Consultoría & Consultores

A finales de mayo de 2017, SWIFT (Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales, Society for Worldwide Interbank Financial Telecommunication) publicó el marco de referencia definitivo de su ya conocido Programa de Seguridad de Clientes (CSP, Customer Security Program). Respecto a la versión borrador que SWIFT compartió con la red de entidades en el otoño anterior, no existía una variación significativa. No obstante, alguno de los controles inicialmente introducidos y que más controversia generaban desaparecían o se veían significativamente suavizados como, por ejemplo, los siguientes:

  • El control de aplicaciones mediante una lista blanca tiene ahora carácter opcional dentro del control de integridad de software del CSP. Este tipo de medidas de seguridad pueden ser complicadas para compañías que no se encuentren en un nivel de madurez alto.
  • Uso de un mecanismo de autenticación independiente para la zona segura. Este control originaría que muchas compañías tuvieran que mantener un directorio paralelo solo para unas pocas máquinas. Finalmente se incluyó en el CSP una aclaración sobre el uso de controles compensatorios como, por ejemplo, incrementar los controles de acceso o incrementar las capacidades de monitorización, entre otras.
  • La longitud de las contraseñas ya no es un parámetro fijo, sino que se confía en la política de seguridad de la compañía la cual debería estar alineada con unas buenas prácticas de seguridad.
  • Aun cuando se sigue insistiendo en que debe haber un acceso físico restringido a la zona de puestos de PC desde los cuales se opera el entorno SWIFT, se presupone que los diferentes controles de acceso que puede haber en una compañía (acceso al edificio, acceso a la planta, etc.) son suficientes como para asegurar el cumplimiento del control correspondiente del CSP.

A partir del día en que se publicó el marco definitivo y hasta el próximo 31 de diciembre, las entidades con código BIC (“Bank Identifier Code”) propio se encuentran en un proceso de evaluación en el cual SWIFT pretende conocer y ayudar a mejorar el nivel de madurez de la ciberseguridad de las entidades de la red.

Obligaciones:

Según lo establecido en el marco de referencia SWIFT CSP, se ha estipulado que 16 de los 27 controles son de obligado cumplimiento para las entidades y los 11 restantes son únicamente recomendables a día de hoy, si bien SWIFT ya ha manifestado que a futuro espera aumentar el nº de controles de carácter obligatorio. Asimismo, y como era de esperar, no todos los clientes tendrán las mismas obligaciones sobre el cumplimiento de los controles. En este caso, el alcance del cumplimiento viene establecido por el tipo de arquitectura IT utilizada, diferenciando entre arquitectura tipo A (la arquitectura que soporta la red de mensajería pertenece parcialmente o en su totalidad a la entidad) o tipo B (la arquitectura pertenece a un proveedor subcontratado o Service Bureau de SWIFT). Debido a esto, SWIFT ha definido que las entidades con la infraestructura tipo A les aplicará la totalidad de los controles, y las entidades con infraestructura tipo B, les aplicarán solamente 19 de ellos.

Este hecho ha creado ciertas dudas en el sector ya que entidades con infraestructura tipo B llegaron a suponer que podrían delegar el cumplimiento del programa en su Service Bureau de SWIFT pero, en cambio y como se ha indicado, la Sociedad ha estipulado que independientemente del tipo, todas las entidades que dispongan de código BIC8 propio tienen la obligación de cumplir con todos los controles obligatorios y son responsables de su reporte.

Dificultades y consejos para asegurar el cumplimiento

Como cualquier tipo de estándar técnico de seguridad, la implantación del mismo en una compañía implica trabajo en diferentes áreas y la aplicación de una serie de restricciones a las cuales se deben adaptar usuarios y administradores de las plataformas y entornos bajo el alcance del CSP.

Lo más cómodo, y un ejercicio muy habitual a la hora de integrar nuevos controles de seguridad en el marco de controles de la compañía, es realizar un mapeo frente a otras regulaciones y/o estándares de seguridad ya conocidos, de esta forma se puede obtener un grado de cobertura del programa CSP aprovechando posibles controles ya implantados. El CSP de SWIFT ofrece un mapeo con los estándares PCI DSS v3.2, ISO 27002:2013 y NIST Cybersecurity Framework v1.0.

En la práctica, uno de los aspectos que puede entrañar más dificultad en la aplicación técnica de los controles es el de llevar a cabo aislamiento lógico de la plataforma y el control de los accesos de los operadores y administradores. Una buena segmentación de la red, bloqueando los accesos a la denominada “zona segura” de SWIFT, permite cumplir el primer control del programa de seguridad, siendo además éste una buena práctica de seguridad en general al proteger un activo importante para el negocio de la compañía. El acceso de los usuarios (“operadores” en terminología de SWIFT) tiene dos opciones viables, uso de unos puestos de usuario dedicados para el acceso a la plataforma, o establecer un entorno de máquinas de salto (terminal server, web isolation, etc.) para un acceso seguro y monitorizado desde un único punto; en ambos casos será necesario formar a los usuarios en caso de que su acceso a la zona segura se realizara de alguna forma que difiera a lo planteado anteriormente.

El resto de controles de seguridad son bastante conocidos a nivel de seguridad técnica y, aunque en borradores anteriores eran bastante estrictos en su implementación, la mayoría de ellos han flexibilizado su nivel, de forma que será la compañía la que puede establecer los niveles de sus políticas actuales haciendo más fácil su implantación.

Implicaciones

Con la finalidad de agilizar las gestiones y facilitar el envío de la información, SWIFT ha implantado una plataforma denominada KYC Registry Security Attestation, la cual permitirá acceder a las entidades y comunicar el grado de cumplimiento de los controles.

Como ya se ha comentado anteriormente, las entidades tienes como fecha límite el 31 de diciembre del 2017 para enviar las autoevaluaciones de los controles usando la plataforma. Respecto a dichas autoevaluaciones, SWIFT no ha establecido quién debe realizarlas, dando la posibilidad de que éstas se puedan realizar internamente por la entidad o, si se prefiere, éstas puedan ser delegadas en un proveedor externo encargado de realizar auditorías de cumplimiento.

A partir de la mencionada fecha, SWIFT ha estipulado que cada entidad deberá seguir realizando las autoevaluaciones de manera anual o tras cada cambio significativo que afecte al alcance del CSP.

Tras cada evaluación, se deberá comunicar a SWIFT utilizando la plataforma KYC, especificando para todos los controles obligatorios que apliquen lo siguiente:

  • Si cumple con lo establecido:

- En línea con la guía de SWIFT

- De una forma alternativa

  • Si en un futuro el control cumplirá con lo establecido (se deberá cumplimentar el campo de texto libre aclaratorio)
  • No cumple con lo establecido
  • No aplica: en este sentido, SWIFT ha indicado que los controles recomendables se podrán dejar vacíos.

SWIFT ha indicado que este año las entidades únicamente están obligadas a enviar la evaluación de controles y que no se revisará el cumplimiento o no del Programa. A priori, esto puede parecer baladí; no obstante, SWIFT ha establecido que se encargará de ofrecer transparencia a los bancos centrales y entidades de contrapartida acerca de las entidades que no hayan comunicado su evaluación. Es más, a partir de enero de 2019 será cuando SWIFT aumentará el nivel de transparencia, comunicando también qué entidades no están cumpliendo con cada control del Programa.