Riservato
Benchmark dei modelli organizzativi della sicurezza
Sintesi delle evidenze
Milano, 20 Luglio 2004
1
Agenda
 Contesto
Pag. 3
 Modelli organizzativi – Riporto diretto al CEO/BoD
Pag. 6
 Modelli organizzativi – Riporto al CIO
Pag. 7
 Referenze internazionali
• Merrill Lynch
Pag. 9
• Bank of America
Pag. 10
• American Express
Pag. 11
• ABN Amro
Pag. 12
• Crèdit Agricole Indusuez S.A.
Pag. 13
• Banco Santander Central Hispano Americano/Banco Bilbao Vizcaya Argentaria
Pag. 14
 Referenze italiane
• Unicredit
Pag. 15
• Capitalia
Pag. 16
• Banca Lombarda e Piemontese
Pag. 17
• Banca Svizzera Italiana
Pag. 18
• Banca Mediolanum
Pag. 19
• SIA
Pag. 20
 Riferimenti
Pag. 21
2
Contesto (1/3)
La sicurezza è sempre più riconosciuta come parte integrante del business e
gestita nell’insieme delle sue componenti in modo unitario a livello Corporate


Nelle realtà internazionali, e soprattutto in quelle Americane anche a seguito della riforma del diritto societario, si osserva:
•
Il riconoscimento che la sicurezza è legata tanto alla tecnologia quanto al business, in quanto gestore di una parte dei
rischi operativi
•
Un progressivo allargamento dell’ambito gestito dalle strutture di sicurezza, che, alla gestione della tematiche di
sicurezza logica, fisica e protezione degli asset, aggiungono prima le tematiche relative al copyright ed alla Business
Continuity e, in alcuni casi, anche il presidio del rapporto con la clientela
Dal punto di vista organizzativo si osservano tre modelli di riferimento:
•
La costituzione di una struttura organizzativa ad hoc dipendente direttamente dal CEO e/o dal BoD, presieduta da un
Chief Security Officer (CSO), chiamato anche Global Security Officer, che ha la responsabilità globale della sicurezza
(interna, esterna, fisica, logica, personale), sia per la componente strategica/di governo che operativa
•
La gestione della sicurezza logica all’interno strutture IT, con la costituzione di un Chief Information Security Officer
(CISO), dipendente direttamente dal CIO, che ha la responsabilità della protezione delle informazioni e,
eventualmente, di altri aspetti strettamente correlati, quali, ad esempio, la sicurezza fisica, la pianificazione e sviluppo
delle architetture di sicurezza, gli incidenti informatici
•
La centralizzazione delle funzioni di controllo strategico della sicurezza in una struttura esistente in staff al CEO (ad
esempio nella struttura di Risk Management, ove questa è preposta al governo dei rischi) responsabile della
definizione delle policy, delle priorità e delle linee guida per tutto il Gruppo, con la costituzione di un Comitato di
controllo cui è demandata la responsabilità sul rischio, delegando la parte di governo operativo al CISO, per la parte
IT, oppure ad altre strutture operative (ad esempio la Logistica) preposte al presidio delle diverse tipologie di rischio
3
Contesto (2/3)
— Considerazioni su Governance, Budget e Dimensionamento —

Il CSO/CISO riporta ancora prevalentemente al CIO, anche se si sta affermando la scelta di posizionare la sicurezza al di
fuori delle strutture IT
•
CIO: 35% ca.
•
CEO/BoD: 15% ca.
•
Altri riporti del CEO (COO, CRO, CTO): 30% ca.
•
Altri: 20%

La maggior parte delle aziende (ca. il 70%) ritiene di investire in sicurezza una cifra paragonabile a quella delle altre
aziende con cui si confronta e, nell’ultimo anno, il budget dedicato alla sicurezza è cresciuto per il 65% delle aziende,
attestandosi ad un valore pari a ca. il 7% di quello dell’IT

Il numero delle persone dedicate alla sicurezza è in rapida crescita in tutte le realtà e fra le maggiori istituzioni finanziarie il
28% di queste si avvale di uno staff superiore alle 100 unità
4
Contesto (3/3)
— Sfide future —

Supportare il Top Management nelle valutazioni di business, offrendo un punto di vista integrato del rischio cui l’azienda è
sottoposta e definendo la priorità degli interventi in base alle strategie concordate

Definire ed implementare un sistema di analisi e monitoraggio di una serie di indicatori, che consenta di valutare ed
oggettivare il livello di rischio, comparare scelte differenti e indirizzare gli investimenti in una logica costo/protezione
misurabile

Gestire le tematiche di sicurezza nel loro complesso in un contesto fortemente dinamico, nel quale i nuovi servizi/canali di
accesso per la clientela, le ristrutturazioni organizzative ed infrastrutturali, le relazioni con attori terzi, quali partnership e
fornitori, sono, allo stesso tempo, opportunità di business da perseguire e, soprattutto, fonti di rischio da governare
5
Modelli organizzativi - Riporto diretto al CEO/BoD
La tendenza che si osserva è quella di creare una struttura di sicurezza
autonoma, con responsabilità globale della sicurezza, budget proprio e riporto
diretto al CEO/BoD
— Modello di riferimento —
CEO/Board
COO
CIO
— Considerazioni —

Si osserva come tendenzialmente tutte le aziende certificate BS7799 abbiano la funzione sicurezza
dipendente da un CSO, che riporta direttamente al CEO/BoD, e che tale modello organizzativo è
stato adottato principalmente dalle aziende USA e UK

Il CSO ha la responsabilità globale della sicurezza (interna, esterna, fisica, logica, personale) e di tutti
i suoi aspetti (strategia, governo, controllo e implementazione)

Il CSO ha alle sue dipendenze:
• un CISO, che ha la responsabilità della protezione delle informazioni e da cui dipendono:
CSO
– IT Security Manager (sicurezza informatica)
– IT Security Architect (risponde all’IT Security Manager e si occupa della pianificazione e
sviluppo delle architetture di sicurezza)
CISO
– IT Security Incident Manager (incidenti Informatici)
Struttura autonoma, in
staff al CEO, con
responsabilità globale
della sicurezza
• un Phisical Security Officer (PSO), che gestisce la sicurezza fisica della struttura, incluse le
eventuali norme di personal safety degli impiegati

• Capo dell'internal auditing, paritetico al CSO risponde come quest'ultimo al CEO
• Chief Investigation Officer, che si occupa delle investigazioni interne e riporta al capo internal
auditing. Il Chief Investigation Officer ha, inoltre, una serie di Senior Investigators, che si
occupano di frodi/illeciti/violazioni delle politiche, anche di tipo AUP/Information Security. Si
avvale dello staff di IT security per le operazioni di incident response e digital forensic
— Referenze —







Swiss Bank Corporation
HSBC
The Royal Bank of Scotland
Dresdner Bank
Citigroup
Republic National Bank New York
Standard Chartered Bank
La parte investigativa, ove presente, è composta dal:




Fidelity Investments
State Street Global Advisors
ING
Eurobank


Imperial Chemical Industries
DuPont
6








Nike Inc.
Thomson Corporation
Hershey Foods Corporation
Google
eBay
ENI
FIAT
Pirelli
Modelli organizzativi - Riporto al CIO (1/2)
Alcune realtà adottano ancora un modello organizzativo che prevede la
funzione di Sicurezza posizionata nella componente IT, con il CISO che riporta
al CIO
— Modello di riferimento —
— Considerazioni —
CEO/Board
…
CIO
Altri ambiti di
sicurezza
CISO
Struttura esistente
(es. Risk
Management)

Si osserva che tale modello organizzativo è ancora prevalentemente adottato
nelle realtà bancarie italiane ed europee

Il CISO dipende direttamente dal CIO ed è responsabile della
pianificazione, del controllo e dell’implementazione del sistema di
protezione delle informazioni e dell’architettura di sicurezza

Il CISO si occupa prevalentemente della sicurezza logica e, in alcuni casi, di
quella fisica, mentre il tema della Business Continuity viene ridotto alla
definizione delle infrastrutture di Disaster Recovery nell’ambito delle
attività di IT- Facility Management
Funzione di sicurezza
posizionata nell’IT,
con ambito limitato
alla sicurezza logica
— Referenze —






Merrill Lynch
Bank of America
American Express
ABN Amro
National Bank Of Belgium
Crèdit Agricole Indosuez


Banco Santander Central Hispano
Americano
Banco Bilbao Vizcaya Argentaria
Capitalia


Solvay
Carnival Group

7
Modelli organizzativi - Riporto al CIO (2/2)
Alternativamente, si osserva un modello “double layer”, in cui il CSO riporta ad
una struttura esistente in staff al CEO, separata dall’IT, con responsabilità di
governo, mentre la parte implementativa è delegata al CISO, che riporta al CIO,
e alle altre strutture operative preposte
— Modello di riferimento —
CIO
Altri ambiti di
sicurezza
CISO

Il CSO dipende da una struttura esistente di staff al CEO ed ha la
responsabilità di definire le linee guida e gli obiettivi strategici e di
controllarne l’effettivo rispetto; la responsabilità del rischio viene affidata ad
un Comitato di controllo appositamente costituito

L’applicazione delle strategie è demandata al CISO, per la parte IT, oppure
ad altre strutture operative (ad esempio la Logistica) preposte al presidio
delle diverse tipologie di rischio

Il CISO risponde direttamente al CIO ed ha le seguenti responsabilità:
Comitato di
controllo
CEO/Board
…
— Considerazioni —
Struttura esistente
(es. Risk
Management)
• Protezione delle informazioni
CSO
• Pianificazione e sviluppo delle architetture di sicurezza
• Incidenti informatici
“Double layer”: governo demandato ad un CSO
dipendente da una struttura non IT in staff al CEO
e responsabilità dell’implementazione affidata, per
la parte IT, al CISO
— Referenze —





JP Morgan Chase
Deutsche Bank
Unicredit
San Paolo IMI
BNL
8
Referenze internazionali (1/6)
Executive Management
CEO
COO
Chief Information &
Services Officer
CTO
Information Security
Officers & Service
Management
CFO
 Global Technology & Services
Chief Information
Officer
Security & Privacy
Product Development
Security Operations
9
Europe & Asia Pacific
Security
Administration
Referenze internazionali (2/6)
CIO
Support and
Application
Development
Customer Knowledge
Enterprise Architecture
& Emerging
Technology
IT Change Execution
Technology Services
Information Processing
Group
Technology Solutions
Information Processing
Group Support
Technology Solutions
Support
10
Information Security
Referenze internazionali (3/6)
CIO
 Responsible for the leadership, ownership and execution of the
enterprise infrastructure strategic objectives, programs and
processes, with a focus on the superior delivery of services to
the business users
CSO
Governance &
Management
Security Strategy &
Technology
 Relationship management,
business/technology
alignment, info security
management, policy
management, program
office, process coordination,
project and resource
coordination, key partner
governance
 Security strategy, security
technolgy/visioning,
security architecture,
technical requirements,
vendor management,
network and infrastructure
security,
application/database
security and assessment,
information protection
Security Service
Delivery & Support
 Security Service design and
delivery, user access
control and automation,
security operations and
application support,
monitoring and reporting,
risk/vulnerability/threat
management, response
management
11
Controls & Compliance
 Standard lifecycle
management and
compliance, business
continuity planning,
regulatory compliance and
key control documentation,
testing and certification
Referenze internazionali (4/6)
CIO
COO
Network Perimeter &
Intrusion
Technical Security
Service
Architecture &
Development
Security Architecture
Vulnerability
Management
Open Systems UNIX
Information Security
Services
Enterprise Architecture
Operations Mainframe
Information Security
Services
Access Control Services
12
Infrastructure
Referenze internazionali (5/6)
COO
Business Continuity
Plan
CIO
….
Security
 Policy
 Valutazione dei rischi
 Progettazione e gestione
sicurezza
13
Referenze internazionali (6/6)
CIO
Security
….
 Policy e supervisione
 Business Continuity Plan e
Disaster Recovery
ICT Security
 Gestione
 Amministrazione
14
Referenze italiane (1/6)
Presidente
Amministratore
Delegato
Direzione Audit
Direzione
Legale e Affari
Societari
Direzione Retail
Direzione
Crediti
Direzione
Corporate
L’Unità Organizzativa della Sicurezza ha il compito di
valutare tutti i rischi di natura criminosa cui sono
soggette le società, le persone ed i beni del gruppo, al fine
di individuare e di applicare le misure tecniche e
procedurali più idonee a contenere tali rischi. Gestisce
anche le tematiche di Business Continuity e Analisi del
rischio
Direzione
Risorse
Direzione
Finanza
Acquisti
Direzione
Amministrazion
e
Direzione Operativa (Acquisti,
Tecnico, Sicurezza, USI - UPA)
Tecnico
Direzione Strategia, Pianificazione, Controllo
Direzione Estero
Sicurezza
Corporate
Sicurezza
Procedure
di
Sicurezza
Sicurezza
delle
informazioni
Sicurezza
Fisica
Centrale
Allarmi
Torino
Dist.
Milano
Centrale
Allarmi
Verona
Dist.
Verona
Centrale
Allarmi
Milano
Dist. Tornio
Dist.
Treviso
(*) La società di servizi USI (Unicredit Sistemi informativi) ha una struttura dedicata alla sicurezza,
interna all’area architetture e sistemi, responsabile degli aspetti operativi legati alla sicurezza
informatica perimetrale e alla gestione delle crisi informatiche di gruppo
Dist. Roma
Dist.
Napoli
Dist.
Catania
15
Referenze italiane (2/6)
Amministratore
Delegato
Direttore Generale
Organizzazione e
Sistemi
Finanza, Prodotti e
Canali
Politiche del Credito
Bilancio e Fiscale
Partecipazioni
Organizzazione
Affari Generali
Sistemi
Sviluppo
Sicurezza Corporate
...
Telecomunicazioni
Sistemi
Sicurezza Informatica
16
Risorse Umane
Funzionamento
Referenze italiane (3/6)
Amministratore
Delegato
Direttore Generale
Compliance e Sicurezza
Information
Technology
Servizi Amministrativi
Servizi Beni
Immobiliari
(*) Organigramma relativo all’IT Provider di Banca Lombarda (LSS, Lombarda Sistemi e Servizi)
17
Centro Acquisti
Referenze italiane (4/6)
Amministrazione &
Logistica
Contabilità Finanziaria
& Analitica
Operations
Registro Centrale
Amministrazione TItoli
Logistica
Information Systems
Organization Support
Sicurezza e Servizi
Ufficio Tecnico
18
Progetti Informatici
Referenze italiane (5/6)
Amministratore
Delegato
Direzione Sistemi e
Organizzazione
...
Direzione risorse
umane
...
Sicurezza Corporate
Sviluppo Applicazioni
Erogazione Servizio
Sistemi rete Vendita
Telecomunicazioni e
Sicurezza
Organizzazione e
Procedure Tecniche
Organizzazione e
Procedure Commerciali
Conti Correnti e
Sistemi di Pagamento
Sistemi di Base
Sicurezza Informatica
Sistemi Canali Diretti
Titoli e Tesoreria
Service Management
Sistemi Vita
Telecomunicazioni
Change Management
Anagrafica Clienti /
Canali Diretti
Processi
Amministrativi
Sicurezza Logica
Sistemi banca e Fondi
Gestione CED e
impiantistica
Sistemi del Personale e
Office Automation
Supporto
Interfunzionale
19
Referenze italiane (6/6)
AD
DG
BU
SU
Service
Manager
SAE
IT Security
Capi Area
Capi
Progetto
LSA
Figure attualmente presenti in azienda che necessitano di responsabilizzazione formale sulla sicurezza informatica
20
Riferimenti

“Global Security Survey”, 2003 e 2004 – Deloitte

Documentazione Gartner Consulting: research note “The role of the Chief Information Security Officer”

Articoli, interviste, report e approfondimenti da csoonline.com:

•
“The evolution of the Chief Security Office”, 2002
•
“State of the CSO 2003”
•
“State of the CSO 2004”
•
“The state of Information Security”, 2003
Richieste informali a persone di riferimento del settore
21