Panorama Assicurativo Ania

🇫🇷 Cyber risk

LA VIGILANZA FRANCESE (ACPR) AGGIORNA IL SUO “DOCUMENT DE RÉFLEXION” IN MATERIA DI CYBER RISK

“Le risque informatique - Document de réflexion" (Janvier 2019 - DOCUMENT FINAL)

Marc ANDRIES, David CARTEAU, Sylvie CORNAGGIA, Pascale GINOLHAC, Cyril GRUFFAT, Corinne Le MAGUER (Autori) - Roméo FENSTERBANK, Thierry FRIGOUT, Pierre HARGUINDEGUY, Christelle LACAZE (Contributors)

ACPR - BANQUE DE FRANCE
https://acpr.banque-france.fr/

ACPR - Link al REPORT


ACPR – l’Autorità di vigilanza prudenziale sul settore finanziario francese – ha recentemente aggiornato e ripubblicato (versione 2019, “Document Final”) un “documento di riflessione”, del marzo 2018,  in materia di cyber risk(1).

Il testo è stato aggiornato in seguito ai commenti ricevuti dopo la sua prima pubblicazione e anche a seguito  di una Tavola Rotonda dedicata al rischio informatico (settembre 2018).

Le integrazioni includono quanto segue:

  • chiarimenti sulla  definizione di “rischio informatico”, al fine di evidenziare che essa include ogni tipo di problema o défaillance  in grado di influire sui processi di gestione del sistema informativo (inclusi i rischi associati all'uso improprio da parte degli utenti);
  • la definizione di “sicurezza informatica” è stata ampliata, per indicare che lo sforzo di protezione è finalizzato anche ad evitare eventuali negligenze in grado di condurre a potenziali danni;
  • chiarimenti sull'organizzazione necessaria al controllo/gestione dei rischi informatici. Viene evidenziata l’importanza di un'organizzazione basata sul modello delle “tre linee di difesa", secondo un sistema già applicato, ad esempio, al rischio operativo. Secondo tale modello, la funzione IT è responsabile della realizzazione – sul piano operativo – dei sistemi informativi e della sicurezza, deve identificare i rischi correlati (e definire le politiche e gli standard necessari a controllarli), deve impostare strategie e procedure di verifica.
  • ruolo del Chief Information Security Officer, la cui posizione deve essere tale da garantirgli possibilità di contatto con i vertici aziendali, per poterli  informare/allertare in caso di situazione di rischio eccezionale.

Sono  stati inoltre aggiunti due ulteriori fattori di rischio:

  • "difetto nell'analisi dei rischi": si tratta di un fattore che può influire sul processo di "organizzazione del sistema informativo". Si evidenzia meglio la natura essenziale delle risk analysis da svolgere prima di intraprendere nuovi progetti e attività, quando essi comportino un'evoluzione del sistema informativo (o possano avere eventuali conseguenze a carico dell’IT);
  • "difetto nel software": tale fattore di rischio integra quelli relativi alla "errata gestione dei cambiamenti” (modifiche, evoluzioni, correzioni), che possono riguardare il processo di funzionamento del sistema informativo. Tale fattore consente di specificare i requisiti relativi al livello di qualità delle applicazioni.

Il “Document Final” di ACPR, pertanto,  fornisce una categorizzazione più completa del cyber risk, al fine di poterlo effettivamente gestire nella sua interezza.

Come per il precedente,  il documento 2019 risulta articolato come segue:

  • introduzione;
  • il rischio informatico e le sue connessioni con il rischio operativo;
  • organizzazione dei sistemi IT e della loro sicurezza;
  • funzionamento dei sistemi IT;
  • sicurezza dei sistemi informativi;
  • “categorizzazione” del rischio informatico.

______________________________

(1) Per la precedente versione dello studio, si veda:  Cyber Risk: la vigilanza francese (ACPR)  pubblica un Document de Réfléxion, in Panorama Assicurativo n. 175, maggio 2018 (Sezione “NORMATIVA”).
http://www.panoramaassicurativo.ania.it/admin/plugin/panorama/view.html?id=39598&est=1