CASI DI SUCCESSO
Banking and Financial Services Industry
UN FRAMEWORK INNOVATIVO PER LA GESTIONE RISCHIO INFORMATICO IN AMBITO BANCARIO
La gestione del rischio nei mercati banking è un tema complesso, che vede le banche impegnate nella governance del rischio a più livelli. L’esplosione dell’informazione digitale ha, infatti, reso molto più difficile proteggere gli asset informativi e allineare i sistemi con i relativi processi di business.
IL CONTESTO
Non a caso, in risposta a un’esigenza largamente condivisa, la Circolare n.263 della Banca d’Italia ha portato le banche verso l’adozione di un Framework unificato per l’analisi dei rischi informatici, che consenta di integrare i rischi IT con quelli di Security.
Nello specifico, la 263 impone alle Banche l’adozione di un modello di Governance dei rischi informatici. Tale modello, approvato dall’Organo con Funzione di supervisione strategica, definisce la Metodologia di analisi e misura dei Rischi Informatici, cosi come la propensione al rischio della Banca e le modalità di gestione più consone ove si riscontrino livelli di rischio eccedenti la propensione consentita.
IL CLIENTE
Il cliente è uno dei maggiori gruppi bancari europei, tra le top five nel segmento del Retail Banking in Italia, con oltre 900 uffici sparsi su tutto il territorio nazionale e un’ampio ventaglio di servizi di online banking.
NECESSITÀ DEL CLIENTE:
- Difficoltà nel coordinamento dell’attività di compliance, in particolare delle practice associate ai diversi framework normativi di riferimento e alle policy aziendali;
- Necessita di migliorare il compliance management, uniformando i processi e l’aderenza agli standard normativi per tutte le Business Ownership interne;
- Dotarsi di un modello aggregato per la gestione del rischio, basato su una piattaforma che consenta una visione integrata del rischio su molteplici layer;
- Integrazione nel modello dei punti di sorveglianza definiti e relative metriche già in uso nella banca;
LA RISPOSTA DI ESC 2
Sulla base di quanto emerso, gli analisti di ESC 2 hanno lavorato seguendo un approccio metodologico basato su una visone olistica del Risk Management.
In tal senso, il team ha lavorato seguendo un modello progettuale basato sui seguenti obiettivi:
- Costruzione di un quadro sinottico dei rischi per quanto riguarda le Sigle Servizio, Blocchi Funzionali e Processi (IT e Business), computato sulle best practices per il Risk Management (Cobit IT Risk, ISO 27005), mantendedo la vista d’insieme proposta da ABI-LAB;
- Riutilizzare i dati già raccolti (e.g. nei progetti) e ottimizzare i metodi di field assessment;
- Cambiare il modello di gestione dei rischi operativi, stabilendo un criterio univoco per la valutazione e computazione del rischio;
Per l’implementazione della soluzione all’interno del cliente, il team Esc2 ha proposto la soluzione Infosync, risolvendo così i problemi del cliente su tutti e 3 gli aspetti. Infosync è la risposta del team ESC 2 all’esigenza delle funzioni di Compliance, Risk Management e Sicurezza poiché ingegnerizza ed automatizza le fasi di raccolta, analisi e valutazione delle informazioni volte a stimare i rischi informatici, valutare la sostenibilità degli stessi e l’opportunità, in funzione del business da proteggere e dell’impatto legale, di compliance e reputazionale, di ridurre l’esposizione misurata.
Con l’adozione di Infosync, infatti, il cliente ha avuto a disposizione un framework potente e integrato per la gestione del rischio a più livelli. La piattaforma unificata ha permesso una più rapida analisi di scenario, un real-time modeling, ricollegando i rischi caratteristici ai relativi asset, processi e layer infrastrutturali. Inoltre, si è riuscito a normalizzare i processi di Audit interno per le prime linee di management, gestire e attuare i diversi piani di trattamento.
I PLUS DI INFOSYNC
Uno dei punti di forza principali, che hanno reso Infosync la soluzione più adatta per il cliente, si trova certamente nella metodologia, scritta in rapporto alle best practices, standard internazionali di settore e le normative cogenti di riferimento.
Un approccio metodologico innovativo che ha consentito al cliente di perseguire i seguenti obiettivi:
- Creare una vista unificata ed integrata di tutte le componenti di rischio informatico;
- Veicolare informazioni tra le funzioni preposte alla gestione del rischio informatico in maniera efficace, tempestiva ed esaustiva, favorendone una mutua collaborazione;
- Attribuire al rischio un adeguato valore nei processi decisionali e strategici per l’evoluzione dell’infrastruttura tecnologica di servizio;
- Supportare i processi di adeguamento alla conformità a leggi e regolamenti interni ed esterni.
I RISULTATI OTTENUTI
Dopo un semestre di adattamento, deployment, progressiva valutazione degli asset e modeling degli scenari di rischio, il cliente ha realizzato con successo il compliance reporting annuale, andando decisamente oltre le previsioni iniziali del management circa il rispetto delle policy aziendali e i relativi requisiti normativi.
I VANTAGGI
- Conformità alla direttiva della Banca d’Italia relativamente alla circolare 263 Cap VIII, contenente le nuove disposizioni di vigilanza prudenziale per le banche;
- Standardizzazione del modello di computazione e valutazione del rischio
- Valutazione e misurabilità dei risultati nel tempo;
- Automatizzazione del modello di calcolo del rischio, basato sull’incidenza degli incidenti storici e potenziali.
- Modelli operativi basati sugli esiti del field assessment per quanto riguarda i progetti, l’esericizio, la security e l’incident management;
- Riduzione della complessità negli audit verso gli interlocutori interni;
- Identificazione delle misure standard di trattamento (Cobit5, ISO 27001, Normativa Privacy);