La Banca ha necessità di ottemperare alle prescrizioni contenute nell’aggiornamento n.15 (Luglio 2013) della Circolare n.263/2006 di Banca D’Italia, il quale stabilisce che:

  • la Banca valuti periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema informativo (ICT Audit), con cadenza prefissata in relazione alla natura e all’intensità dei rischi;
  • la funzione di revisione interna (Internal Audit) presenti annualmente un piano di Audit che contenga una sezione dedicata alla revisione del sistema informativo (ICT Auditing);
  • l’Internal Audit disponga di competenze specialistiche (interne o esterne, purché indipendenti rispetto alla funzione oggetto di Audit) per la revisione del sistema informativo.

 

ICT Audit

L’intevento Audit analizza diversi aspetti, ad esempio:

  • la strategia ed il governo dei Sistemi Informativi;
  • la gestione delle risorse umane interne;
  • la conduzione dei progetti;
  • lo sviluppo, l’acquisto e l’installazione di software e hardware;
  • gli aspetti di sicurezza informatica, logica e fisica;
  • l’operatività quotidiana dei Sistemi Informativi.

Il Piano di Audit viene definito in base alla natura ed all’intensità dei rischi, come richiesto dalla Circolare 263:

  • rischi legati al business ed al funzionamento dei Sistemi Informativi;
  • rischio di Audit (efficacia dell’attività di Audit, ad esempio rischio di non individuazione di un’errata operatività).

 

Formazione ICT Auditing

Far acquisire alle persone coinvolte nella Formazione ICT Auditing le opportune conoscenze e competenze ritenute adeguate per svolgere l’attività in maniera autonoma. Il corso di formazione, dopo una breve introduzione a quelli che sono gli aspetti generali, avrà un approccio molto operativo alle tematiche presentate e permetterà ai partecipanti di applicare le conoscenze acquisite immediatamente ed autonomamente alla realtà aziendale. Se necessario, la formazione operativa può prevedere l’affiancamento da parte degli specialisti di Value Process al personale della Banca, anche nel continuo al fine di monitorarne l’effettivo apprendimento degli adempimenti richiesti.

ICT Auditing in full outsourcing

L’attività di ICT Auditing in completo outsourcing consiste nella presa in carico dell’operatività di Audit sui sistemi informativi, e relative macchine, da parte del personale qualificato Value Process: tale operatività si intende comprensiva di tutte le attività ispettive, il cui output è generalmente la produzione di reportistica su framework della Banca, in accordo con le prescrizioni vigenti di Banca d’Italia e le normative impattanti in genere (es. Organizzazioni multinazionali che intendono rendersi compliant alle normative sovranazionali applicate da casa madre. La permanenza VP presso i locali della società è rigorosamente necessaria almeno nella fase iniziale del progetto, durante le attività di assessment.

Vulnerability Assessment & Penetration Test

Viene verificato lo stato dei sistemi (macchine ed apparati di rete) al fine di individuarne le vulnerabilità, in particolare: buffer overflow, man in the middel, password sniffing, cross site scripting, NNTP in ascolto, null session, FTP in ascolto, versione server web, cifratura SSL e relativo certificato di scadenza. Simulazione di un attacco all’infrastruttura del Cliente, per testarne la robustezza. Si tratta di un intervento “invasivo”, pertanto effettuato solo previa manleva del Cliente:

– Può simulare un attacco dall’esterno o dall’interno della rete aziendale;

– Viene effettuato su target predefiniti utilizzando indirizzi IP forniti dal cliente;

– Può essere anche molto mirato, sulla base di conoscenze dell’infrastruttura e di credenziali (anche non amministrative) fornite dal Cliente.