluppo di un modello standard di governance della sicurezza che
consenta un confronto rapido e omogeneo tra la propria azienda
 Analisi del contesto attraverso interviste
mirate e benchmarking con banche e
partner ICT
Progettazione
Progettazione
implementazione
implementazione
contromisure
contromisure
Gestione
Gestione del
del rischio
rischio
Processi di indirizzo
 Realizzazione di uno studio per l’analisi
e sistematizzazione del quadro
regolamentare, degli indirizzi e delle direttive
dei principali standard internazionali
Prime risultanze dello
studio di fattibilità
Analisi
Analisi ee valutaz
valutaz
rischio
rischio
Mitigazione
Mitigazione
rischio
rischio
 Realizzazione di una metodologia
operativa per la “Governance e
organizzazione della sicurezza”
Progettazione
Progettazione
contromisure
contromisure
Definizione
Definizione
esigenze
esigenze acquisti
acquisti
Definizione
Definizione
Budget
Budget
Implementazione
Implementazione
Gestione
Gestione Policies
Policies ee normative
normative
Definizione
Definizione
Normative
Normative
Diffusione
Diffusione
Normative
Normative
Formazione
Formazione
Auditing
Auditing
Certificazione
Certificazione
Auditing
Auditing
Normativo
Normativo
Business
Business Continuity
Continuity
Auditing
Auditing
Operativo
Operativo
Analisi
Analisi impatti
impatti
sul
sul business
business
Business
Business
continuity
continuity
planning
planning
Test
Test ee manutenzione
manutenzione
piani/processo
piani/processo
Processi operativi della sicurezza
 Definizione e gestione di un insieme di
indicatori sui costi e sugli investimenti di
sicurezza
Identificazione
Identificazione
contromisure
contromisure
Pianificazione
Pianificazione Costi
Costi
RISORSE DA PROTEGGERE DELLA BANCA
VALORI
SITI
LOCALI
RISORSE
UMANE
Infrastruttura
ICT
SERVIZI
DOCUMENTI
 Costituzione di un osservatorio permanente in
grado di sviluppare/aggiornare i contenuti di
sicurezza sulla base degli impulsi generati
dall’evoluzione normativa, dagli standard e dalla
tecnologia.
- 24 -