SWIFT CSP Programa de seguridad de clientes Lo …

SWIFT CSP Programa de seguridad de clientes Lo …, updated 9/10/17, 9:23 PM

collectionsGlobal Business
visibility371

With offices in 157 countries and more than 223,000 people, PWC  is among the leading professional services networks in the world. PWC helps organisations and individuals create the value they’re looking for, by delivering quality in assurance, tax and advisory services. PWC regulary releases researches and insights into global business issues. 

About Global Documents

Global Documents provides you with documents from around the globe on a variety of topics for your enjoyment.

Global Documents utilizes edocr for all its document needs due to edocr's wonderful content features. Thousands of professionals and businesses around the globe publish marketing, sales, operations, customer service and financial documents making it easier for prospects and customers to find content.

 

Tag Cloud

SWIFT CSP Programa de seguridad de clientes
Lo esencial
Cyber
security
assurance
framework
Cronología
¿Qué es el
programa de
seguridad
del cliente de
SWIFT?
¿Por qué es
importante?
SWIFT CSP Programa de seguridad de clientes (CSP - Customer Security Programme)
El SWIFT CSP se centra en 3 áreas que se refuerzan entre ellas. Proteger y asegurar su entorno
local (Usted), prevenir y detectar el fraude en sus relaciones comerciales (Sus contrapartes) y
continuamente compartiendo información y preparándose para defenderse frente a futuras
amenazas cibernéticas (Su comunidad).
Aún cuando las organizaciones siguen siendo los principales responsables de proteger su
propio ambiente, el CSP de SWIFT busca que la comunidad soporte la lucha en contra de los
ciber-ataques.
En respuesta a una serie de ataques cibernéticos e incidentes a lo largo de 2016, SWIFT ha
identificado 16 controles de seguridad obligatorios y 11 opcionales para sus 11,000 clientes
alrededor del mundo. A partir de enero 2018 todos los clientes deberán confirmar que cumplen
con los controles, y que los resultados se comparten con sus homólogos y reguladores.
Impacto
Los impactos variarán dependiendo de la madurez de la organización, del diseño del entorno
SWIFT local y de la naturaleza de los controles existentes. Muchas organizaciones tendrán que
remediar tanto las deficiencias técnicas como aquellas relacionadas con los procesos.
Factores de éxito
Para tener éxito, se debe adoptar un enfoque detallado y sistemático, que incluya la
colaboración a través de 3 líneas de defensa, liderazgo fuerte y un equipo diverso organizado.
Principios de seguridad
Objetivos de Control
Controles
Componentes - Incluye elementos específicos de
personas, procesos y tecnología asociados con el
control.
Medidas de validación – Incluye el método
por el cual se validarán el diseño y efectividad del
control, su frecuencia y los activos asociados.
Propietario - Incluye información relacionada
con el propietario del control, como nombre y
título funcional.
Descripción - Incluye elementos como la
frecuencia de control, quién realiza la acción, qué
acción se realiza y qué acción o efecto resulta de
ello.
Q4 2016
Q4 2017
Enero
2018
Período de
comentarios
SWIFT buscó comentarios
de los clientes sobre el
framework a ser propuesto
Descripción
de control
publicada
Auto
certificación
SWIFT requerirá
la certificación
detallada
Comienza el
intercambio de
resultados
Los resultados de la
certificación estarán
disponibles para
compartir.
Pueden considerarse
posibles inspecciones.
www.pwc.com/mx/cybersecurity
Q2 2017
July 2016
¿Cómo puede
ayudar PwC?
¿Por qué
PwC?
Servicios adicionales
Análisis de brecha
Realizamos una evaluación para determinar si existen controles
que satisfacen los requisitos de SWIFT.
1
Remediación
Desarrollamos flujos de trabajo para abordar las deficiencias de control
identificadas a través de la tecnología y los cambios de procesos.
2
Atestiguamiento – Auto Certificación
Validamos el cumplimiento exitoso de los controles de CSP y transición al
equipo de cumplimiento en curso.
3
Servicios de seguridad cibernética:
• Pruebas de penetración
• Evaluación técnica
��� Prueba de respuesta a incidentes
• Evaluación de indicadores de incumplimiento
Servicios de garantía de cumplimiento:

Informes de evaluación de terceros bajo normas
reconocidas (por ejemplo, SOC2, ISAE)
• Analíticos de confianza - Medir los niveles de
confianza dentro de su base de clientes
PwC ha realizado un gran número de evaluaciones de
seguridad basados en SWIFT a nivel mundial y contamos con
un enfoque probado y el entendimiento de como asegurar la
infraestructura de SWIFT, manteniéndola funcional.
Equipo cohesivo que
entiende SWIFT
Descripción general del marco de control de seguridad de clientes de SWIFT
Esta sección general establece el conjunto de controles de seguridad obligatorios y de asesoramiento. Los controles
de seguridad obligatorios se basan en la guía existente y establecen una línea de base de seguridad. Los controles
asesores son buenas prácticas opcionales que SWIFT recomienda para que cada usuario implemente en su entorno.
Objetivos
Principios
Controles
Proteger su entornoRestringir el acceso a
Internet y proteger los
sistemas críticos del entorno
general de TI
Obligatorio
Protección del Ambiente SWIFT– Una zona segura segregada protege la
infraestructura SWIFT de los compromisos y ataques más amplios en los
entornos empresariales y externos.
Control de Cuentas Privilegiadas del Sistema Operativo – El acceso a
las cuentas del sistema operativo de nivel administrador se limita al máximo
posible. El uso es controlado, monitoreado y sólo está permitido para
actividades relevantes tales como instalación y configuración de software,
mantenimiento y actividades de emergencia. En cualquier otro momento, se
utiliza una cuenta con el acceso de menor privilegio.
Reducir la superficie de
ataque y las
vulnerabilidades
Obligatorio
Seguridad Interna en el Flujo de Datos – Se implementan mecanismos
de confidencialidad, integridad y autenticación para proteger los flujos de
datos relacionados con SWIFT, y entre la aplicación y el operador.
Actualizaciones de Seguridad – Todo el hardware y software dentro de la
zona segura y en las PCs de los operadores están dentro del ciclo de vida de
soporte, incluyendo actualizaciones de software mandatorias y actualizaciones
de seguridad aplicadas rápidamente.
Hardening de los Sistemas – El fortalecimiento de seguridad se realiza en
todos los componentes que están dentro del alcance.
Opcional
Seguridad de Flujo de Datos de Back-office – Se implementan
mecanismos de confidencialidad, integridad y autenticación mutua para
proteger los flujos de datos entre aplicaciones de back office (o middleware) y
componentes de infraestructura de SWIFT.
Protección de Datos de Transmisión Externa – Los datos sensibles
relacionados con SWIFT que salen de la zona segura son cifrados.
Confidencialidad e Integridad de la Sesión del Operador – Se
protegen la confidencialidad y la integridad de las sesiones interactivas del
operador que se conecta a la zona segura.
Escaneo de Vulnerabilidades – Los escaneos de vulnerabilidades de las
zonas seguras y los sistemas de los operadores de PC se realizan con una
herramienta de análisis actualizada y de buena reputación.
Subcontratación de Actividades Críticas – Las
actividades
subcontratadas críticas están protegidas, al menos, con el mismo nivel de
atención que si operaran dentro de la organización.
Controles Comerciales de Transacciones –
Implementación de
controles a la gestión de relaciones de aplicaciones y detección de
transacciones, prevención y control de validación para restringir la actividad
de la transacción dentro de los límites esperados o del negocio regular.
Proteger físicamente el
ambiente
Obligatorio
Seguridad Física – Controles de seguridad física para proteger el acceso a
equipos sensibles, sitios de hosting y almacenamiento..
SWIFT Programa de seguridad de clientes
Apéndice (1/2)
www.pwc.co.uk
Objetivos
Principios
Controles
Conocer y limitar el accesoEvitar el Compromiso de
Credenciales
Obligatorio
Política de Contraseñas – Todas las cuentas de aplicaciones y sistemas
operativos imponen contraseñas con parámetros tales como longitud,
complejidad, validez y número de intentos fallidos de inicio de sesión.
Autenticación de Múltiples Factores – La autenticación de múltiples
factores se utiliza para el acceso interactivo de los usuarios a las aplicaciones y
cuentas del sistema operativo relacionadas con SWIFT.
Administrar identidades y
segregar privilegios
Obligatorio
Control de Acceso Lógico – Las cuentas se definen de acuerdo con los
principios de seguridad de acceso, restringidas con relación a la necesidad de
conocer, los privilegios mínimos y la segregación de funciones.
Administración de Tokens – Los tokens de autenticación se gestionan
adecuadamente durante la emisión, revocación, uso y almacenamiento.
Opcional
Almacenamiento de Contraseña Física y Lógica – Las contraseñas
registradas para cuentas privilegiadas se almacenan en una ubicación física o
lógica protegida, con acceso restringido acorde a la necesidad.
Detectar y responderDetectar actividad anómala
en sistemas o registros de
transacción
Obligatorio
Protección de Malware – Software anti-malware de un proveedor de
confianza se instala y se mantiene actualizado en todos los sistemas.
Integridad del Software – La comprobación de la integridad del software
se realiza a intervalos regulares en la interfaz de mensajería, la interfaz de
comunicación y otras aplicaciones relacionadas con SWIFT.
Integridad de la Base de Datos – Se realiza una comprobación de la
integridad de la base de datos a intervalos regulares, en bases de datos que
registran transacciones de SWIFT.
Registro y Monitoreo – Se implementan capacidades para detectar
actividad anómala y se dispone de un proceso o herramienta para almacenar y
revisar registros con frecuencia.
Opcional
Detección de Intrusos – La detección de intrusos se implementa para
detectar acceso de red no autorizado y actividad anómala.
Plan la respuesta a
incidentes y el intercambio
de información
Obligatorio
Planificación de Respuesta a Ciber Incidentes – La organización tiene
un plan de respuesta ante incidentes cibernéticos definido y probado.
Formación y Sensibilización en materia de seguridad – Se realizan
sesiones anuales de concientización sobre la seguridad para todo el
personales, incluyendo la capacitación específica para roles de SWIFT con
acceso privilegiado.
Opcional
Pruebas de Penetración – Las pruebas de penetración de aplicaciones,
host y redes se realizan dentro de la zona segura y en las PCs del operador.
Escenario de Evaluación del Riesgo – Se llevan a cabo periódicamente
evaluaciones de riesgos basadas en escenarios para mejorar la preparación
para la respuesta a incidentes y para aumentar la madurez del programa de
seguridad de la organización.
SWIFT Programa de seguridad de clientes
Apéndice (2/2)