Poradenství 

Nové požadavky SWIFT pro provedení nezávislého ověření firem

Ochrana dat a zákazníků v digitálním prostředí je pro moderní finanční instituce jedním z hlavních témat, na kterém přímo závisí nejen jejich konkurenceschopnost, ale i samotný provoz poskytovaných služeb. Dle aktuálních požadavků Společnosti pro celosvětovou mezibankovní finanční telekomunikaci (SWIFT) platných pro rok 2021 musí být ověření těchto bezpečnostních standardů ve firmách nově prováděno nezávislým útvarem. Tím může být externí společnost, ale například i interní nezávislé oddělení. Jaké další změny přichází s novými pravidly SWIFT Customer Security Programme?

SWIFT Customer Security Programme (CSP)

Program Společnosti pro celosvětovou mezibankovní finanční telekomunikaci (SWIFT) vznikl v roce 2016 a zaměřuje se na zajišťování efektivní a aktuální ochrany proti kybernetickým rizikům v prostředí bankovních organizací a korporací. Vznikl jako odpověď na navyšující se počet digitálních útoků spojených s mezinárodním platebním systémem SWIFT v posledních letech. Jeho pravidla jsou závazná pro všechny členské organizace.

Každá instituce je sama odpovědná za zprostředkování ochrany v souladu s kontrolním rámcem (tzv. Customer Security Controls Framework, CSCF). Během roku 2021 mají organizace na základě pokynu programu provést 22 povinných a 9 doporučovaných kontrol v závislosti na typu architektury (A1-A4, B).

Do loňského roku mohly společnosti provádět kontrolu shody s požadavky SWIFT CSCF samy (resp. skrze funkce spravující a provozující SWIFT z pohledu IT), což se s aktualizací pravidel mění. Hlavní novinkou je nutnost provést ověření shody nezávislým útvarem na základě instrukcí v rámci dodatku ke SWIFT CSCF, tzv. Independent Assessment Framework (IAF). Původně byla zmíněná aktualizace naplánována již na rok 2020, z důvodu koronavirové pandemie však vešla v platnost až v roce 2021 spolu s verzí CSCF v2021.

Kontrola interním oddělením a kvalifikace zaměstnanců

Provést ohodnocení zabezpečení dané firmy mohou pouze subjekty k tomu kompetentní, tj. zkušené externí firmy nebo interní nezávislá oddělení v rámci jedné organizace (compliance, risk management nebo například interní auditní oddělení). Zmíněná interní oddělení však nesmí mít žádnou přímou vazbu na funkci spravující SWIFT architekturu. Třetí možností je využití kombinace externích a interních pracovníků.

Hlavním nedostatkem při využití interních zdrojů mohou být chybějící znalosti a kvalifikace v konkrétní problematice. Všechny osoby, které participují na ověřování, musí totiž mít dostatečné vědomosti v oblasti kybernetické bezpečnosti, včetně znalostí standardů jako například PCI DSS, ISO/IEC 27001 nebo NIST Cyber Security Framework.

V rámci služby SWIFT Customer Security Program provedla společnost Deloitte po celém světě více než 200 posouzení bezpečnosti firem. Za tímto účelem vzniklo i naše centrum excelence pro SWIFT CSP sdružující odborníky s dovednostmi a zkušenostmi v kybernetické bezpečnosti, kteří jsou schopni adaptovat se na podmínky konkrétní organizace. Pokud i vaše společnost potřebuje pomoc s přípravou nebo samotným provedením nezávislé kontroly, neváhejte a kontaktujte nás.

Všechny firmy jsou povinny provést kontrolu nejpozději do prosince 2021. Organizace, které (z jakéhokoliv důvodu) ověření nepodstoupí, neposkytnou podklady o uskutečnění nebo v něm neuspějí, budou nahlášeny místnímu regulačnímu orgánu. SWIFT bude také každý rok vybírat vzorek organizací pro přezkoumání, zda jsou výsledky v souladu s uvedeným výstupem z nezávislého ověření.

Příprava na prvním místě

Kromě provedení nezávislého ohodnocení a poskytnutí odborných znalostí v oblasti kybernetické bezpečnosti může externí firma nabídnout kontrolované organizaci také služby související s přípravou na provedení nezávislého posouzení. V rámci přípravy je možné uskutečnit analýzu nedostatků a navrhnout jejich řešení dle požadavků SWIFT CSP. S přípravou je proto vhodné začít včas, aby vznikl dostatečný časový prostor pro případnou nápravu do konce roku 2021. V případě volby externí organizace pro provedení ověření je také možné její práci stínovat interními pracovníky, a tím získat i zkušenost v oblasti pro nadcházející roky.

Kybernetická bezpečnost
Poradenství 

Agilní projektové řízení v době krize: Jak efektivně transformovat tradiční firmu na moderní společnost?

Agilní projektové řízení se v uplynulých měsících ukázalo jako zvláště efektivní způsob, jak se firmy mohou vypořádat s organizačními změnami způsobenými krizí. Společnosti díky svému aktivnímu přístupu a rychlé reakci obstály tváří v tvář náhlým změnám a dopadům spojenými s vládními nařízeními a nyní jsou v rámci svých trhů ještě odolnější. Jednou z hlavních výhod byla v tomto směru dobře nastavená komunikace, kterou neovlivnil ani přestup do online prostředí nebo nedobrovolné rozpuštění týmů na home office. 

10. 8. 2021
Poradenství 

Dost bylo krize, nové příležitosti na trhu čekají. Co to znamená pro finanční ředitele?

Odolná firma je ta, která se umí přizpůsobit. Má management, který dokáže firmu řídit ze dne na den a reagovat na aktuální situaci, i když se pohybuje ve světě, kde rostou náklady, zpožďují se dodávky a vlivem restrikcí váznou běžné procesy. Takových lidí je ale bezesporu málo. Jenže odolnost firmy je rozhodujícím faktorem nejen pro přežití, ale hlavně pro nastartování prosperity. A o tu se teď hraje. 

29. 3. 2021