IL CUSTOMER SECURITY PROGRAM DI SWIFT - PWC
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Il Customer Security Program di Swift
Indice 1. Il Customer Security Program di Swift 2. I nostri servizi ed il nostro approccio 3. Perché PwC Il Customer Security Program di Swift PwC 2
Il Customer Security Program di Swift
Il caso Swift
2015 – 2016
Swift Banking
Network Breach A fronte del breach subito, Swift ha deciso di
supportare la comunità di utilizzatori del servizio nella
protezione verso i cyber-attack e ha avviato un
programma di Cybersecurity Culture a livello
globale volto a:
Payments • misurare il livello di sicurezza delle banche aderenti
Banks Swift
security al network
• fornire indicazioni sulle minacce emergenti e sulle
misure più adeguate per gestire il rischio cyber
Bangladesh Central
Bank Theft: 101
milioni di dollari di
perdite
Il Customer Security Program di Swift
PwC 4Il programma di Cybersecurity Culture avviato da Swift:
Il Customer Security Program (CSP)
Il framework CSP è articolato in una struttura piramidale basata su:
- 3 obiettivi-chiave
- 8 principi
- 31 controlli
3 Obiettivi-Chiave 8 Principi 31 Controlli
1. Restrict internet access
Secure your 2. Protect critical systems from general IT environment I 31 Controlli ad oggi previsti si
environment 3. Reduce attack surface and vulnerabilities suddividono in 21 Obbligatori e 10
Consigliati (il perimetro viene
4. Physically secure the environment
rivisto annualmente).
Know and limit 5. Prevent compromise of credentials La struttura di controlli è
access 6. Manage identities and segregate privileges applicabile a tutti gli utilizzatori del
servizio, lungo tutta la catena in
essere per l’esecuzione delle
transazioni e la relativa
Detect and 7. Detect anomalous activity to system or transaction infrastruttura locale di SWIFT.
Respond records
Fonte: Swift.com 8. Plan for incident response and information sharing
Il Customer Security Program di Swift Fonte: Swift.com – obiettivi e principi sono stati
PwC mantenuti in lingua in assenza di una traduzione 5
ufficiale in italianoIl programma di Cybersecurity Culture avviato da Swift:
evoluzione del Framework e scadenze temporali
Le recenti evoluzioni del Framework CSP
• 2019 - Rispetto alla precedente
versione, sono stati introdotti 2
nuovi controlli consigliati ed i
controlli obbligatori sono diventati
19 (rispetto ai 16 precedenti).
• 2020 – Il Framework comprende 2
nuovi controlli consigliati e gli
obbligatori sono saliti a 21.
Sono previste ulteriori evoluzioni nella
versione 2021
Dal 2020 viene richiesta anche una valutazione indipendente tramite attestazione di una terza parte o da parte di una
struttura interna indipendente (esempio internal audit, risk management, compliance).
Il Customer Security Program di Swift
PwC 6I nostri servizi ed il nostro approccio
Come possiamo aiutarvi
Possiamo accompagnarvi lungo tutto il ciclo di vita del Framework CSP, partendo dall’analisi della situazione attuale,
fino all’attestazione di terza parte, mettendo a Vostra disposizione esperti in ambito Cybersecurity nelle linee di servizio
aziendali Assurance e Consulting.
Gap Analysis Ulteriori servizi in ambito
Analisi dei presidi in essere rispetto ai requisiti SWIFT 1 Cybersecurity
Oltre a tali ambiti, siamo in grado
Piano di rimedio di supportarVi anche
Definizione e sviluppo di un piano di rimedio atto ad indirizzare le divergenze
identificate nella fase di Gap Analysis
2 nell’implementazione dei presidi
di sicurezza e nello svolgimento
di attività specifiche correlate al
Attestazione recepimento di quanto previsto
dal CSP di SWIFT.
Valutazione della conformità ai requisiti SWIFT tramite attestazione indipendente
sui controlli attraverso l’utilizzo di standard internazionali (es. ISAE 3000, ISRS 4400)
3
Il Customer Security Program di Swift
PwC 8Il nostro approccio metodologico
Gap Analysis e Piano di rimedio
A
Identificazione del perimetro
Identificazione del perimetro in ambito per il CSP (tipologia di
B Rilevazione della situazione in essere
Rilevazione della situazione as-is dei presidi di sicurezza rispetto a
infrastruttura, processi e le persone) oggetto di analisi perimetro e modello definiti in precedenza
Identificazione di eventuali modelli di sicurezza in essere (es Analisi di allineamento dei presidi di sicurezza definiti
NIST, ISO 27001) con impatto sul medesimo perimetro, considerando dall’organizzazione rispetto ai requisiti del modello
anche le correlazioni con eventuali terze parti (esempio service Identificazione della correlazione con altri framework di sicurezza (ove
bureau) necessario)
Risultati:
Perimetro dei controlli, processi o organizzazione ambito di Risultati:
applicazione per il framework CSP Rilevazione ed assessment della situazione as-is e dei presidi di
controllo in essere.
C
Definizione della Gap analysis rispetto al modello
Svolgimento di una gap analysis, tramite l’applicazione dei requisiti
D
Piano di implementazione delle azioni di miglioramento
Identificazione delle azioni di miglioramento, necessarie per colmare i
SWIFT, finalizzata ad evidenziare: gap identificati
eventuali ambiti organizzativi e/o processi da definire o modificare, Predisposizione di un piano di implementazione, sia in forma
eventuali presidi di sicurezza mancanti o non coerenti con i requisiti dettagliata sia in forma di executive summary, con tempistiche
strutturati nella fase iniziale. coerenti con le roadmap richieste dalle linee guida ministeriali
Analisi del rischio a cui si è esposti derivante dai gap identificati. Eventuale supporto alle azioni d’implementazione
Risultati: Risultati:
Identificazione di eventuali carenze rispetto al modello di sicurezza, e Piano di implementazione delle azioni di miglioramento
valutazione di minacce / rischi a cui l’organizzazione è esposta
Il Customer Security Program di Swift
PwC 9Il nostro approccio metodologico
Attestazione
Come PwC possiamo effettuare un’attività di attestazione indipendente sul perimetro di controlli applicabili secondo standard di
assurance internazionali. Si riportano di seguito le fasi connesse all’approccio metodologico da noi utilizzato per l’emissione di un
report di attestazione:
Fase 1
Fase 2 Fase 3 Fase 4 Fase 5
Start Up
Scoping Comprensione Valutazione Chiusura
dell’Assesment
Fase 1: Start up Fase 2: Scoping Fase 3: Comprensione Fase 4: Valutazione Fase 5: Chiusura
• Determinazione del • Conferma degli obiettivi • Interviste al personale • Valutazione dei presidi di • Formalizzazione del
perimetro organizzativo da dell’intervento, ai fini della coinvolto nella gestione/o nel sicurezza e del modello documento di verifica e dei
coinvolgere definizione del perimetro di funzionamento del modello di documentale tramite verifica relativi esiti.
• Svolgimento del kick-off attestazione (controlli sicurezza sul campo di quanto • Finalizzazione ed emissione
meeting obbligatori o anche • Analisi della implementato del report secondo lo
consigliati) documentazione • Raccolta dei risultati e standard concordato (ad
• Identificazione della predisposta (politiche e classificazione delle eventuali esempio ISAE 3000, ISRS
tipologia d’infrastruttura, procedure) anomalie finalizzata ad 4400).
dei processi e • Comprensione di come i evidenziare aree di esposizione
dell’organizzazione in presidi di sicurezza sono al rischio con focus particolare
perimetro stati implementati su:
• Identificazione di eventuali • Rilevazione e comprensione presidi di sicurezza non
modelli di sicurezza con cui di eventuali prassi in esistenti
raccordarsi essere non documentate presidi di sicurezza ritenuti
solo parzialmente idonei
Il Customer Security Program di Swift
PwC 10Perché PwC
Perché PwC
La nostra esperienza
Vi possiamo supportare in modo unico grazie alla combinazione di competenze, conoscenze ed esperienze:
Abbiamo supportato più società (in particolare 1 3 Come PwC abbiamo eseguito la Breach Investigation & Breach
Indicator Assessment
nell’ambito finanziario) nella preparazione alla SWIFT
CSP compliance, anche a livello globale Abbiamo effettuato l’investigazione a seguito del sofisticato attacco
APT subito da SWIFT sulla banca asiatica.
Abbiamo eseguito diversi SWIFT security assessment e Successivamente siamo stati incaricati di eseguire un’analisi più
aiutato i nostri clienti alla preparazione per l’attestazione sin approfondita sull’incidente al fine di comprendere le modalità con
dal 2017. cui l’attacco ha avuto successo e quindi identificare le azioni di
Abbiamo un’approfondita conoscenza dei requisiti del SWIFT Possiamo mettere a Vostra rimedio da porre in essere.
CSP, dell’infrastruttura SWIFT e del suo funzionamento.
disposizione
team con elevata
esperienza nell’ambito
PwC effettua un security audit sulla stessa SWIFT su 2 della sicurezza e 4 Lavoriamo da tempo con importanti realtà internazionali ai fini
base annuale conoscenza di SWIFT del rilascio di attestazioni indipendenti sui controlli in ambito
SWIFT CSP
Dal 2017 PwC effettua un’attestazione indipendente sulla
Supportiamo diverse banche internazionali al fine dell’emissione di
sicurezza della stessa SWIFT (https://www.swift.com/2018-
un’attestazione indipendente sul disegno dei controlli in ambito
ISAE-3000-type-2-reports) tramite l’emissione di un report
SWIFT CSP, valutando i controlli implementati per differenti
ISAE 3000.
ambienti SWIFT e su differenti tipologie di architetture.
Nel perimetro del report sono inclusi i servizi di: SWIFTNet
Le attività svolte prevedono anche tramite l’emissione di report
and FIN, Alliance Lite 2, e Interface Products.
ISAE 3000.
Il Customer Security Program di Swift
PwC 12Perché PwC I nostri strumenti (1/2) A supporto dell’assessment SWIFT abbiamo sviluppato una correlazione tra i requisiti SWIFT e i principali standard di sicurezza del mercato quali: NIST, ISO 27001, PCI-DSS. Tale mappa vi permetterà di allineare facilmente i requisiti del CSP con modelli di sicurezza già presenti in società. Il Customer Security Program di Swift PwC 13
Perché PwC
I nostri strumenti (2/2)
Gli strumenti che abbiamo
sviluppato consentono di
disporre di una vista di alto
livello dei requisiti SWIFT con
individuazione di eventuali
criticità e la formulazione di note
per l’implementazione delle
misure da inserire a piano,
Ufficio 1 Ufficio 2 Ufficio 3 Ufficio 4 Ufficio 6 Ufficio 7
Ufficio 5
fornendo anche una
valutazione dei controlli in
carico alle varie strutture
Il Customer Security Program di Swift
organizzative.
PwC 14pwc.com/it This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or exhaustiveness of the information contained in this publication, and, to the extent permitted by law, [insert legal name of the PwC firm], its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. © 2020 PricewaterhouseCoopers SpA and PricewaterhouseCoopers Advisory SpA. All rights reserved. Not for further distribution without the permission of PricewaterhouseCoopers SpA and PricewaterhouseCoopers Advisory SpA. In this document, “PwC” refers to PricewaterhouseCoopers SpA and PricewaterhouseCoopers Advisory SpA which are member firms of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.
Puoi anche leggere
