Transcription of 15° Aggiornamento Circolare 263/2006: …
1 1 - padova - ISACA VENICE Chapter Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso Informa(on and Communica(on Technology supply chain security 15 Aggiornamento Circolare 263/2006: Esternalizzazione di funzioni aziendali Luca Lazzaretto Rosangela D'Affuso padova , 29 aprile 2015 2 - padova - ISACA VENICE Chapter Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso 15 Aggiornamento Circolare 263/2006: Esternalizzazione di funzioni aziendali 3 - padova - ISACA VENICE Chapter Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso Information and Communication Technology supply chain security Sponsor dell evento Partner di ISACA VENICE Chapter CSQA Cer(ficazioni Srl, azienda accreditata da ACCREDIA e APMG- Interna(onal 4 - padova - ISACA VENICE Chapter Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso Information and Communication Technology supplay chain security Sponsor e sostenitori di ISACA VENICE Chapter Con il patrocinio di ISACA VENICE PER L ATTIVITA SVOLTA NEL 2014 HA RICEVUTO I SEGUENTI AWARD.))))
2 BEST MEDIUM CHAPTER WORLDWIDE AND EUROPE/AFRICA GROWTH MENTION 5 - padova - ISACA VENICE Chapter Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso Luca Lazzaretto Manager di KPMG Advisory, ha conseguito la laurea specialis(ca in ingegneria delle Telecomunicazioni presso la Facolt di ingegneria dell universit di padova nel 2007. Ha successivamente iniziato a lavorare in Accenture all interno della LoS Technology Consul(ng Security Informa(on e nel 2012 ha iniziato a lavorare in KPMG Advisory all interno della LoS Informa(on Risk Management dove ad oggi ricopre il ruolo di Manager. Nel corso degli anni ha partecipato a svaria( proge\ rela(vi all IT Security, IT Strategy, IT Governance, Risk and Compliance, Business Con(nuity e Iden(ty & Access Management, sia in contes( italiani che esteri.)))))))))
3 A^ualmente segue proge\ lega( al mondo dell Industry Financial and Insurance Services e nell ul(mo anno si occupato di IT Security Assessment, sviluppo e implementazione di tool GRC (Governance Risk and Compliance) e compliance rela(va al 15 Aggiornamento Circolare n. 263/2006 di Banca d Italia. Le a^uali cer(ficazioni in possesso sono rela(ve al CISA, ISO 27001 Lead Auditor, ITIL v3 Founda(on, RSA Archer Admin e BS25999 Lead Auditor. 6 - padova - ISACA VENICE Chapter Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso Rosangela D'Affuso Specialista di Veneto Banca in ambito IT Governance, ha conseguito la laurea specialis(ca in Intelligenza Ar(ficiale e Robo(ca della Facolt di Ingegneria Informa(ca presso il Politecnico di Milano nel 2008.))))))))))
4 Ha iniziato a lavorare fin da subito nel se^ore bancario approdando nel 2008 in CheBanca! e nel 2013 in Veneto Banca, all interno della Divisione Opera(ons. Nel corso degli anni ha partecipato a diversi proge\ rela(vi ad IT Strategy, IT Governance, Business Con(nuity, Risk and Compliance e IT Security. A^ualmente segue proge\ lega( all implementazione di un Service Desk aziendale e alla compliance ai principali adempimen( in materia Privacy; nell ul(mo anno si occupata come capo proge^o di compliance ai Capitoli 8 e 9 del 15 Aggiornamento Circolare n. 263/2006 di Banca d Italia. Le a^uali cer(ficazioni in possesso sono rela(ve a Lean Six Sigma, Business Con(nuity Ins(tute (BCI), ITIL v3 Intermediate Service Design, ITIL v3 Founda(on; ha inoltre seguito i corsi CRISC, COBIT , Project Management Ins(tute (PMI).))))))))))))
5 7 - padova - ISACA VENICE Chapter Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso Abstract Alla luce delle nuove disposizioni di vigilanza prudenziale per le Banche 15 Aggiornamento Circolare n. 263/2006 emanato da Banca d Italia nel 2013 stata introdo^a un organica disciplina in materia di esternalizzazione di funzioni aziendali. Il ricorso all esternalizzazione funzionale ad accrescere la flessibilit organizza(va delle Banche che possono cos dedicare maggiori risorse al core business oltre che a perseguire obie\vi di riduzione dei cos(. In par(colare, il ricorso all outsourcing ammesso, in coerenza con l apposita poli(ca che deve essere definita in materia, purch le Banche presidino a^entamente i rischi derivan( dalle scelte effe^uate e mantengano la capacit di controllo e la responsabilit delle a\vit esternalizzate.)))))
6 I requisi( richies( per procedere all outsourcing di funzioni aziendali sono gradua( in modo diverso a seconda del caso in cui si tra\ di esternalizzazione verso terza parte o internalizzazione verso una societ del gruppo e che l ambito riguardi funzioni opera(ve importan( (quali ad esempio i sistemi informa(vi) o funzioni di controllo. Obie\vo dell approfondimento consiste nel fornire una breve panoramica dei requisi( e dei vincoli introdo\ dalla norma(va di riferimento supporta( dalla presentazione di Business Case circa l impianto documentale implementato da Veneto Banca 8 - padova - ISACA VENICE Chapter Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso Agenda Introduzione L'esternalizzazione: norma(va di riferimento Business Case 9 - padova - ISACA VENICE Chapter Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso Agenda Introduzione Contesto norma?))))))))))
7 Vo di riferimento ObieCvi della norma Overview della norma Tempis?che di adeguamento L'esternalizzazione Business Case 10 - padova - ISACA VENICE Chapter Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso Introduzione Banca d'Italia, a luglio 2013, ha emanato il 15 Aggiornamento della Circolare n. 263/2006 "Nuove disposizioni di vigilanza prudenziale per le banche", introducendo capitoli dedica? al: Il Sistema dei Controlli Interni (Capitolo 7) Il Sistema Informa(vo (Capitolo 8) La Con(nuit Opera(va (Capitolo 9) Contesto normativo di riferimento LA CONTINUIT OPERATIVA ( ) IL SISTEMA INFORMATIVO ( ) IL SISTEMA DEI CONTROLLI INTERNI ( ) 11 - padova - ISACA VENICE Chapter Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso Introduzione La norma?)))
8 Va introdo9a finalizzata a: rafforzare le capacit delle banche nella ges(one dei rischi aziendali rivedere in modo organico ed omogeneizzare il quadro norma(vo rela?vo alla materia in ogge9o incorporare e promuovere best prac@ces Tali innovazioni sono volte a (ri)definire i principi e le linee guida cui le Banche si devono uniformare, in termini di organizzazione, ruoli e compi? di organi/funzioni aziendali, sviluppo e ges?one del sistema informa(vo, adeguatezza dei presidi e dei livelli di con(nuit opera(va Obiettivi della normativa 12 - padova - ISACA VENICE Chapter Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso Introduzione Le priorit di intervento rela?)))))
9 Ve alle principali novit introdo9e possono essere sinte?zzate nei seguen? pun?: Overview della normativa 14. Comunicazione degli inciden? e dei fa9ori anomali rilevan? alle stru9ure preposte alla dichiarazione dello stato d emergenza 15. Introduzione di una stru9ura per il coordinamento della ges?one delle crisi opera?ve 1. Implementazione di un Risk Appe)te Framework 2. Disegno di un processo di ges?one integrata dei rischi 3. Disegno di un compliance framework 4. Estensione del perimetro del RM sul monitoraggio andamentale delle posizioni credi?zie 5. Definizione processo per iden?ficazione e approvazione operazioni maggior rilievo 6. Collocazione organizza?va delle funzioni di controllo 7. Raccordo (policy e processi) tra organi e funzioni di controllo aziendali 8.
10 Previsione di apposita policy di esternalizzazione vs terze par? chiave 9. L'analisi e la ges?one del rischio informa?co 10. Formalizzazione compi? e responsabilit delle funzioni: ICT, Sicurezza Informa?ca, Controllo del rischio Informa?co e compliance ICT (governo e organizzazione del sistema informa?vo) 11. Definizione di uno standard aziendale di Data governance 12. La ges?one della sicurezza informa?ca (definizione delle policy rela?ve alla sicurezza, cambiamento, etc.) 13. Definizione di una poli?ca di esternalizzazione ICT e revisione dei contraC CONTINUIT OPERATIVA ( ) SISTEMA INFORMATIVO ( ) SISTEMA DEI CONTROLLI INTERNI ( ) 13 - padova - ISACA VENICE Chapter Sviluppo delle strategie di outsourcing nel mercato ICT Luca Lazzare9o e Rosangela D'Affuso Introduzione Banca d'Italia ha inoltre definito una ?
