Evaluación de CiberSeguridad CSP de SWIFT

Programa de Seguridad para el Cliente SWIFT

Lanzado en 2016, el Programa de seguridad para el cliente (CSP) está diseñado para reforzar la seguridad de la comunidad de SWIFT.

El punto de partida común de los ciberataques a la red financiera es un fallo de seguridad en el entorno local de un cliente SWIFT.

TriLabs SRL es proveedor de servicios de ciberseguridad registrado en el Directorio de proveedores de evaluación CSP de SWIFT.

Marco de Controles de Seguridad para el Cliente

CSP ha sido diseñado para ayudar a los usuarios SWIFT a proteger sus entornos SWIFT locales y sus accesos a los servicios de mensajería SWIFT.

Objetivos y Metas

El Banco al estar conectado de manera directa, debe cumplir con el Marco de Controles de Seguridad para el Cliente (CSCF) de SWIFT, así aumentar la seguridad de su entorno local y ayudar a proteger a la comunidad en su conjunto.

El Banco realiza transacciones transfronterizas, de modo que su propia seguridad tiene repercusiones en el ecosistema financiero global.

TriLabs cuenta con los consultores certificados en ciberseguridad y con experiencia evaluando entornos SWIFT.

El objetivo de este servicio es ayudarle a proteger la información y los recursos relacionados con SWIFT, así como a detectar el uso fraudulento de la infraestructura local de SWIFT.

Ocho Principios

Los tres objetivos principales están respaldados por estos ocho principios de seguridad, elaborados por SWIFT en colaboración con expertos del sector.

Los consultores de TriLabs, no utilizan las directrices de implementación de SWIFT como una lista de verificación de auditoría estricta, sino con un enfoque de cumplir los objetivos de control basado en evaluación de riesgos.

Marco de Controles de Seguridad para el Cliente del CSP

  • Restringir el acceso a internet.
  • Separar los sistemas esenciales del entorno TI general.
  • Reducir la superficie de ataque y las vulnerabilidades.
  • Dotar al entorno de medidas de seguridad físicas.
  • Prevenir la puesta en peligro de las credenciales.
  • Gestionar identidades y separar privilegios
  • Detectar actividades anómalas en el sistema o en los registros de transacciones.
  • Planificar la respuesta a incidentes y la compartición de información.

 

Asegurar y Proteger

El Banco tiene la obligación de cumplir al menos con los controles obligatorios para levantar una fortaleza en torno a su zona segura de SWIFT.

Los controles recomendados se basan en prácticas recomendadas que SWIFT aconseja que implementen sus usuarios (con el tiempo es posible que algunos controles recomendados sean obligatorios).

TriLabs realiza esta evaluación tanto de manera in-situ como remota, detallando el estado de cumplimiento de cada uno de los 31 controles, según su tipo.

Alcance de la Evaluación

Según el tipo de Arquitectura adoptado por el Banco (A1, A2, A3, A4 o B). Ejemplo A1:

Tanto la interfaz de mensajería como la se comunicación pertenecen al Banco.

Esto incluye también las soluciones cuyas licencias de software alojadas sean propiedad del Banco, aunque no estén alojadas en sus propias instalaciones.

Componentes dentro del Ámbito de Evaluación

Ámbito de los controles de seguridad:

Componentes específicos de SWIFT dentro del entorno  productivo/operativo, aunque no estén ubicados físicamente en las instalaciones del Banco.

Componentes fuera del Ámbito de Evaluación

Las conexiones a la red de SWIFT suministradas por socios de la red de SWIFT, la conexión de Internet a la red de SWIFT y las cajas de Alliance Connect VPN se encuentran fuera del ámbito.

Beneficios de la Evaluación Independiente

Personal certificado en ciberseguridad y con experiencia en evaluación de SWIFT, PCI-DSS, ISO 27001.

La evaluación por parte de un tercero brinda mayor confiabilidad y evita conflictos de interés.

Los auditores deben ser independientes tal como se describe en el Instituto de Auditores Internos (IIA).

  • Se asegura el nivel de independencia y objetividad por parte del SME (Sujeto Experto en la Materia).
  • Validación justa por parte del SME sobre el diseño e implementación del control, confirmando la mitigación de riesgos según el objetivo de control.
  • Puede notar desviaciones que materialmente no impactan sobre la capacidad de los controles para mitigar los riesgos, o recomendar controles alternativos que compensen las desviaciones.

Nuestros Servicios de Consultoría SWIFT

TriLabs le ofrece los siguientes servicios relacionados y complementarios a SWIFT:

  • Evaluación de cumplimiento sobre los controles de seguridad CSP como partner autorizado de SWIFT.
  • Acompañamiento en la remediación de brechas frente al marco CSCF de SWIFT.
  • Evaluación de Riesgos para seguridad de la información en el entorno SWIFT.
  • Pruebas de intrusión (Ethical Hacking) al entorno SWIFT (infraestructura, aplicaciones, personal, APIs, etc.).
  • Implementación de políticas y procedimientos de seguridad para SWIFT, adaptados a la entidad.
  • Implementación de Plan de Continuidad de Negocio y PRD SWIFT.
  • Capacitación en seguridad para usuarios SWIFT.

Contáctenos para más detalles.​