O SWIFT Customer Security Programme (SWIFT CSP) foi estabelecido pela Society for Worldwide Interbank Financial Telecommunication (SWIFT) para ativamente suportar os seus clientes no reforço da cibersegurança dos seus ambientes de negócio locais e que suportam a troca de informação das transações financeiras processadas através da infraestrutura SWIFT e à qual se encontram conectados.
Este programa foi estabelecido pela SWIFT em resposta a um conjunto de incidentes de cibersegurança originados nessas infraestruturas tecnológicas em 2016, sendo o mais notável, o incidente (infeção de malware) ocorrido no Bangladesh Bank que representou uma perda (desvios em contas bancárias) de $81 milhões de dólares (SWIFT, Bangladesh Bank breach 2016, Euromoney, Centralbanking).
Este programa estabelece a Customer Security Controls Framework (CSCF) que implementa um conjunto de controlos de segurança alinhados com as melhores práticas da indústria constantes de três standards de segurança internacionais (PCI-DSS, ISO 27002 e NIST) e tem vindo a ser revista anualmente pela SWIFT para assegurar a sua relevância e a continuidade da segurança da sua infraestrutura e da informação dos seus clientes.
A framework (na sua versão vs2020) tem três objetivos orientadores ligados a oito princípios de segurança vertidos em controlos obrigatórios e opcionais/recomendados e a SWIFT requer que os seus clientes atestem a conformidade das suas infraestruturas numa base anual (entre julho e 31 de dezembro).
Em 2020 foi melhorada a robustez da framework com a introdução de alterações nos controlos para incorporar as evoluções recentes das práticas de cibersegurança e também com a clarificação de orientações para implementação dos controlos. A saber:
- Passagem de dois controlos opcionais para obrigatórios relacionados com vulnerabilidades decorrentes do uso de virtualização e de interfaces em sistemas críticos (um total de 21 controlos obrigatórios).
- Introdução de dois controlos opcionais com orientações para acessos internet e controlo da Relationship Management Application (RMA), mantendo-se 10 controlos opcionais).
- Extensão do âmbito de um dos controlos opcionais a servidores de Middleware.
-Validacao-/ilustracao_01.png.aspx?lang=pt-PT&width=698&height=301)
Fonte: SWIFT, Reinforcing the security of the global banking system.
Em 2020 o programa também evoluiu com a alteração dos requisitos de garantia de compliance exigidos pela SWIFT, passando a ser requerida a submissão à SWIFT de uma avaliação independente realizada das seguintes formas possíveis:
- Avaliação interna efetuada por departamento da 2ª ou 3ª linha de defesa da organização (por exemplo, a função de Compliance, Gestão de Risco ou Auditoria Interna) independente da 1ª linha de defesa. É relevante que o colaborador que conduz a avaliação tenha competências e experiência em cibersegurança e em avaliação de controlos desta natureza.
- Avaliação externa efetuada por organização externa independente com reputação, experiência e credenciais em serviços e processos de avaliação de cibersegurança, bem como os consultores que realizam o trabalho tenham competências, certificações e experiência relevantes na área.
Deixa de ser possível submeter o “self-attestation” na aplicação Know Your Customer – Security Attestation (KYC-SA) sem os detalhes da avaliação independente.
Atualizações recentes no processo de avaliação de conformidade
Para responder ao atual contexto em que os clientes SWIFT operam os seus negócios, originado pela pandemia COVID-19, a SWIFT divulgou em 18jun20 o seguinte ajustamento aos ciclos da CSCF:
- Framework de avaliação: Os clientes têm de certificar a sua compliance com os 19 controlos obrigatórios da CSCF v2019. Para este assessment, a SWIFT recomenda o uso das versões posteriores da framework que foram publicadas, pois contêm guidelines e clarificações adicionais sobre os controlos.
- Metodologia de avaliação: É permitido aos clientes a realização de um self-assessment, não obrigando a avalia por entidade independente.
No entanto, a SWIFT encoraja as organizações que em 2020 reúnem condições para implementar a CSCF v2020 ou para suportar a avaliação por entidade independente, para o fazerem.
Os clientes têm de certificar a sua compliance com os 22 controlos obrigatórios da CSCF v2021 que introduz um nível mínimo de alterações face à CSCF v2020. Já no que respeita à metodologia de avaliação da conformidade, é obrigatória avaliação independente do desenho e implementação dos controlos.
-Validacao-/ilustracao_02.png.aspx?lang=pt-PT)
Fonte: SWIFT, Customer Security Programme Updates, July 2020.
O que configura não conformidade com a CSCF?
Estão em situação de incumprimento os clientes:
- sem assessment de conformidade válido (não submetido ou expirado)
- que não implementam os controlos obrigatórios
- que se conectam à infraestrutura SWIFT através de um service provider não compliant ou que não apresentam avaliação externa obrigatória.
O que acontece nos casos de não conformidade com o SWIFT CSP
Nos casos de não conformidade com o SWIFT CSP, a SWIFT reserva-se ao direito de reportar às entidades Supervisoras/Reguladoras os clientes que não atestaram compliance.
As entidades que realizam transações com membros não compliants são informadas pela SWIFT.
Não obstante, assim que a SWIFT publica (em Know Your Customer – Security Attestation, KYC-SA) o resultado do assessement submetido por cada membro, ou seja, o seu estado de conformidade com a CSCF, fica visível para toda a comunidade.
Cada membro com acesso ao KYC-SA deve consultar o estado de conformidade das entidades com quem se relaciona e integrar essa informação nos seus processos de gestão de risco (ciber, operacional, financeiro, regulatório) e de tomada de decisão no negócio. Pode, ainda, solicitar os dados do assessement submetido pelos membros com quem troca transações financeira e avaliar necessidades de controlos compensatórios no seu ambiente de negócio ou de limitação da relação de negócio estabelecida.
Como pode a BDO ajudar?
Para além do conhecimento profundo das especificidades do SWIFT CSP/CSCF e da SWIFT Independent Assessment Framework, a BDO dispõe de recursos qualificados com certificações internacionalmente reconhecidas, tais como: CISA, CRISC, ISO 27k, ISO 20k, COBIT, ITIL e larga experiência na área Compliance de segurança da informação, cibersegurança e na realização de assessments com relação a standards e controlos de segurança, auditorias de segurança SI/TI, como uma diversificada experiência no setor financeiro em geral e de acordo com frameworks reconhecidos internacionalmente, tais como: PCI DSS, ISO 27001, NIST 800-53, NIST Cybersecurity Framework, ENISA, PSD2, EBA ITC Guidelines, NIS Directive, ISACA, ISF, CIS, SANS, SOX, FINRA, etc.
Podemos prestar apoio no SWIFT CSP das seguintes formas:
- Análise de lacunas (gaps)/readiness assessment: Aferição (assessment) sobre se os controlos correntes satisfazem os requisitos da CSCF, ou seja, avaliamos o nível de compliance atual da entidade face aos requisitos da framework;
- Remediação/monitorização: Identificação de soluções de tecnologia e de mudanças processuais por forma a endereçar as lacunas (gaps) identificadas apoiando as entidades na sua preparação para a certificação/attestation, incluindo re-teste e monitorização dos controlos críticos;
- Apoio/assessoria no Independent Assessment à 2.ª e 3.ª linha de defesa (risco, compliance e auditoria interna)
- Assurance/garantia de fiabilidade: Validação/garantia de fiabilidade sobre a conceção, implementação e efetividade dos controlos em conformidade com o SWIFT CSP e CSCF, mediante emissão de relatório de garantia de fiabilidade independente, emitido de acordo com as normas internacionais aplicáveis, i.e.: ISAE 3000; e
- Serviços adicionais: Vulnerability scanning, incident management, etc.
Para mais informações, contatar o responsável do Departamento de Information Systems Audit & Assurance, Vasco Jara Schiappa, através do telefone 937 990 180 ou do email [email protected].