SWIFT CSCF Assessment
Med det ökande hotet från sofistikerade aktörer måste finansiella organisationer fortsätta att vara vaksamma och proaktiva. SWIFT Customer Security Program har införts för att stödja finansiella organisationer i den pågående kampen mot cyberbedrägerier. Sentor kan hjälpa till med årliga SWIFT CSCF Assessments och tekniska säkerhetstester för att stärka er motståndskraft.
SWIFT är ett globalt medlemsägt kooperativ och världens ledande leverantör av säkra finansiella meddelandetjänster. Alla användare av SWIFT Interbank Messaging Network måste följa deras regelverk inom cybersäkerhet.
SWIFT Customer Security Programme (CSP)
SWIFT skapade Customer Security Program (CSP) för att främja cybersäkerhet bland SWIFT-användare och för att driva branschomfattande samarbete i kampen mot cyberhot. Användare är ansvariga för säkerheten i sin infrastruktur, och för att stödja detta har CSP utformats för att bekämpa endpoint-säkerhetshot och cyberbedrägerier. I hjärtat av CSP ligger CSCF (Customer Security Controls Framework), en gemensam uppsättning säkerhetskontroller som årligen revideras, vilket hjälper användarna att säkra sina lokala miljöer och i sin tur SWIFT-communityt i stort.
SWIFT Customer Security Controls Framework (CSCF)
CSCF består av både obligatoriska och rådgivande säkerhetskontroller, som bör implementeras av alla användare inom ramen för deras lokala SWIFT-infrastruktur.
Obligatoriska säkerhetskontroller skapar en allmän baslinje och måste implementeras av alla SWIFT-användare, inklusive de som använder ett servicekontor eller en leverantör av affärsapplikationer.
Rådgivande kontroller är baserade på bästa säkerhetspraxis och SWIFT rekommenderar att användare implementerar dessa kontroller där det är tillämpligt. Listan över obligatoriska och rådgivande kontroller granskas och anpassas regelbundet för att kunna hantera nya hot.
SWIFT CSCF Mandatory Annual Assessment
Sedan 2020 är alla användare skyldiga att utföra ”Community Standard Assessments”.
För att ytterligare förbättra intygens integritet, följdriktighet och precision kräver SWIFT, enligt CSCF v2020, att alla intyg inlämnade under 2020 måste granskas oberoende. Detta uppnås genom antingen:
Extern granskning, av en oberoende extern organisation som har befintlig erfarenhet av bedömning av cybersäkerhet, utförd av individer som har relevanta certifieringar för IT-säkerhetsindustrin, eller:
Intern granskning, utförd av organisationens andra- eller tredje försvarsfunktionslinje, t.ex. compliance, riskhantering eller internrevision, vilken skall vara organisatoriskt oberoende från den första försvarslinjefunktionen som lämnade intyget, t.ex. CISO-kontoret. Precis som vid extern granskning bör de som genomför granskningen ha aktuell och relevant erfarenhet av bedömning av cyberrelaterade säkerhetskontroller.
Lösningen
Sentor erbjuder årliga SWIFT CSCF-granskningar, inklusive alla relaterade penetrationstest- och sårbarhetsanalyser, beroende på vilken SWIFT CSCF-arkitektur granskningen omfattar. En SWIFT CSCF-granskning kan levereras enligt vår etablerade fasmodell som anpassas och skräddarsys för att möta behoven i just er organisation.
Vid en typisk SWIFT CSCF-granskning utför vi följande moment:
- Förberedelser: projektplanen förbereds för den första utvärderingen.
- Kick-off-möte: möte med kundens primära kontakt för definition av SWIFT CSCF-scopet baserat på den implementerade SWIFT-arkitekturen (A1, A2, A3 eller B). Tillämpliga kontroller och uppgifter granskas och planeras.
- Dokumentgranskning: dokumentation granskas och efterlevnaden av tillämpliga SWIFT CSCF-kontroller bedöms.
Intervju gällande kundens processer för arbete on-site och remote: möte med kundens primära kontakt för utvärdering av tillämpliga processer och procedurer för efterlevnad av SWIFT CSCF - Teknisk säkerhetstestning: tillämpliga penetrationstester och sårbarhetsgranskningar genomförs baserat på tillämpliga CSCF-kontroller
- Dokumentation av SWIFT CSCF-rapport: granskaren förbereder det dokumenterade intyget för kunds CSCF-efterlevnad och hjälper kunden med SWIFT Portal KYC Registry Security Attestation (KYC-SA), en rapportering som krävs av SWIFT.
- Rapportleveransmöte: granskaren presenterar resultatet av granskningen för kund.