Oggi nessuna banca può immaginare di stare sul mercato senza avere a disposizione un adeguato sistema informatico ma gestire internamente un Centro Elaborazione Dati è una operazione complessa e costosa. Per ovviare a questi problemi molte banche hanno fatto la scelta di chiudere i propri CED e di appoggiarsi a centri servizi informatici specializzati.
Nel 2005 quasi tutte le Banche di Credito Cooperativo avevano già esternalizzato la gestione delle tecnologie informatiche, mentre alcune di esse ritenevano ancora più vantaggioso gestire le tecnologie informatiche con una struttura interna.
Per quest’ultime, comunque, il dilemma se continuare sulla strada delle gestione interna o se passare all’outsourcing per i servizi informatici è sempre presente. Per questo motivo i Consigli di Amministrazione e le Direzioni Generali di queste banche si interrogano spesso sulla bontà della loro scelta in controtendenza rispetto al mercato ed in quest’ottica va vista la richiesta di commissionare ad un organismo indipendente una attività di audit sul proprio Centro Elaborazione Dati.
Questa scheda ha per oggetto una attività di audit fatta proprio per una di queste banche dotate di un Centro Elaborazione Dati interno. La banca ha commissionato l’attività alla propria Federazione Regionale che a sua volta si è avvalsa anche della collaborazione di una società specializzata in EDP Audit (Electronic Data Processing Audit, o anche IT Audit – Information Technology Audit).
L’attività di Audit ha avuto la durata di quasi 30 giorni ed ha avuto per oggetto i seguenti punti:
Presupposti al Controllo Interno EDP
|
La sicurezza fisica |
Aspetti generali (ubicazione – costruzione), Sicurezza Impianti, Controllo accesso (fisico), Continuità di funzionamento, Gestione, Rapporti e competenze |
|
L’organizzazione EDP |
Organigramma, Funzionigramma, Normativa, Controllo e sicurezza, Configurazione hardware/software |
|
Gli standard EDP |
Aspetti generali, Standard operativi, Standard di documentazione, Standard di controllo e sicurezza |
|
La Protezione Assicurativa |
|
Il Controllo Interno nell’Organizzazione EDP
|
Classificazione dell’ambiente EDP |
Dati, Programmi, Risorse, Parco macchine e componenti hardware del sistema, Documentazione, Attività |
|
La documentazione EDP |
La documentazione del sistema, delle procedure, operativa, utente |
|
Pianificazione delle attività |
Aspetti generali, Piani a breve termine, Piani a lungo termine |
|
Rilevazioni statistiche e controllo |
|
Il Controllo Interno nei Settori del Centro
|
Il reparto Sistemistico |
L’organizzazione del settore, La gestione delle basi dei dati, La gestione dei sistemi operativi |
|
La programmazione lavori |
L’organizzazione del settore, La gestione e la pianificazione |
|
La Sala Macchine |
L’organizzazione del settore, La gestione operativa, La gestione della rete – Help Desk, La gestione dei supporti |
Il Controllo Interno nelle procedure EDP
|
L’acquisizione di hardware/software |
|
|
Gestione delle modifiche ai sistemi |
|
|
Gestione di progetti informatici |
|
La privacy e la sicurezza logica EDP
|
Norme e standard di sicurezza |
Politiche di sicurezza, Trattamento output, Trattamento documentazione tecnica / operativa / normativa, Politica d’accesso ad Internet |
|
Tools di controllo accesso |
Definizione e gestione dei profili di autorizzazione, Caratteristiche delle credenziali d’accesso, Gestione delle credenziali |
|
Protezione delle risorse informatiche |
Inventari hardware/software, Sicurezza in ambiente PC, Sistemi antivirus, Protezione dei supporti di memorizzazione, Utilizzo di sistemi di crittografia |
|
Aspetti normativi |
Documento programmatico, Misure minime di sicurezza |
Piani di Disaster recovery & Backup
|
Sito alternativo – lungo periodo |
Infrastrutture di elaborazione alternativa, Gestione dell’elaborazione alternativa |
|
Procedure di Backup |
Documentazione, Procedure di Backup, Integrità file di Backup, Attrezzature di conservazione on-site, Attrezzature di conservazione off-site, UPS, Personale |
|
Copertura assicurativa |
Documentazione, Copertura, Gestione ed amministrazione |
|
Pianificazione di disaster recovery |
Documentazione, Budget, Responsabilità e funzioni, Analisi del rischio, Gestione del piano, Impatto sui servizi esterni, Misure di sicurezza logiche, fisiche ed ambientali, Telecomunicazioni, Test di disaster recovery, Risultanze dei test, Addestramento |
La sicurezza logica
|
Norme e standard di sicurezza |
Controllo degli accessi alle diverse procedure Definizione e gestione dei profili di autorizzazione Caratteristiche delle credenziali d’accesso Gestione delle credenziali |
|
Protezione delle risorse informatiche |
|
|
Aspetti normativi |
misure minime di sicurezza, documento programmatico, ecc. |
|
Gestione malfunzionamenti |
|
|
Disaster recovery e backup |
|
La sicurezza della rete
|
Politiche di sicurezza |
|
|
Documentazione tecnica |
|
|
Configurazione |
|
|
Dimensionamento |
|
|
Sistemi di gestione e controllo |
|
|
Sistemi di sicurezza e crittografia |
|
|
Firewall |
|
|
Controllo delle performance |
|
|
Gestione malfunzionamenti |
|
|
Disaster recovery e backup |
|
|
La protezione dei dati |
|
