En 2017 SWIFT presentó su marco de controles de seguridad para el cliente (CSP) para impulsar la mejora de la seguridad y transparencia en toda la comunidad financiera mundial.

CSP SWIFT se centra en tres áreas: proteger el entorno local, prevenir y detectar fraudes en las relaciones comerciales y compartir continuamente información y prepararse para defenderse futuras amenazas de ciberseguridad.

Si bien todos los clientes siguen siendo los principales responsables de proteger sus propios entornos, el CSP de SWIFT tiene como objetivo apoyar a su comunidad en la lucha contra los ciberataques.

En 2017, SWIFT creó un marco que comprendía 16 controles de seguridad obligatorios y 11 optativos para sus 11.000 clientes en todo el mundo. Se pide a todos los clientes que verifiquen el cumplimiento de los controles y los resultados sean compartidos con sus contrapartes y reguladores.

Ahora, en 2019, los clientes de SWIFT tienen que dar fe de haber actualizado el marco CSP v2 (publicado en agosto de 2018). Este marco actualizado contiene 19 controles de seguridad obligatorios y 10 recomendaciones opcionales.

Además del marco actualizado SWIFT tiene la capacidad de solicitar más garantía para justificar la evidencia

¿Cómo afectará esto a los clientes SWIFT?

Ahora, los clientes deben prepararse para el nuevo ciclo del lanzamiento de SWIFT CSP v3. Dependiendo del diseño del entorno SWIFT local y de la naturaleza y madurez de los los controles, las organizaciones pueden necesitar corregir las brechas técnicas y de procesos para dar fe del cumplimiento a finales de 2019. Desde 2020 SWIFT ha introducido el requisito de que los clientes se deberán someter a una evaluación independiente para apoyar su presentación de evidencia.

¿Cuáles son las nuevas fechas de CSP v3

¿Cuáles son los factores de éxito?

Para tener éxito, las organizaciones deben adoptar un enfoque reflexivo y sistemático, colaboración a través de las tres líneas de defensa, un liderazgo fuerte y un equipo de seguridad diverso.

• Descripción: incluye elementos como la frecuencia del control, cómo y quien realiza las acciones, qué acciones se realizaron en el marco de CSP y cuál fue el efecto o el resultado.
• Componentes de seguridad: incluye personas específicas, procesos y principios de tecnología que se asocian con el control.
• Medidas de validación: incluye el método por el cual serán validados el diseño y la eficacia del contro así como la frecuencia y artefactos asociados.
• Propietario: incluye información relacionada con el propietario del control como el nombre y el título funcional. 

Tareas a realizar

• Análisis de brechas: ralizar evaluación para determinar si los controles actuales satisfacen las brechas identificados en SWIFT
• Remediación: desarrollar trabajo para abordar los controles a implementar para solventar deficiencias en la tecnología y los procesos.
• Evaluación: informes de controles de terceros bajo normas reconocidas (por ejemplo, SOC2, ISAE).