Sicurezza delle informazioni e Cybersecurity: questo uno dei temi di maggiore rilievo per tutte le aziende operanti nel settore finanziario. La sicurezza informatica all’interno delle banche e delle assicurazioni passa, anche sul nostro territorio nazionale, attraverso la compliance SWIFT. L’attenzione alla sicurezza informatica si sviluppa attraverso una formazione tecnica operativa necessaria alla sensibilizzazione degli addetti ai lavori all’interno delle Banche, Istituti di Credito, finanziarie e compagnie assicurative. Proteggere le transazioni internazionali attraverso lo sviluppo delle misure di sicurezza tecnologiche, informatiche, amministrative ed organizzative, diventa una delle priorità dei manager e dei responsabili informatici che si occupano della cybersecurity del settore bancario.
Che cos’è la Compliance SWIFT
Definita dalla Society for Worldwide Interbank Financial Telecomunication, la compliance SWIFT, determina la sicurezza delle informazioni e la protezione delle transazioni finanziarie internazionali.
La società SWIFT, con sede a Bruxelles definisce l’infrastruttura alla base dello scambio di informazioni riguardanti le transazioni finanziarie internazionali in modo certificato, standard, in poche parole sicuro, standardizzato tra e verso le istituzioni finanziarie.
I protocolli di comunicazione dei messaggi standard e la rete SWIFNet definiscono la sintassi e le regole di comunicazione interna ed esterna.
Ecco, quindi, che ogni istituzione finanziaria tra cui anche la banca, viene identificata con un codice unico, univoco indicato come codice BIC, codice SWIFT o ISO 9362.
La Cybersecurity nella compliance SWIFT
Obiettivo generale e attenzione massima ai sistemi di sicurezza informatica. Il settore finanziario rappresenta uno dei possibili ambiti a forte rischio frode. Gli attacchi informatici devono essere prevenuti a tutela del singolo utente privato e a salvaguardia dell’economicità delle aziende, pubbliche e private.
Le politiche SWIFT definiscono come ogni cliente sia autore e responsabile della sicurezza dei dati, della sicurezza delle proprie informazioni finanziarie ed economiche. SWIFT condivide, al fine di mantenere la garanzia di un forte sistema interbancario e di un sistema finanziario sicuro, un programma di responsabilità condiviso tra clienti e fornitori di tutti i servizi SWIFT. Ecco l’avvio quindi di specifici programmi di sensibilizzazione informatica con alla base la compliance e l’attenzione alla cybersecurity finanziaria e bancaria.
Il programma Swift Customer Security Program (CSP)
Trattasi di un modello di programma dedicato e riservato ai clienti SWIFT. L’obiettivo è sviluppare la condivisione e l’elaborazione delle informazioni di tutta la rete: comunità, istituti bancari, finanziarie, clienti e fornitori.
La sensibilizzazione rispetto al progetto SWIFT definito “Customer Security Controls Framework”, si pone come obiettivo una serie comune di controlli di sicurezza obbligatori e opzionali definiti ad hoc per prevenire attacchi informatici ed aiutare i clienti a sviluppare una cultura finanziaria e tecnologica ad impatto concreto sul target sicurezza delle informazioni e dei dati.
Sicurezza informatica: il Customer Security Controls Framework
SWIFT definisce quindi obiettivi, metodi, principi fondamentali e controlli operativi alla base del programma di sensibilizzazione alla sicurezza nel settore bancario, assicurativo e finanziario.
Il Customer Security Controls Framework definisce 29 controlli operativi, diciannove dei quali obbligatori e 10 opzionali ma fortemente consigliati.
Le attività elencate attraverso il Framework permettono di attivare i principi alla base della sicurezza informatica:
– rendere sicuro l’ambiente e l’infrastruttura,
– conoscere, definire e controllare gli accessi ed i diritti,
– individuare possibili falle, possibili attacchi e rispondere prontamente
I principi SWIFT del Customer Security Controls Framework
I principi dettati da SWIFT guidano l’operatività in ambito controllo e prevenzione e sono utili e necessari alla sicurezza bancaria. Il framework prevede che l’azienda e la banca applichino controlli di sicurezza lato client e lato componente server. I principi alla base della sicurezza informatica guidano alla soluzione tecnologica, organizzativa, implementativa dei controlli atta alla sicurezza informatica.
Applicare i principi SWIFT all’interno delle procedure standard di istituti di credito, banche e agenzie finanziarie è uno dei vantaggi legati alla sicurezza ed alla cybersecurity.
Di seguito sono riassunti i consigli e i principi SWIFT utili per i CIO, IT Manager e Responsabili sicurezza dei sistemi bancari:
Proteggi il tuo ambiente e la tua organizzazione
Limita l’accesso a Internet e proteggi i sistemi critici dalla generale infrastruttura IT.
Riduci la superficie di attacco e limita le vulnerabilità.
Proteggi l’ambiente fisico di lavoro.
Conosci e limita gli accessi
Previeni la compromissione ed il furto delle credenziali.
Gestisci le identità e definisci accessi e diritti.
Individua e rispondi
Rileva attività anomale nei sistemi o nei record delle transazioni.
Organizza un piano per la risposta agli incidenti e per la condivisione delle informazioni.
Banche e controlli del framework di sicurezza informatica
I controlli tecnici devono essere effettuati sull’infrastruttura locale SWIFT, devono comprendere il completo parco hardware e software specifico ed utilizzato per la gestione dell’ambiente SWIFT, gli HSM, se presenti, i sistemi di virtualizzazione utilizzati, le macchine virtuali utilizzate per ospitare il software SWIFT, gli apparati di rete e di sicurezza utilizzati per la segmentazione e l’ambiente fisico dove sono ospitati.
Occorre definire le modalità attraverso cui avviene il flusso di scambio di tutti i dati circolanti tra l’infrastruttura SWIFT locale e il software di background.
Necessario definire attività di formazione e consulenza per gli operatori che interagiscono e che lavorano attraverso l’infrastruttura SWIFT. Tutti gli utenti che utilizzano il sistema operativo e le applicazioni legate al programma SWIFT necessitano di aggiornamento e formazione su sicurezza informatica e sulla gestione di macchine e PC dedicati alla connessione all’infrastruttura.
Vediamo nel dettaglio le procedure richieste per la Compliance SWIFT di base
-
Limita l’accesso a Internet e proteggi i sistemi critici dalla generale infrastruttura IT
(Restrict Internet Access and Protect Critical Systems from General IT environment)
La protezione dell’intero ambiente SWIFT viene richiesto attraverso la creazione di una rete segregata e protetta dal resto dell’ambiente IT generale. Si tratta di una “secure zone” caratterizzata da accesso limitato ad Internet. La zona dovrà contenere i sistemi dell’infrastruttura locale SWIFT. Gli operatori potranno accedere alla secure zone o attraverso una postazione di lavoro dedicata, senza accesso ad Internet e senza software general purpose installato, oppure attraverso un dedicato e protetto jump server.
Massima tracciatura di eventuali accessi effettuati in secure zone tramite l’utilizzo di account amministrativi Riduci la superficie di attacco e limita le vulnerabilità.
-
Riduci la superficie di attacco e limita le vulnerabilità
(Reduce Attack Surface and Vulnerabilities)
Obbligatoria e necessaria la totale messa in sicurezza dei flussi di scambio dati da e verso la secure zone, sia applicativi che relativi alle sessioni degli operatori. Devono essere gestite le applicazioni delle patch di sicurezza, l’hardening dei sistemi, l’esecuzione almeno annuale di un vulnerability scanning con gestione delle vulnerabilità rilevate.
-
Proteggi l’ambiente fisico di lavoro
(Physically Secure the Environment)
Il protocollo richiede di sviluppare ed implementare la sicurezza fisica dei sistemi SWIFT. Obbligo di conservare i dati in un data center ad accesso controllato. Data Center che deve essere gestito attraverso efficaci protezioni fisiche ed ambientali. Allo stesso modo: le postazioni degli operatori devono essere posizionate in luoghi ad accesso controllato. Tutti gli accessi remoti devono essere regolamentati da un’apposita policy di sicurezza informatica.
-
Previeni la compromissione ed il furto delle credenziali
(Prevent Compromise of Credentials)
La base di una efficace protezione informatica parte dall’autenticazione a due fattori. Per gli SWIFT viene richiesta la gestione interna di una password policy. Obbligo quindi di accedere ai sistemi SWIFT attraverso la multi-factor authentication.
-
Gestisci le identità e definisci accessi e diritti
(Manage Identities and Segregate Privileges)
Controllo degli accessi attraverso i principi del “Need-to-know”, del “Least Privilege” e della “Segregation of Duties and 4-Eyes”. Necessaria la revisione periodica degli account compresi diritti, fattori di autenticazione, token, password di emergenza. Ogni dato deve essere mantenuto in luogo sicuro e protetto e occorre tracciarne l’utilizzo e gestire la corretta cifratura dei codici
-
Rileva attività anomale nei sistemi o nei record delle transazioni.
(Detect Anomalous Activity to Systems or Transaction Records)
Obbligo di mantenere presenza operativa e costante aggiornamento di sistemi di protezione dal malware, virus ed attacchi informatici sia esterni sia interni. Necessario il controllo tecnico dei sistemi e la verifica dell’integrità del software utilizzato e dei database dove sono conservati le transazioni. Controlli periodici e definiti di gestione di log e di sistemi per il logging e il monitoraggio che permettano di rilevare eventuali anomalie. Consigliata la gestione e la predisposizione dei un sistema di Intrusion Detection.
-
Organizza un piano per la risposta agli incidenti e per la condivisione delle informazioni
(Plan for Incident Response and Information Sharing).
Obbligo di definire un piano di sensibilizzazione e coinvolgimento degli utenti utilizzatori dei sistemi SWIFT. È necessario definire le modalità di possibile risposta agli incidenti di sicurezza e implementare un programma di formazione e aumento delle competenze degli utenti ed operatori SWIFT sui temi della cybersecurity. Consigliato: effettuare un penetration test a cadenza definita, una costante formazione dei tecnici informatici e dei manager in ambito Sicurezza e Ethical Hacking, una effettiva gestione di un risk assessment basato su scenari di settore.
Consulenza in ambito Cybersecurity
Affidati a Nexsys e a Silver Academy per la gestione del percorso formativo di sensibilizzazione al tema della sicurezza per utenti. Se sei il responsabile delle risorse umane o l’IT Manager di una banca, istituto di Credito, finanziaria o società assicurativa o operi in società collegate al mondo finanziario, richiedi la tua consulenza per la gestione della Cybersecurity in azienda. Siamo a tua disposizione per gestire la sicurezza informatica nelle banche e in tutti i settori collegati al mondo SWIFT. Scegli di pianificare il tuo piano di gestione del rischio, pianifica la gestione operativa dell’assessment e definisci i tuoi scenari interni di cybersecurity.
Formiamo, attraverso corsi dedicati e calati nella realtà interbancaria e finanziaria, gli addetti e gli operatori autorizzati SWIFT. Scopri i corsi sulla sicurezza informatica per utenti e definisci il tuo piano di analisi e gestione compliance SWIFT.
Hai dei dubbi?
Sono disponibili video introduttivi relativi alla formazione già erogata a banche ed aziende collegate al settore finanziario. Contattaci per ogni informazione sul corso Cybersecurity on-line ed in presenza
Scopri le date del corso Sicurezza informatica SWIFT a Verona
Sicurezza informatica SWIFT a Vicenza e su tutto il territorio nazionale.
