Strategic Role of Control Objective Framework Within Financial Institutions: From Design to Implementation

This thesis explores the pivotal role of IT and cybersecurity within financial institutions, with a focus on the evolving threat landscape and the corresponding security measures necessary to ad-dress these challenges. It highlights the development and implementation of cybersecurity frameworks and standards, specifically the NIST Cybersecurity Framework 2.0 and COBIT, which provide guidance for financial sectors in safeguarding sensitive data from cyber threats. A central component of this study is a comprehensive gap analysis that identifies shortcomings in existing control frameworks and proposes tailored solutions to address these gaps. The thesis presents two practical examples illustrating the application of customized control objectives in financial institutions. These examples specifically address the harmonization and tailoring of control objectives for Incident Management and Identity and Access Management (IAM), leveraging NIST and COBIT guidelines. Additionally, the study provides insights into the controls performed, including practical examples of indicators and the significance of these controls in enhancing IT and cybersecurity measures within financial institutions. It also examines operative second level control practices related to Release Management, Change Management, Incident Management, and IAM. By emphasizing the necessity of dynamic and adaptable IT and cybersecurity strategies, the the-sis underscores the importance of continuously evolving control measures to effectively manage and mitigate the risks associated with an ever-changing IT and cyber threat environment.

Questa tesi esplora il ruolo cruciale dell'IT e della cybersecurity all'interno delle istituzioni finanziarie, con un focus sull'evoluzione del panorama delle minacce e sulle misure di sicurezza necessarie per affrontare tali sfide. Viene evidenziato lo sviluppo e l'implementazione di framework e standard di cybersecurity, in particolare il NIST Cybersecurity Framework 2.0 e COBIT, che forniscono linee guida per il settore finanziario nella protezione dei dati sensibili dalle minacce informatiche. Un componente centrale di questo studio è un'analisi delle lacune (gap analysis) che identifica le carenze nei framework di controllo esistenti e propone soluzioni su misura per affrontare tali lacune. La tesi presenta due esempi pratici che illustrano l'applicazione di obiettivi di controllo personalizzati nelle istituzioni finanziarie. Questi esempi riguardano in particolare l'armonizzazione e la personalizzazione degli obiettivi di controllo per la gestione degli incidenti e la gestione delle identità e degli accessi (IAM), sfruttando le linee guida NIST e COBIT. Inoltre, lo studio fornisce approfondimenti sui controlli eseguiti, inclusi esempi pratici di indicatori e l'importanza di tali controlli nel rafforzare le misure di IT e cybersecurity all'interno delle istituzioni finanziarie. Viene esaminata anche la pratica operativa dei controlli di secondo livello relativi a Release Management, Change Management, Incident Management e IAM. Sottolineando la necessità di strategie IT e di cybersecurity dinamiche e adattabili, la tesi evidenzia l'importanza di misure di controllo in costante evoluzione per gestire e mitigare efficacemente i rischi associati a un ambiente IT e di minacce informatiche in continua trasformazione.