SWIFT CSCF: Customer Security Controls Framework

SWIFT CSCF: Customer Security Controls Framework

 

La industria financiera, ha sido siempre, el principal objetivo de los ciberdelincuentes que cada día se perfecciona generando nuevas amenazas y ampliando el vector de riesgo de las organizaciones bancarias.

La red de mensajería y transferencias interbancaria SWIFT (Society for Worldwide Interbank Financial Telecommunications, por sus siglas en inglés), se vio impactada en pérdidas de millonarias de dólares que impactaron en las instituciones financieras miembros de su comunidad.

La evolución de las amenazas, las mejoras en el contexto de innovación tecnológica, las nuevas reglamentaciones y estándares globales, junto con las mejores prácticas de ciberseguridad, hacen sentido a que la comunidad SWIFT mantenga actualizaciones periódicas.

Para ello, SWIFT introduce y actualiza de manera permanente su Programa de Seguridad del Cliente (CSP, Customer Security Program) con el firme objetivo de fortalecer la ciberseguridad aplicada a su red transacciones y pago, robusteciendo de esta manera cada una de las entidades miembro y de manera transitiva toda la comunidad SWIFT.

Los controles de cumplimiento determinan una línea base para la comunidad de la red de transacciones SWIFT, que deben ser implementados en la infraestructura local del cliente.

Los beneficios inmediatos que tienen como objetivo estos controles es la mitigación de los riesgos y la mejora de la seguridad aplicada a corto plazo.

Como parte del CSP, SWIFT desarrolló el Marco de Controles de Seguridad del Cliente (CSCF, Customer Security Control Framework) que consta de 31 controles de seguridad obligatorios y asesoramiento a los usuarios SWIFT.

«Todas sus organizaciones miembros que utilizan la red de mensajería interbancaria deben certificar anualmente con este marco de controles de seguridad.»

Los 31 controles son agrupados en 3 objetivos, desglosados en 8 principios a saber:

Proteger su entorno

  1. Restringir el acceso a Internet
  2. Segregar los sistemas críticos del entorno general de TI
  3. Reducir la superficie de ataque y las vulnerabilidades
  4. Proteger físicamente el entorno.

Conocer y limitar el acceso

  1. Prevenir el compromiso de las credenciales
  2. Administrar identidades y segregar privilegios

Detectar y responder

  1. Detectar actividad anómala en el sistema o en los registros de transacciones
  2. Planificar la respuesta frente incidentes y el intercambio de información

«Los controles de seguridad se han mapeado con los siguientes 3 estándares de seguridad internacionales: PCI-DSS, ISO 27002 y NIST

SWIFT adapta la evolución del marco a las amenazas del contexto cambiante, así como también la madurez de sus miembros de la comunidad.

El CSP de SWIFT requiere que cada entidad financiera defina, documente, implemente, controle y certifique de manera independiente su entorno SWIFT local, bajo su responsabilidad, cumple con los objetivos, principios y controles de CSCF de SWIFT.

El SWIFT CSCF consta de 31 controles, de los cuales 22 controles obligatorios y 9 controles de asesoramiento, para lo cual los miembros de la comunidad deben certificar su cumplimiento. Además, SWIFT CSCF ha publicado un cronograma para la introducción de cambios dentro del marco y la necesidad de informes periódicos.

Se espera que las entidades financieras de la comunidad realicen actividades de Análisis de GAP, Auditoría y Remediación del SWIFT CSCF anualmente en relación con las actualizaciones de las nuevas versiones del marco dentro del cronograma de publicaciones.

De esta manera la comunidad SWIFT tiene hasta 18 meses para analizar, comprender e implementar los cambios necesarios que son requisitos de control. Los cambios en los controles se anuncian a mediado de año, teniendo vencimiento de cumplimiento entre julio y diciembre del año siguiente.

Un cambio importante que se anunció a la comunidad SWIFT es que la autoevaluación no es una opción aceptada para la certificación. De esta manera se hace necesario realizar una evaluación independiente del estado de certificación de la entidad financiera en cuestión.

El tipo de evaluación puede ser un análisis de GAP o una auditoría, proporcionados interna o externamente, siempre que pueda ser demostrada su independencia y la evidencia respaldatoria. Las evaluaciones internas pueden ser realizadas por las áreas de auditoría interna o el área de gestión de riesgo interna, complementándose con servicios o profesionales externos de empresas consultoras. Las evaluaciones externas proporcionan independencia en la evaluación y los profesionales certificados brindan el compromiso y confianza en el cumplimiento que solicita el SWIFT CSCF.
 

 

Referencias