Externes Assessment zum Schutz der SWIFT-Infrastruktur vor Cyberattacken
Das SWIFT Customer Security Programme (SWIFT CSP) verpflichtet alle am SWIFT-Netzwerk teilnehmenden Unternehmen (SWIFT-Nutzer), eine Reihe von Cyber Security Kontrollen zu implementieren und diese durch eine jährliche Selbst-Attestierung zu bestätigen. Die relevanten Kontrollen werden im SWIFT Customer Security Controls Framework (SWIFT CSCF) anhand von verpflichtend (mandatory) und freiwillig (advisory) zu implementierenden Kontrollen vorgegeben, um einen Schutz der SWIFT-Infrastruktur gegen Cyberattacken zu gewährleisten. Die konkrete Ausgestaltung der Kontrollen ist dabei von der verwendeten SWIFT-Infrastruktur des Unternehmens abhängig (A1, A2, A3 oder B).
Im Rahmen des SWIFT CSP obliegt es den SWIFT-Nutzern, eine jährliche Selbst-Attestierung der implementierten Cyber Security Kontrollen anhand der Vorgaben des SWIFT CSCF vorzunehmen. Die Selbst-Attestierung kann dabei entweder durch ein internes oder durch ein externes Assessment erfolgen.
Durch das umfangreiche Know-how und die langjährige Erfahrung im Bereich Informationssicherheit und Cyber Security (z.B. ISO/IEC 27001, ISO/IEC 27032, PCI-DSS) sowie IT-Audits (z.B. nach ISAE 3402) können die Expertinnen und Experten von BDO Ihr Unternehmen bestmöglich bei der Durchführung der Selbst-Attestierung unterstützen.
Die Vorteile für Ihr Unternehmen
- Umfassende Analyse der bestehenden Cyber Security Kontrollen in Abgleich mit den Vorgaben des SWIFT CSCF
- Objektiver Nachweis der angemessenen Implementierung von Kontrollen
- Flexible Durchführung der Assessments in Abhängigkeit von der Unternehmensgröße und Unternehmensstruktur (On-Site bzw. Remote)
- Identifizierung von Verbesserungspotenzial in den bestehenden Kontrollen
- Prüfbericht im von SWIFT vorgegebenen Format inklusive Management Summary bzw. Ergebnispräsentation
Unsere Vorgehensweise - Ihr Mehrwert
Bei der Durchführung des Assessments gehen wir wie folgt vor:
- Abklärung der verwendeten SWIFT-Infrastruktur
Am Beginn eines jeden Projekts steht die Frage, welche SWIFT-Architektur in Ihrem Unternehmen zur Anwendung kommt. Abhängig von der konkreten Architektur – A1, A2, A3 und B – ergibt sich der Umfang der zu implementierenden Cyber Security Kontrollen. Gleichzeitig vereinbaren wir mit Ihnen, welche freiwilligen Kontrollen im Rahmen des Assessments betrachtet werden sollen.
- Erstellung eines detaillierten Ablaufplans
Im nächsten Schritt wird ein auf Ihr Unternehmen abgestimmter Ablaufplan seitens BDO erarbeitet. Abhängig von Ihrer Unternehmensstruktur werden der Umfang und die Art des Assessments festgelegt. Während Architekturen der Kategorie A1, A2 und A3 möglichst als On-Site Assessment durchgeführt werden sollen, kann für Architekturen der Kategorie B (etwa bei eigenständigen Standorten bzw. Niederlassungen in anderen Ländern) auch ein Remote-Assessment angedacht werden.
- Koordinierung der Assessment-Termine (On-Site bzw. Remote) mit den zuständigen Ansprechpartnern (Business, IT, Security, etc.)
Im Rahmen der Terminvereinbarungen wird den jeweiligen Ansprechpartnern des Unternehmens ein Fragenkatalog mit vorzubereitenden Informationen übermittelt. Um eine effiziente Durchführung sicherzustellen, steht Ihnen seitens BDO ein Single Point of Contact in Form eines Project Management Offices zur Verfügung.
- Durchführung des Assessments
Im Rahmen des Assessments (On-Site bzw. Remote) werden sämtliche anwendbaren Kontrollen entsprechend den unten dargestellten Methoden überprüft.
- Erstellung des Berichts bzw. der Dokumentation sowie Präsentation der Resultate
Als Ergebnis des Assessments wird ein Bericht samt Management Summary erstellt. Die Ergebnisse des Berichts werden dem Unternehmen präsentiert, wobei auch auf mögliches Verbesserungspotenzial hingewiesen wird.
Bei der Durchführung des Assessments bedienen wir uns – abhängig von der konkreten Cyber Security Kontrolle und dem entsprechenden Risiko – der nachfolgenden Methoden:
Zum Vergrößern anklicken