Cyber Security e Audit

Nuovo obbligo per chi possiede una connessione SWIF

I possessori di una connessione di SWIFT sono obbligati a eseguire audit di sicurezza indipendenti a partire da quest'anno. Lo scopo dell’audit obbligatorio è rendere più sicuri i pagamenti internazionali e ridurre il rischio di frode. L’audit deve essere completato entro il 31 dicembre 2021.

L'iniziativa di SWIFT (Society for Worldwide Interbank Financial Telecommunication) fa parte del Customer Security Program, un piano pluriennale per rafforzare la sicurezza e la resilienza dell’intera catena delle transazioni. La rete SWIFT ha attualmente più di 11.000 organizzazioni affiliate in oltre 200 paesi.

L'audit si applica a tutte le organizzazioni con connessione SWIFT, ad es. società che operano pagamenti, infrastrutture del mercato di titoli e tesoreria, i broker e i dealer, le banche depositarie, le società di investimento, le Camere di Compensazione, società di negoziazione titoli, ecc.

Customer Security Controls Framework (CSCF)

Per eseguire gli audit, SWIFT fornisce il Customer Security Controls Framework (CSCF) agli auditors. Il CSCF ha 22 controlli obbligatori e 9 controlli opzionali. I controlli sono classificati in base a vari obiettivi di controllo chiave:

1. Limitare l'accesso a Internet e proteggere i sistemi critici rispetto al complessivo ambiente IT

2. Limitare la superficie di attacco e le vulnerabilità

3. Proteggere l'ambiente fisico

4. Prevenire la compromissione delle credenziali di accesso

5. Gestire le identità e la segregazione dei privilegi

6. Rilevare le anomalie nei sistemi e nelle transazioni registrate

7. Pianificare la risposta agli incidenti e la condivisione delle informazioni.

Sia i controlli obbligatori che i controlli opzionali contribuiscono a rendere il sistema di pagamento internazionale più trasparente e affidabile. Si raccomanda pertanto di non limitare preventivamente l'audit all'applicazione dei soli controlli obbligatori.

Qual è il perimetro dell’audit?

Il CSCF riconosce diverse architetture IT, da A1 ad A4 e B. L'architettura applicabile dipende da situazione a situazione ed è determinata principalmente dal modo in cui l’ownership e la gestione dei componenti IT (come interfacce e communication software) sono regolamentate. L'architettura determina anche l'ambito dell'audit e quali componenti e controlli IT sono applicabili (potrebbe essere quindi un sotto-insieme dei 22 controlli).

Un primo step in un audit sulla sicurezza SWIFT è, quindi, ottenere una visione chiara dell'architettura e dei componenti IT inclusi. È importante che ogni organizzazione abbia il report di audit applicabile al proprio perimetro e alle proprie connessioni, che potrebbero essere anche multiple. A seconda della struttura e dell'organizzazione IT, potrebbe esserci una sovrapposizione dei controlli applicabili. Naturalmente, in quel caso, si analizza in modo critico come la verifica può essere rispettata senza compromettere l'efficienza del processo.

Come si svolge un audit sulla cyber security?

L'audit comprende tre parti: Gap Analysis, definizione del perimetro e report Audit finale.

A. Analisi del gap

Reporting delle differenze tra la situazione attuale e desiderata, nonché consigli sull'ottimizzazione.

B. Definizione del perimetro (scoping)

Determinare il numero di connessioni, convalidare il tipo di architettura (da A1 ad A4 e B) e determinare l'ambito dei componenti IT e dei controlli CSCF.

C. Audit finale

Report in draft e report finale.

Se si preferisce, è possibile inizialmente eseguire solo una gap analysis. Ciò offre all'organizzazione l'opportunità di implementare già i miglioramenti più importanti prima che venga svolto l'audit finale.

IT Auditor Mazars

Il nostro team multidisciplinare di IT Auditor indipendenti ha anni di esperienza nella conduzione di audit e indagini sulla sicurezza informatica. Nel nostro team sono presenti revisori IT, specialisti di cyber security, hacker etici e specialisti di IT governance, di rischio e compliance IT.

L'audit SWIFT viene svolto sulla base del noto report di assurance indipendente ISAE3000A - International Standards on Assurance Engagements – emanato dall’International Auditing and Assurance Standards Board (“IAASB”) per gli incarichi che consistono in un esame completo.

Siamo una Società internazionale di audit, tax, advisory che aiuta i propri clienti a crescere e costruire i loro business in modo sicuro. Il nostro scopo è quello di comprendere i nostri clienti e il loro contesto, adattando i nostri suggerimenti e il nostro supporto di conseguenza.

Chiedi informazioni