¿Cómo mitigar las brechas que abre la tecnología?

SWIFT CSP evaluación independiente

La Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales (SWIFT, por sus siglas en inglés) se describe a sí misma como un proveedor de “una red para transferir valores con un enfoque confiable, seguro y protegido”, que establece los estándares internacionales para la sintaxis de los mensajes financieros, provee una red segura para la transmisión de mensajes entre las instituciones financieras y desarrolla software para conectar la red SWIFT. 

Generalidades

Como respuesta al fraude en Bangladesh del 2016, SWIFT como parte de su política ha implementado el Programa de Seguridad para Clientes (CSP, por sus siglas en inglés), para abordar riesgos cibernéticos de pagos globales y mejorar la confianza dentro de la comunidad SWIFT, incluyendo las instituciones financieras, así como otras grandes corporaciones conectadas a la red.   Su marco laboral subyacente establece una serie de controles de seguridad diseñados a ayudar a los clientes a protegerse contra amenazas cibernéticas, así como a asegurar la infraestructura local usada para acceder a la red SWIFT.  Bajo la CSP, SWIFT requiere que todos los clientes, de forma anual, autoevalúen su postura de cumplimiento dentro de la herramienta Know Your Customer (KYC), que es utilizada por SWIFT y por las contrapartes de los clientes (p.e., otros bancos o corporaciones), para analizar los resultados de la auto evaluación. 

Actualmente, se requiere que los clientes SWIFT realicen auto evaluaciones con poco o ningún involucramiento de las unidades de negocio asociadas a la primera línea de defensa (generalmente, áreas financieras, tesorería).  A inicios de julio del 2021, las actualizaciones al CSP requieren que los clientes obtengan una evaluación independiente contra el marco de SWIFT de forma anual, para informar a la alta gerencia del estado actual de seguridad del ambiente SWIFT.  Esto puede llevarse acabo de las siguientes maneras:     

• Una evaluación externa por una organización externa independiente que tenga experiencia en las evaluaciones de ciberseguridad existentes, así como evaluadores individuales con certificaciones relevantes en la industria de seguridad. Un ejemplo de esta evaluación externa sería el reporte de certificación de un Cybersecurity Program Assessment.
• Una evaluación interna por una función de usuario de segunda o tercera línea de defensa (cumplimiento, auditoría interna), independiente de la primera línea de defensa que será evaluada. Aquellos que realicen la evaluación deben poseer experiencia reciente y relevante en la evaluación de los controles de ciberseguridad.

El CSP de SWIFT requerirá de una evaluación independiente para informar a la alta gerencia de la auto evaluación.  Por lo tanto, EY ha desarrollado un enfoque metodológico para cubrir esta necesidad. 

Preparándose para el 2021

Los ciberataques se están volviendo cada vez más sofisticados dentro de la comunidad financiera.  La arquitectura SWIFT instalada dentro del entorno de las entidades de los clientes permite la comunicación de mensajes financieros (p.e., transferencias electrónicas entre entidades financieras), debido al incremento de conexiones fuera de la red de la entidad, presenta un aumento en la superficie de exposición mediante la ejecución de vectores de ataque que podrían ser materializados (explotados).  De no estar propiamente asegurados, existe el riesgo de fraudes electrónicos, asociados a cambios no autorizados al monto o al receptor de los fondos durante los pasos finales del proceso de transferencia de SWIFT.

EY está preparada para ayudar a las entidades a cubrir esta necesidad, actualmente cuenta con una red de profesionales con conocimiento y experiencia en el sector financiero, en materia de ciberseguridad, cumplimiento regulatorio y el manejo de riesgos tecnológicos, quienes están en la capacidad de llevar a cabo una evaluación SWIFT CSP. 

Reporte de evaluación SWIFT CSP — uso y beneficios

El reporte de evaluación permite la reducción de tiempo y costos necesarios para abordar los requerimientos en materia de seguridad de SWIFT, así como el estado de seguridad del ambiente SWIFT basado en riesgos a los clientes y otras contrapartes al permitir que las entidades demuestren que los controles implementados son los apropiados para mantener la postura de seguridad.

¿Cómo puede ayudar EY?

Contamos con profesionales de EY, que tienen experiencia en el desarrollo de estas evaluaciones de SWIFT, trabajando en conjunto con entidades del sector financiero, para mejorar la postura de seguridad y el ambiente de control del sistema de mensajería SWIFT. 

Preguntas clave que deberían hacerse

• ¿Tengo el personal apropiadamente calificado y certificado para llevar a cabo la evaluación?
• ¿La evaluación está siendo realizada por una función independiente?
• Para mediados del 2021, ¿puedo asegurar que estaré cumpliendo con todos los controles mandatorios de SWIFT CSP v2021?
• ¿He considerado el cumplimiento de los controles opcionales, que podrían ser mandatorios en el futuro?
• ¿Sé quién es el propietario de mi infraestructura SWIFT, cuántos BICs tiene mi organización y de qué forma son utilizados?
• ¿Tiene la organización un plan para gestionar de manera continua el cumplimiento de SWIFT?