Home » ICT Audit
La Banca ha necessità di ottemperare alle prescrizioni contenute nell’aggiornamento n.15 (Luglio 2013) della Circolare n. 263/2006 di Banca D’Italia, il quale stabilisce che:
L’intervento Audit analizza diversi aspetti, ad esempio:
Il Piano di Audit viene definito in base alla natura ed all’intensità dei rischi, come richiesto dalla Circolare 263:
Far acquisire alle persone coinvolte nella Formazione ICT Auditing le opportune conoscenze e competenze ritenute adeguate per svolgere l’attività in maniera autonoma. Il corso di formazione, dopo una breve introduzione a quelli che sono gli aspetti generali, avrà un approccio molto operativo alle tematiche presentate e permetterà ai partecipanti di applicare le conoscenze acquisite immediatamente ed autonomamente alla realtà aziendale. Se necessario, la formazione operativa può prevedere l’affiancamento da parte degli specialisti di Value Process al personale della Banca, anche nel continuo al fine di monitorarne l’effettivo apprendimento degli adempimenti richiesti.
L’attività di ICT Auditing in completo outsourcing consiste nella presa in carico dell’operatività di Audit sui sistemi informativi, e relative macchine, da parte del personale qualificato Value Process: tale operatività si intende comprensiva di tutte le attività ispettive, il cui output è generalmente la produzione di reportistica su framework della Banca, in accordo con le prescrizioni vigenti di Banca d’Italia e le normative impattanti in genere (es. Organizzazioni multinazionali che intendono rendersi compliant alle normative sovranazionali applicate da casa madre. La permanenza VP presso i locali della società è rigorosamente necessaria almeno nella fase iniziale del progetto, durante le attività di assessment.
Viene verificato lo stato dei sistemi (macchine ed apparati di rete) al fine di individuarne le vulnerabilità, in particolare: buffer overflow, man in the middel, password sniffing, cross site scripting, NNTP in ascolto, null session, FTP in ascolto, versione server web, cifratura SSL e relativo certificato di scadenza. Simulazione di un attacco all’infrastruttura del Cliente, per testarne la robustezza. Si tratta di un intervento “invasivo”, pertanto effettuato solo previa manleva del Cliente:
– Può simulare un attacco dall’esterno o dall’interno della rete aziendale;
– Viene effettuato su target predefiniti utilizzando indirizzi IP forniti dal cliente;
– Può essere anche molto mirato, sulla base di conoscenze dell’infrastruttura e di credenziali (anche non amministrative) fornite dal Cliente.
Siamo sempre alla ricerca di nuovi collaboratori pronti ad affrontare con noi le prossime sfide.
Value Process SRL