Continuiamo la serie dedicata alle normative che impongono requisiti di “compliance”. Dopo aver visto le problematiche relative all’analisi dei rischi (in generale, per le assicurazioni e relative alla 231/2001) e gli obblighi per le SGR  passiamo a quanto richiesto per la per la Centrale d’Allarme Interbancaria (CAI).

Premessa

L’allegato “Sicurezza del Sistema Informativo” (doc, 139 kB) al Regolamento Banca d'Italia 29 gennaio 2002, "Funzionamento dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento (CAI)" richiede che ogni ente segnalante privato, oltre ad assicurare il rispetto delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza in applicazione al D.Lgs. 196/2003, debba definire e governare un processo per la gestione della sicurezza del sistema informativo dell’archivio CAI.
Nell’ambito di questo processo l’ente segnalante deve intraprendere, annualmente, le seguenti azioni:

1. Definire le politiche per la sicurezza del sistema informativa della CAI;
2. Definire i confini del sistema informativo della CAI in termini di struttura organizzativa, collocazione fisica, risorse e tecnologie;
3. Analizzare adeguatamente i rischi in modo da identificare le minacce alle risorse, le vulnerabilità e gli impatti sull’ente segnalante privato e quindi determinare il livello di rischio globale;
4. Selezionare dall’elenco previsto (realizzato utilizzando le specifiche ISO/IEC 17799: 2000 come riferimento) i controlli ritenuti appropriati. Tali controlli non sono esaustivi e ulteriori controlli possono essere individuati.
5. Redigere un documento che spieghi le ragioni che hanno portato alla scelta di ogni singolo controllo selezionato, in termini di risorse da proteggere a fronte di minacce e vulnerabilità. In questo documento devono essere indicate le ragioni che hanno indotto all’eventuale esclusione di alcuni controlli.

Nel seguito si fornirà una check list dei principali requisiti richiesti da tale allegato

Check list CAI

Definire le politiche per la sicurezza

• Sono state definite politiche per la sicurezza di sicurezza per la CAI (la policy)?
• La policy è stata approvata dalla Direzione?
• La policy è stata resa pubblica agli interessati?
• È stata fatta la formazione sulla policy?
• La policy è stata rivista ed eventualmente aggiornata annualmente?

Definire i confini del sistema informativo della CAI

• In che modo sono stati definiti i confini del sistema informativo della CAI (i confini)?
• I confini prevedono altre applicazioni ed archivi soggetti a particolari requisiti (ad esempio: antiriciclaggio, segnalazioni antiterrorismo, archivi contenenti dati sensibili per la privacy)?
• I confini sono stati rivisti ed eventualmente aggiornati annualmente?

Analizzare adeguatamente i rischi

• Sono stati analizzati i rischi specifici della CAI (i rischi)?
• È stata utilizzata una metodologia di Risk Management / Assessment ?
• È stata documentata la metodologia di Risk Management / Assessment utilizzata?
• I risultati dell’analisi dei rischi sono stati comunicati alla Direzione?
• I rischi sono stati rivisti ed eventualmente aggiornati annualmente?

Selezionare i controlli ritenuti appropriati

• È stata utilizzata la lista dei controlli basati sulla lista delle specifiche ISO/IEC 17799: 2000 (la lista)? Se no, quale altra lista è stata utilizzata?
• Sono stati selezionati ulteriori controlli oltre a quelli previsti dalla lista?
• Ci sono controlli previsti dalla lista che non sono stati selezionati? Se sì perché?
• Annualmente è stata rivista la lista dei controlli selezionati?

Redigere un documento per i controlli esclusi

• È stata redatto, annualmente, un documento che spiega le motivazioni per cui alcuni controlli della lista non sono stati selezionati?
• Il documento è stato reso noto alla Direzione?

Chi è Cristina Cellucci?

Cristina  è Internal Auditor presso un primario gruppo bancario nazionale.

IsacaRoma Neswletter link

• D. LGS. N. 231/2001: l’analisi dei rischi – parte prima e seconda
• Compliance: obblighi delle assicurazioni per la gestione dei rischi
• Compliance: gli obblighi per le SGR
• Sicurezza e Compliance – l’analisi dei rischi 
• Sicurezza e Compliance – prima parte: il quadro di riferimento
• Compliance: primo schema di Istruzioni di vigilanza di Banca d’Italia
  
• Incontro sulla Compliance – resoconto (prima parte) 
• Sicurezza e Compliance: quando il gioco si fa duro 
• Incontro sulla Compliance 
• KPMG: nuove sfide per la sicurezza delle informazioni