Attenzione! E' possibile che si verifichino problemi per la visulizzazione di questa pagina web con il browser in uso. Per un miglior utilizzo si consiglia di aggiornare il browser.
 

Corsi interaziendali

Percorso trasversale Aree Risk Management e Compliance - Conoscere e gestire il cyber risk

New

Il cambiamento tecnologico che sta investendo il settore bancario e finanziario, con l’intento di creare una banca digitale solida e agile, deve realizzarsi mantenendo al contempo sia efficaci modalità di gestione dei rischi connaturati alle nuove soluzioni sia conformità alla regolamentazione in costante evoluzione (si veda da ultimo l’approvazione, nel Consiglio dei Ministri n. 84 del 16 maggio 2018, del decreto legislativo di attuazione della Direttiva NIS – Network and Information Security”).

Il percorso integrato organizzato da ABIFormazione approfondisce i diversi aspetti legati alla gestione del cyber risk e della cyber security creando un raccordo tra le diverse prospettive da cui è possibile approcciare il tema – IT, Compliance e Risk management – e fornendo competenze, soluzioni organizzative e operative per la strutturazione di un sistema di gestione dei diversi rischi collegati all’evoluzione tecnologica che sta investendo il mondo bancario.

Il percorso, con un taglio operativo che coinvolgerà i partecipanti in esercitazioni mirate a consolidare le competenze, ha l’obiettivo di mettere in comune le diverse esperienze attraverso numerose testimonianze bancarie per capitalizzare le lesson learned in ottica preventiva.


Obiettivi

  • Fornire le conoscenze necessarie a interpretare lo scenario di rischio cyber in cui sono coinvolti gli istituti finanziari
  • Saper analizzare e interpretare il trend degli incidenti e delle perdite relative al cyber risk
  • Approfondire gli aspetti regolamentari mettendo in evidenza le sovrapposizioni, le peculiarità, le opportunità di integrazione dei diversi requisiti
  • Approfondire i ruoli e le responsabilità dei diversi organi aziendali nel presidio del cyber risk
  • Individuare gli aspetti fondanti per ottenere elevati livelli di cyber resilience
  • Condividere le strategie per gestire il fattore umano collegato ai rischi derivanti dall’interno
  • Conoscere le modalità di analisi e gestione del rischio informatico e del cyber risk
  • Conoscere le più efficaci modalità per gestire e comunicare gli eventi di crisi
  • Approfondire le possibili applicazioni dei big data nella fraud detection e nella prioritizzazione dei cyber risk 

Destinatari

Referenti delle attività operative nell’ambito delle aree: IT; data governance; data management; sicurezza IT; cyber security; risk management; compliance; legal; privacy, internal audit


Programma didattico

I moduli del percorso

  • Modulo 1 - Introduzione al cyber risk
  • Modulo 2 - Cyber risk regulation
  • Modulo 3 - Cyber risk management

Modulo 1

Il nuovo scenario tecnologico e digitale: la gestione della sicurezza

• Conoscere le minacce e le vulnerabilità che possono influenzare i sistemi informativi aziendali per creare un ambiente security confident
• I rischi collegati all’ICT e il cyber risk: le problematiche legate all’identificazione e alla gestione
• La sicurezza IT e la cyber security

Il trend degli incidenti e delle perdite relative al cyber risk

  • Analisi dei principali attacchi al settore bancario: il cyber crime, dark web, hacker profiling
  • Il prezzo della cyber (in)security
  • Gli impatti del cyber crime: proteggere la business continuity, il patrimonio informativo e la reputazione

I rischi derivanti dall’interno

  • I rischi interni diretti: le frodi interne
  • I rischi interni indiretti: il social engineering
  • Le strategie per gestire il fattore umano: la cultura del rischio per prevenire le azioni volontarie e involontarie

La cyber resilience

Testimonianze bancarie

Modulo 2

Il framework regolamentare nazionale ed europeo per la gestione del rischio informatico: le sovrapposizioni, le peculiarità, le opportunità di integrazione dei diversi requisiti

Le recenti attività dei regolatori

I modelli di gestione della sicurezza, in riferimento agli standard internazionali e alle normative pertinenti

I nuovi scenari di rischio derivanti dall’applicazione della PSD2 GDPR e cyber security

Costruire/Evolvere il proprio modello di Compliance ICT a partire dalla definizione del perimetro normativo

  • L’approccio per l’identificazione del perimetro normativo di riferimento

L’identificazione dei rischi di conformità relativi ai servizi ICT

L’analisi del rischio di conformità relativo ai servizi ICT

La gestione del cyber risk nelle esternalizzazioni

L’esternalizzazione del sistema informativo e dei servizi IT

  • Le scelte di esternalizzazione delle risorse ICT: aspetti critici
  • La documentazione contrattuale e la documentazione tecnica

I controlli in caso di esternalizzazione del sistema informativo e dei servizi IT

  • I controlli da programmare e porre in essere sui processi esternalizzati

La gestione dei sistemi informativi in cloud: il ruolo delle funzioni di controllo

  • Il cloud computing sotto il profilo contrattuale e normativo nazionale ed europeo
  • I vantaggi del cloud computing e i rischi legati al trattamento dei dati
  • Il Cloud computing e la protezione dei dati personali
  • Le criticità legate alla gestione dei contratti

Testimonianza bancaria

Modulo 3

Il sistema informativo in banca: organizzazione e processi di gestione

Gestire ruoli e responsabilità nel processo ICT

  • La progettazione by design: la costruzione di un processo/servizio ICT conforme sin dall’ideazione all’erogazione

La gestione del rischio IT come elemento centrale della Sicurezza Informatica

  • Le responsabilità delle funzioni aziendali di controllo in banca nella gestione dell’IT risk, cyber risk e cyber crime
  • Modelli operativi, governance, flussi informativi
  • Il Framework di gestione del cyber risk: identificazione e misurazione, prevenzione, monitoraggio, mitigazione
  • Risk, Threat and Vulnerability Assessment

L’evoluzione del framework di gestione del rischio informatico

Il controllo e il monitoraggio del cyber risk

  • La definizione del Risk Appetite Framework per il rischio informatico e cyber risk
  • Gli strumenti per il monitoraggio del cyber risk: la definizione degli indicatori di rischio e le analisi di trend e di coerenza
  • La definizione di processi di Security Strategy e Security Governance
  • L’implementazione di modelli operativi e organizzativi per la gestione della Business Continuity

La gestione degli eventi di crisi

  • Dalla Business Continuity alla gestione nelle crisi: i processi di gestione nell’ordinario e in stato di emergenza
  • La definizione del piano di Disaster Recovery
  • Definizione di soluzioni tecnico-funzionali per implementare un sistema avanzato di Information Security
  • La gestione degli eventi di crisi e la definizione del piano di comunicazione

Esercitazione: comunicare l’evento di crisi

Focus on: monitoraggio e gestione della Brand Reputation

Le tecnologie e gli strumenti a supporto del cyber risk management

Cyber risk measurement: come prioritizzare i rischi cyber (Analisi di dati tratti dal rapporto CLUSIT 2018)

L’uso dei Big Data nella Fraud