SWIFT – Customer Security Controls Framework v2020

Ci siamo, la scadenza è alle porte!

Il programma di sicurezza per i partecipanti alla rete SWIFT (Customer Security Programme, CSP), lanciato da SWIFT nel 2016, stabilisce un insieme comune di controlli di sicurezza progettati per aiutare gli utenti a proteggersi contro i crimini informatici, rilevarli e reagire dopo essere stati colpiti.

A seguito di una serie di attacchi cibernetici e violazioni informatiche nel corso del 2016 SWIFT ha pubblicato, a marzo 2017, il Customer Security Controls Framework (CSCF V1) nell’ambito del CSP. Si tratta di un insieme di controlli che permettono di definire una baseline comune di sicurezza per tutti gli utenti SWIFT. L’implementazione dei controlli opzionali è fortemente consigliata per rafforzare ulteriormente la robustezza dell’infrastruttura locale degli utenti.

Il Customer Security Controls Framework, nella versione 2020, si rinnova; promuove 2 controlli da advisory a mandatory e ne introduce 2 nuovi come consigliati, per un totale di 31 controlli.
La versione 2019 del framework ne includeva 19 obbligatori e 10 consigliati.

La vera novità?
Dal luglio di questo anno, il self-assessment effettuato dai clienti entro il 31 dicembre di ogni anno rispetto ai suddetti controlli, non sarà più sufficiente.

Sarà infatti necessario un assessment indipendente, interno o esterno, a sostegno dell’autocertificazione annuale, che dimostri l’effettiva implementazione del controllo richiesto con evidenze a supporto.

Come Dedalo può essere di supporto?
Assessment and Gap Analysis
Mappatura e valutazione dei processi e dei controlli di sicurezza implementati dall’organizzazione rispetto alle linee guida del Customer Security Programme.
Security Testing
Vunerability Assessment e Penetration Test delle principali componenti dell’infrastruttura SWIFT in perimetro al Customer Security Controls Framework.
Remediation Plan
Supporto nel disegno e nell’implementazione dei presidi tecnico/organizzativi necessari a colmare i gap individuati in termini di tecnologie e/o di processo.
Attestation and Assurance
Attestazione della conformità ai controlli CSP anche tramite standard di assurance riconosciuti a livello internazionale come L’ISAE 3000.

Cyber Security: approvato il disegno di legge

Il disegno di legge prevede, tra l’altro:
•la definizione delle finalità del perimetro e delle modalità di individuazione dei soggetti pubblici e privati che ne fanno parte, nonché delle rispettive reti, dei sistemi informativi e dei servizi informatici rilevanti per le finalità di sicurezza nazionale cibernetica per i quali si applicano le misure di sicurezza e le procedure introdotte;
•l’istituzione di un meccanismo teso ad assicurare un procurement più sicuro per i soggetti inclusi nel perimetro che intendano procedere all’affidamento di forniture di beni e servizi ICT destinati a essere impiegati sulle reti, sui sistemi e per i servizi rilevanti;
•l’individuazione delle competenze del Ministero dello sviluppo economico – per i soggetti privati inclusi nel perimetro – e dell’Agenzia per l’Italia Digitale (AgID) – per le amministrazioni pubbliche;
•l’istituzione di un sistema di vigilanza e controllo sul rispetto degli obblighi introdotti;
•lo svolgimento delle attività di ispezione e verifica da parte delle strutture specializzate in tema di protezione di reti e sistemi nonché, per quanto riguarda la prevenzione e il contrasto del crimine informatico, delle Amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti.

Cybersecurity Act – Pubblicato in Gazzetta Ufficiale Ue il testo del provvedimento.

Dopo l’approvazione della Direttiva NIS nel 2016 – trasposta in Italia dal D.Lgs. 65/2018 – le istituzioni europee continuano a adottare misure intese a rafforzare la sicurezza cibernetica nell’Unione europea.
Il 7 giugno 2019 è stato infatti pubblicato sulla Gazzetta ufficiale dell’Unione europea il testo definitivo del cosiddetto Cybersecurity Act. Questo atto normativo, formalmente identificato come Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019, entrerà ufficialmente in vigore il prossimo 27 giugno e, essendo un Regolamento e non una Direttiva, avrà effetto immediato in tutti gli Stati membri.

Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che mira a rafforzare la resilienza dell’Unione agli attacchi informatici, a creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e ad accrescere la fiducia dei consumatori nelle tecnologie digitali. Lo strumento normativo in questione si affianca, ed è in parte complementare, alla prima normativa in materia di sicurezza cibernetica introdotta a livello dell’Unione, ossia la Direttiva NIS.

Il Regolamento si compone di due parti: nella prima vengono specificati il ruolo e il mandato dell’Enisa, mentre nella seconda viene introdotto un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali.
Lo schema prevede tre livelli di certificazione, caratterizzati da livelli di affidabilità commisurati al livello di rischio associato al prodotto o servizio.
L’onere di sviluppare lo schema di certificazione è stato assegnato ad ENISA, mentre tutti gli Stati membri dovranno curare la costituzione di Centri nazionali di valutazione che, sotto la sorveglianza dell’esistente circuito di Enti di accreditamento (per l’Italia, Accredia) potranno svolgere le opportune verifiche tecniche e rilasciare gli attestati di conformità.

CR.AA.M. – Nuovi Moduli di Audit per la Cyber Security

Implementati due nuovi moduli per le attività di verifica (Compliance e Audit) nell’ambito della Cyber Security:

  • Cybersecurity Framework NIST
  • Framework Nazionale per la Cybersecurity e la Data Protection

Il servizio di valutazione e monitoraggio del rischio di compliance in architettura web, garantirà quindi:

  • l’archiviazione e la consultazione dei Framework,
  • la storicizzazione delle verifiche svolte (check-up),
  • la gestione dei check-up di conformità e audit sui singoli moduli normativi,
  • la produzione di report di sintesi e analitici tipo grafico e tabellare,
  • la produzione di un executive summary in formato editabile.