¿Cómo lograr el cumplimiento del SWIFT Customer Security Programme 2021?

Los requisitos de SWIFT CSP cambiarán en 2021. Esto es lo que necesita saber para seguir cumpliendo.

En resumen

• Aunque el programa de seguridad del cliente de la Society for Worldwide Interbank Financial Telecommunication (SWIFT) existe desde hace algunos años, se han introducido cambios importantes:
  • El requisito de realizar evaluaciones independientes obligatorias
  • Una nueva arquitectura, llamada Arquitectura A4
• Controles adicionales obligatorios y aconsejados

El CSP se introdujo por primera vez en 2017 junto con el marco de control de seguridad del cliente (CSCF). El CSCF ha evolucionado con el tiempo mediante la introducción de nuevos controles y nuevas aclaraciones sobre la orientación y el alcance de la implementación.

Dependiendo de su interacción con SWIFT y de si (parte de) sus sistemas están subcontratados, SWIFT ha definido requisitos de control específicos para cada tipo de arquitectura. Es importante destacar que, incluso si has subcontratado completamente los sistemas SWIFT, todavía estás obligado a completar la evaluación independiente.

Cambios clave para lograr el cumplimiento de SWIFT CSP en 2021

Marco de evaluación independiente

Hasta 2020, los usuarios de SWIFT tenían el mandato de proporcionar una autocertificación contra el marco de control de CSCF para la arquitectura y los componentes de SWIFT en el ámbito. A partir de 2021, SWIFT requiere que la certificación anual esté respaldada por una evaluación independiente, que debe completarse antes del 31 de diciembre. Se puede realizar:

• Externamente, por una organización externa e independiente que tenga experiencia en evaluación de ciberseguridad y evaluadores individuales que tengan certificaciones relevantes de la industria de la seguridad
• Internamente, por la función de segunda o tercera línea de defensa (como cumplimiento, gestión de riesgos o auditoría interna) o su equivalente funcional, según corresponda, que sea independiente de la función de primera línea de defensa que presentó la certificación (como la oficina del CISO) o su equivalente funcional, según corresponda.

Sin una evaluación independiente, SWIFT informará a los supervisores (reguladores) e informará a las contrapartes.

Introducción de un nuevo tipo de arquitectura (A4)

Hasta 2020, los usuarios de SWIFT categorizaban su arquitectura como B cuando sus aplicaciones estaban conectadas a interfaces SWIFT a través de conectores como servidor MQ, servidor SFTP, punto final API personalizado, etc. A partir de 2021, SWIFT ha introducido un nuevo tipo de arquitectura (A4) para tales casos.

Los usuarios pueden seguir categorizando como arquitectura B si:

• Tienen acceso a los servicios de mensajería de SWIFT a través de una aplicación de interfaz gráfica de usuario (GUI)
• Sus aplicaciones de back-office se comunican directamente usando un cliente API o un cliente Middleware.

La nueva versión de CSCF: CSCF v2021

Bajo CSCF v2021, el control sobre la restricción del acceso a Internet se transfiere de Obligatorio 1.1 a 1.4. Además, SWIFT ha proporcionado aclaraciones adicionales sobre la definición del alcance, tales como:

• General: controles adicionales incluidos en CSCF v2021;
• PC del operador general: Incluya PC conectadas a la infraestructura local o remota en el alcance.
•  Terceros: extendido al proveedor de la nube y específicamente para escenarios en los que se utiliza el proveedor de la nube, pero los usuarios de SWIFT siguen siendo responsables.

Lo que debes tener en cuenta para lograr el cumplimiento de SWIFT CSP

• Evaluación independiente: considera la selección de una entidad externa para realizar la evaluación independiente, según el conjunto de habilidades internas disponibles. La parte externa puede realizarlo a través de un informe de evaluación independiente (por ejemplo, informe de evaluación según las plantillas proporcionadas por SWIFT, ISAE3000 o equivalente), o ayudar a tu departamento de riesgos, cumplimiento o auditoría interna con los expertos y auditores necesarios.
• Alcance de la evaluación: revisa tu arquitectura y evalúa si su implementación debe categorizarse como arquitectura A4 en lugar de B.
• Momento de la evaluación: hay dos trimestres disponibles para lograr el cumplimiento (Q3 y Q4). Idealmente, se puede realizar una evaluación de brechas para realizar una reparación oportuna para que los resultados de la evaluación independiente cumplan.

Conclusión

Si bien SWIFT CSP es extremadamente relevante para que las instituciones mejoren su nivel de ciberseguridad, seguir cumpliendo el estándar se está volviendo exigente debido a los nuevos requisitos introducidos en 2021. Los clientes de SWIFT deben tomar medidas oportunas para implementar los cambios de CSCF v2021 y obtener una evaluación independiente.