Validação Independente - Data limite 31 de dezembro de 2021

 

SWIFT Customer Security Programme (CSP)
Validação Independente - Data limite 31 de dezembro de 2021

Recordamos às entidades utilizadoras do protocolo de pagamentos SWIFT, que se tornaram efetivas em 2021, as seguintes alterações na SWIFT Customer Security Control Framework (CSCF):

  • Obrigatoriedade de validação independente da conformidade dos controlos de segurança.
  • Controlo 1.4 (Restrict Internet Access), facultativo na CSCF v2020, foi elevado a obrigatório e passou a centralizar as orientações relacionadas com acessos à internet, antes constantes do controlo obrigatório 1.1 (SWIFT Environment Protection).
  • Introdução de novo tipo de arquitetura - A4 - de conexão das aplicações de BackOffice às interfaces SWIFT.

"QUANDO"

O período para submissão à SWIFT da certificação de conformidade com os controlos de segurança da CSCF, aplicáveis às infraestruturas locais dos clientes SWIFT, já se encontra a decorrer desde julho de 2021 e tem como data limite 31 de dezembro de 2021.

Desta forma, à data, as organizações utilizadoras do SWIFT contam com menos de quatro meses para realizarem e submeterem a avaliação de conformidade “Independent Assessment”, definirem os planos de remediação necessários e, caso assim o entendam, reavaliar a sua conformidade após a respetiva implementação.

"COMO"

A SWIFT requer que os seus clientes atestem, anualmente, a conformidade do desenho e implementação dos controlos nas suas infraestruturas com a CSCF e em 2021 introduziu, como requisito chave, a obrigatoriedade de avaliação independente da conformidade.

A avaliação independente pode ser executada por recursos internos (2.ª e 3ª linha de defesa) ou externos ou por uma equipa mista, desde que com competências e certificações na área de cibersegurança, bem como experiência recente relevante na área. 

O objetivo é efetuar uma avaliação que forneça um razoável grau de conforto sobre o nível de conformidade do desenho e implementação dos controlos da organização face à CSCF. Este conforto é assegurado pela independência e objetividade dos recursos que realizam a avaliação, as suas competências, metodologias de trabalho e rigor na sua execução do trabalho.

Não obstante, salientamos que a Independent Assessment Framework (IAF) exige uma avaliação independente e não necessariamente uma auditoria, envolvendo, por isso, menores custos.

Ao escolher a forma de avaliação de conformidade, as organizações devem ter em consideração que, aquando da submissão das avaliações, será necessário fornecer detalhes do tipo de avaliação escolhida e referências sobre os avaliadores.

"FATORES CHAVE"

Independência e objetividade

É assegurada quando a avaliação é executada por uma organização externa independente com reputação, experiência e credenciais em serviços e processos de avaliação de cibersegurança.
No caso da avaliação ser assegurada por recursos internos, é necessário garantir que a equipa interna de avaliação é independente da 1ª linha de defesa. As equipas elegíveis pertencem tipicamente a um departamento acreditado da 2ª linha de defesa (e.g., Gestão de Risco ou Compliance) ou da 3ª linha de defesa (Auditoria Interna) ou função equivalente, desde que independente da 1ª linha de defesa (e.g. CISO, desde que não desempenhe funções operacionais).

Qualificação

A SWIFT requer que os recursos (internos e/ou externos) que realizam a avaliação de conformidade possuam:

  • Experiência recente (nos últimos 12 meses) e relevante na realização de avaliações operacionais de cibersegurança face a referenciais da indústria (e.g. PCI-DSS, ISO 27001, NIST ou simplesmente CSP/CSCF).
  • Pelo menos uma certificação profissional relevante para a indústria (e.g. QSA, CISSP, CISA, CISM, ISO 27001 LA, GIAC).

"BENEFÍCIOS"

A avaliação de conformidade efetuada por avaliador independente da 1ª linha de defesa, interno e/ou externo, multifacetado e credenciado, aumenta a confiança nas avaliações submetidas e promove a melhoria da segurança das infraestruturas locais de cada organização e consequentemente a segurança geral da comunidade SWIFT.

"COMO PODE A BDO AJUDAR?"
Para além do conhecimento profundo das especificidades do SWIFT CSP/CSCF e da SWIFT Independent Assessment Framework, a BDO dispõe de recursos qualificados com certificações internacionalmente reconhecidas, tais como: CISA, CRISC, ISO 27k, ISO 20k, COBIT, ITIL e larga experiência na área Compliance de segurança da informação, cibersegurança e na realização de avaliações com relação a standards e controlos de segurança, auditorias de segurança a sistemas de informação / tecnologias da informação, como uma diversificada experiência no setor financeiro, em geral, e de acordo com frameworks IT reconhecidos internacionalmente, tais como: PCI DSS, ISO 27001, NIST 800-53, NIST Cybersecurity Framework, ENISA, PSD2, EBA ITC Guidelines, NIS Directive, ISACA, ISF, CIS, SANS, SOX, FINRA, etc.
Para mais informação aceda ao seguinte link: BDO Portugal | SWIFT.