La giornata di studio ad Arezzo PDF Stampa E-mail

Alcune considerazioni  

 

 

 Giornata di studio ANSSAIF – Arezzo 30 settembre 2011-10-27

 

La giornata di studio di Arezzo è stata l’occasione per illustrare lo stato di avanzamento dei progetti che ANSSAIF si era proposta di realizzare nell’arco del 2011 e per consentire agli ospiti e ai soci di fornire un loro contributo.

 

Lo sforzo di condividere i risultati infatti è funzionale alla stesura dei report definitivi e per tale motivo tutti gli interventi sono stati registrati al fine di poterli considerare con la dovuta attenzione.

 

I report definitivi, che saranno finalizzati e pubblicati, sia in italiano che in inglese, entro il corrente anno,  costituiranno così la posizione di ANSSAIF sulle singole tematiche

 

I tre progetti, come si ricorderà, vertevano su:

  • Lessons learned nella certificazione alla  BS25999
  • Security Convergence
  • Business Continuity Management

 

Per quanto riguarda il terzo progetto, una serie di inconvenienti ha impedito ai rappresentanti del gruppo di lavoro di poter essere presenti ad Arezzo per illustrare i risultati del loro lavoro.

 

Nel rimandare ad un prossimo evento la presentazione dei report definitivi, si riassume qui di seguito lo stato dell’arte dei restanti progetti.

 

Lessons learned nella certificazione alla  BS25999

 

Il progetto, realizzato da un gruppo di lavoro composto da Raffaele Pace, Alessandra Carazzina, Roberto Poli per la SIA e Mario Sestito per ICCREA Banca si poneva l’obiettivo di individuare i vantaggi che la certificazione può fornire ai sistemi di business continuity aziendali, alle aziende, al sistema interbancario ed evidenziare le lesson learned maturate nel certificare i sistemi di business continuity allo standard BS25999 e nel mantenere il percorso certificativo nel tempo.

 L’indagine si è focalizzata su Infrastrutture qualificate per il sistema bancario italiano che hanno ottenuto la certificazione; tenendo conto delle esperienze acquisite e maturate dai membri di ANSSAIF certificati BS25999, le infrastrutture esaminate sono state SIA e ICREA BANCA.

Per il raggiungimento degli obiettivi di progetto è stata inizialmente condotta un’analisi finalizzata all’individuazione dei temi, degli ambiti e dei quesiti salienti; sulla base di questi elementi è stato poi condotto il confronto tra i diversi percorsi certificativi per fare emergere le lesson learned.

Il confronto sulle lesson learned ha riguardato i sistemi di business continuity di SIA e di Iccrea. L’attenzione è stata posta ai contesti operativi interni e ai benefici ottenibili conseguenti ai percorsi di certificazione; non ha riguardato invece il contesto di sistema e le modalità per assicurare la piena conformità alle linee guida sulla continuità operativa dell’Autorità di Vigilanza.

Nel dettaglio sono stati affrontati i seguenti argomenti:

  • Gli standard di riferimento
  • Le best practice e le certificazioni
  • Le soluzioni di busines continuità adottate da SIA e ICCREA
  • Il raffronto tra le due soluzioni, le lesson learned e i punti attenzione.

Tutte le analisi svolte mirano, in ultima analisi, a cercare di fornire una risposta alla domanda principale “Perché certificarsi?” articolando la risposta con riferimento ai benefici che conseguono sia all’impegno iniziale che al lavoro necessario per il mantenimento della certificazione.

 

Security convergence: Passato o Futuro ?

 

Il consigliere Cabianca ha illustrato quanto alla data redatto dal gruppo da lui coordinato e del quale fa parte  anche la Dott.ssa Manuela Burzoni. Il progetto si poneva l’obiettivo di analizzare a 360 gradi il tema della security convergence cercando di verificare se tale approccio sia una risposta utile e concretamente realizzabile per risolvere i problemi della security aziendale o semplicemente un nuovo nome per strade già percorse.

Il gruppo di lavoro è partito dalla ricerca di una definizione condivisibile di Security Convergence e del relativo contesto di riferimento, identificando le aree della sicurezza nel perimetro di analisi.

Successivamente l’indagine è passata ad indagare sull’evoluzione della sicurezza nel settore finanziario in Europa.

La parte centrale del lavoro è consistita in un’analisi più tecnica dei vari aspetti del problema e in particolare:

        Le variabili organizzative in gioco

        L’evoluzione delle pratiche di governo del rischio informatico

        Il governo del rischio informatico nel modello generale dei controlli

        I possibili modelli organizzativi

Ha costituito parte integrante del lavoro anche un’analisi di alcuni modelli organizzativi in uso:

        Il Centro di Controllo della Sicurezza

        Il Modello Unificato delle Crisi

        Modello di gestione delle Frodi

Le analisi svolte mirano, in ultima analisi a verificare se il paradigma della security convergence sia effettivamente il più adatto per consentire alla security di muoversi in maniera efficace ed efficiente in contesti sempre più complessi e con perimetri di riferimento sempre più ampi.

Nei prossimi giorni si terrà un'altra giornata di lavori, onde completare i tre progetti e predisporre un Rapporto da consegnare ai Soci.

 

 
 


Copyright © 2010 ANSSAIF - Template created by Davide Calignano.