La Society for Worldwide Interbank Financial Telecommunication (SWIFT) es un programa que sirve como columna vertebral para las transacciones globales seguras. En este artículo, profundizaremos en los detalles de la transición a la nueva versión del programa SWIFT, proporcionando a los especialistas técnicos información clave y orientación.
SWIFT recientemente publicó actualizaciones a su CSCF (Customer Security Control Framework), que establece controles de seguridad obligatorios y de asesoramiento para las organizaciones. La última versión de SWIFT CSCF contiene 23 controles obligatorios y 9 de asesoramiento, en comparación con la versión anterior, que contenía 21 controles obligatorios y 10 de asesoramiento. Sin embargo, no es simplemente el caso de agregar o eliminar controles, ya que el CSCF también ha adaptado varias medidas existentes para agilizar el proceso de cumplimiento y tener en cuenta nuevos problemas de seguridad.
Nuevo control de asesoramiento 1.5A: Protección del entorno del cliente
Este es un nuevo control de asesoramiento que detalla los requisitos necesarios para asegurar el Conector del Cliente; esto es análogo a la Zona Segura, un entorno segmentado y controlado vinculado al marco de control SWIFT CSP. SWIFT define los “Conectores” como “software local diseñado para facilitar la comunicación con una interfaz de mensajería externa o una interfaz de comunicación (o ambas), o con un proveedor de servicios (manejando así la conexión externa)”. Este tipo de interfaces a menudo pueden ser el objetivo de un ciberataque, ya que proporcionan un punto de acceso.
Este nuevo control de asesoramiento es relevante para el tipo de arquitectura A4, pero también se aplica a los otros tres tipos de arquitectura (A1, A2 y A3). Cabe destacar que la arquitectura A4 se introdujo en CSCF v.2021 para cubrir a los clientes sin presencia de SWIFT y para admitir nuevas tecnologías como la nube y las API. Tenga en cuenta que las ‘Zonas Seguras’ ahora se han aclarado en la v.2022 para respaldar esta actualización.
Controles comerciales de transacciones 2.9 obligatorios
SWIFT agregó los Controles comerciales de transacciones 2.9 a CSCF v.2021 como un control de asesoramiento solamente. Sin embargo, a partir de CSCF v.2022, este control ahora es obligatorio. Esto refleja la naturaleza grave de la creciente amenaza de fraude en los pagos. Este mandato se aplicará a todos los tipos de arquitectura y reducirá significativamente los pagos fraudulentos. Para lograr esto, CSCF v.2022 especifica que todas las instituciones financieras deben restringir y monitorear los flujos de datos en las transacciones de pago. También vale la pena mencionar que el control 2.9 se alinea con la estrategia del Comité de Pagos e Infraestructuras de Mercado (CPMI) para prevenir el fraude en los pagos.
Limitar el tráfico fuera del horario comercial es uno de los requisitos fundamentales de este control ahora obligatorio. Algunos de los subcontroles incluyen la capacidad de emitir y verificar mensajes de confirmación, así como conciliar registros contables con mensajes de estado de fin de día.
Ampliación del alcance a 1.2 Control de cuentas privilegiadas del sistema operativo
La higiene de seguridad abre vulnerabilidades en un sistema y permite que los ciberdelincuentes aprovechen los procesos. Para ayudar a mitigar problemas relacionados con la higiene de seguridad, el control 1.2 del CSCF (Control de cuentas privilegiadas del sistema operativo) se ha ampliado en la v.2022. Esta ampliación asegura que el control 1.2 ahora cubra la higiene de seguridad básica en los dispositivos de los usuarios finales y extiende el alcance para incluir las PC de operador de propósito general, así como la arquitectura B. Este control sigue siendo de asesoramiento en lugar de obligatorio; sin embargo, se debe considerar como una mejor práctica para mitigar el fraude en los pagos.
Evaluación independiente obligatoria del CSCF
Anteriormente, se permitía la autoevaluación para prepararse para la certificación de cumplimiento con el CSCF. Sin embargo, a partir de 2021, la evaluación del CSCF ahora debe ser realizada por un evaluador independiente. Esta condición obligatoria se lleva a cabo mediante la “Evaluación Estándar de la Comunidad” como parte del Marco de Evaluación Independiente (IAF), que SWIFT requiere para mejorar la precisión de una certificación. Este nuevo mandato requiere que las certificaciones sean evaluadas mediante una evaluación interna y/o externa.
La última versión del CSCF también realiza pequeñas modificaciones a los controles existentes para “mejorar la usabilidad y comprensión del documento y ayudar a implementar el marco según lo previsto”. Es poco probable que estos cambios cambien el estado de cumplimiento de las organizaciones, pero podrían ayudarles a mejorar los procesos existentes. Los requisitos se hicieron obligatorios en julio, y se requiere que las organizaciones adopten estos controles para finales de año.
Evaluaciones CSCF con MAKINSIGHTS
Nuestra evaluación de cumplimiento del CSCF de SWIFT compara los controles tecnológicos con el CSCF y te ayuda a cumplir tus objetivos comerciales. MAKINSIGHTS cuenta con un equipo de especialistas con amplia experiencia en proyectos de ciberseguridad en el sector de servicios financieros, y estamos incluidos en el directorio de SWIFT de proveedores autorizados de evaluación de CSP a nivel mundial. Te invitamos a programar una consulta con nosotros a través de ideas@makinsights.com o mediante calendly AQUÍ.