Banking

Un framework innovativo per la gestione del rischio informatico
in ambito bancario

La gestione del rischio nei mercati banking è un tema complesso, che vede
le banche impegnate nella governance del rischio a più livelli. L’esplosione dell’informazione digitale ha, infatti, reso molto più difficile proteggere gli asset informativi e allineare i sistemi con i relativi processi di business.

SUCCESS STORIES
Banking
Telco
Oil & Energy

Contesto

Non a caso, in risposta a un’esigenza largamente condivisa, la Circolare n.263 della Banca d’Italia ha portato le banche verso l’adozione di un Framework unificato per l’analisi dei rischi informatici, che consenta di integrare i rischi IT con quelli di Security.

Nello specifico, la 263 impone alle Banche l’adozione di un modello di Governance dei rischi informatici. Tale modello, approvato dall’Organo con Funzione di supervisione strategica, definisce la Metodologia di analisi e misura dei Rischi Informatici, cosi come la propensione al rischio della Banca e le modalità di gestione più consone ove si riscontrino livelli di rischio eccedenti la propensione consentita.

Client Description

Il cliente è uno dei maggiori gruppi bancari europei, tra le top five nel segmento del Retail Banking in Italia, con oltre 900 uffici sparsi su tutto il territorio nazionale e un’ampio ventaglio di servizi di online banking.

Client Need

  • Difficoltà nel coordinamento dell’attività di compliance, in particolare delle practice associate ai diversi framework normativi di riferimento e alle policy aziendali;
    • Necessita di migliorare il compliance management, uniformando i processi e l’aderenza agli standard normativi per tutte le Business Ownership interne;
      • Dotarsi di un modello aggregato per la gestione del rischio, basato su una piattaforma che consenta una visione integrata del rischio su molteplici layer;
        • Integrazione nel modello dei punti di sorveglianza definiti e relative metriche già in uso nella banca;
Screen Infosync RM
Architettura Infosync
 

Esc2 Value Added Solution

Sulla base di quanto emerso, gli analisti di Esc2 hanno lavorato seguendo un approccio metodologico basato su una visone olistica del Risk Management. In tal senso, il team ha lavorato seguendo un modello progettuale basato sui seguenti obiettivi:

  • Costruzione di un quadro sinottico dei rischi per quanto riguarda le Sigle Servizio, Blocchi Funzionali e Processi (IT e Business), computato sulle best practices per il Risk Management (Cobit IT Risk, ISO 27005), mantendedo la vista d’insieme proposta da ABI-LAB;

 

  • Riutilizzare i dati già raccolti (e.g. nei progetti) e ottimizzare i metodi di field assessment;

 

  • Cambiare il modello di gestione dei rischi operativi, stabilendo un criterio univoco per la valutazione e computazione del rischio;

Per l’implementazione della soluzione all’interno del cliente, il team Esc2 ha proposto la soluzione Infosync RM™, risolvendo così i problemi del cliente su tutti e 3 gli aspetti.  Infosync RM™ è la risposta del team Esc2 all’esigenza delle funzioni di Compliance, Risk Management e Sicurezza poiché ingegnerizza ed automatizza le fasi di raccolta, analisi e valutazione delle informazioni volte a stimare i rischi informatici, valutare la sostenibilità degli stessi e l’opportunità, in funzione del business da proteggere e dell’impatto legale, di compliance e reputazionale, di ridurre l’esposizione misurata.

Con l’adozione di Infosync RM™, infatti, il cliente ha avuto a disposizione un framework potente e integrato per la gestione del rischio a più livelli. La piattaforma unificata ha permesso una più rapida analisi di scenario, un real-time modeling, ricollegando i rischi caratteristici ai relativi asset, processi e layer infrastrutturali. Inoltre, si è riuscito a normalizzare i processi di Audit interno per le prime linee di management, gestire e attuare i diversi piani di trattamento.

Why Infosync RM?

Uno dei punti di forza principali, che hanno reso Infosync RM™ la soluzione più adatta per il cliente, si trova certamente nella metodologia, scritta in rapporto alle best practices, standard internazionali di settore e le normative cogenti di riferimento. Un approccio metodologico innovativo che ha consentito al cliente di perseguire i seguenti obiettivi:

  • Creare una vista unificata ed integrata di tutte le componenti di rischio informatico;
    • Veicolare informazioni tra le funzioni preposte alla gestione del rischio informatico in maniera efficace, tempestiva ed esaustiva, favorendone una mutua collaborazione;
      • Attribuire al rischio un adeguato valore nei processi decisionali e strategici per l’evoluzione dell’infrastruttura tecnologica di servizio;
        • Supportare i processi di adeguamento alla conformità a leggi e regolamenti interni ed esterni.

Client Experience

Dopo un semestre di adattamento, deployment, progressiva valutazione degli asset e modeling degli scenari di rischio, il cliente ha realizzato con successo il compliance reporting annuale, andando decisamente oltre le previsioni iniziali del management circa il rispetto delle policy aziendali e i relativi requisiti normativi.

Key Benefits

Conformità alla direttiva della Banca d’Italia relativamente alla circolare 263 Cap VIII, contenente le nuove disposizioni di vigilanza prudenziale per le banche;

Standardizzazione del modello di computazione e valutazione del rischio

Valutazione e misurabilità dei risultati nel tempo;

Automatizzazione del modello di calcolo del rischio, basato sull’incidenza degli incidenti storici e potenziali.

Modelli operativi basati sugli esiti del field assessment per quanto riguarda i progetti, l’esericizio, la security e l’incident management;

Riduzione della complessità negli audit verso gli interlocutori interni;

Identificazione delle misure standard di trattamento (Cobit5, ISO 27001, Normativa Privacy);