SWIFT CSCF v2022: cómo elevar el nivel en ciberseguridad

El amplio alcance de la plataforma SWIFT en la industria de pagos, sigue siendo un canal atractivo para que los ataques cibernéticos aprovechen las posibles fallas en las implementaciones deficientes de los sistemas. Por esto, SWIFT creó el CSP o Customer Security Program que busca prevenir y detectar posibles acciones fraudulentas a través de ciertos controles conocidos como el Marco de Controles de Seguridad para el Cliente determinados por SWIFT o CSCF. Este marco ha sido actualizado y publicado para este año (SWIFT CSCF V2022), para ayudar a los usuarios de SWIFT a detectar, proteger y compartir información sobre los delitos cibernéticos de servicios financieros.
SWIFT CSCF V2022: como elevar el nivel en ciberseguridad
Illustrator-4.png

Actualizaciones del SWIFT CSCF v2022

En julio de 2021, SWIFT publicó el pdf CSCF v2022, que detalla las nuevas actualizaciones sobre algunos ajustes en las políticas, las reglas de orientación y aclaraciones a las pautas y controles de implementación existentes. Los usuarios de SWIFT deben certificar su conformidad con este nuevo CSCF v2022 entre principios de julio hasta 31 de diciembre de 2022.

Nota: Las actualizaciones de CSCF v2022 se implementarán en la aplicación KYC-SA (el repositorio en línea para certificaciones de clientes) en julio de 2022.

A continuación compartimos algunos temas relevantes que los usuarios de SWIFT deben comprender sobre SWIFT CSCF V2022

Generalmente, es una tarea desafiante acceder a las cuentas del sistema operativo a nivel de administrador en cualquier organización. El uso está controlado, monitoreado y solo permitido para la instalación y configuración de software relevante, mantenimiento y actividades de emergencia. Las cuentas con privilegios bajos presentan brechas en vulnerabilidades de un sistema y permiten que los ciberdelincuentes exploten los procesos. Esta extensión garantiza que el control 1.2 ahora cubra la seguridad básica en los dispositivos de los usuarios finales y amplía el alcance para incluir PC de operador de uso general.

Recientemente incorporado para la arquitectura A4 que protegerá el conector del cliente y otros equipos relacionados con el cliente apoyando el control 1.1 existente, el cual aplica a todos los tipos de arquitectura A de entornos externos y compromisos o ataques en el entorno empresarial más amplio. Facilita la comunicación con la interfaz de mensajería externa o una interfaz de comunicación (o ambas) o con un proveedor de servicios (que maneja la conexión externa).

SWIFT ha sumado recientemente este control 2.9 como obligatorio, lo que significa que se tendrá en cuenta un entorno operativo las 24 horas del día, los 7 días de la semana para reducir la amenaza de estafas/fraudes de pago. No importa el tipo de arquitectura haya estado usando; este control aplica a todas las arquitecturas. La implementación de controles de detección, prevención y validación de transacciones es imprescindible para restringir la actividad de transacciones salientes a los límites esperados del negocio.

Los conectores de clientes son un componente que están dentro del alcance de numerosos controles en CSCF v2021; ahora, los usuarios deben seguir las funciones de integridad del software en SWIFT. Por lo general, se realiza una verificación de integridad del software en intervalos regulares en la interfaz de mensajería, la interfaz de comunicación y otras aplicaciones relacionadas con SWIFT como medida obligatoria para aprovechar las amenazas en el pago.

Keep a Bird-eye on minor changes to specific controls or the overall CSCF framework

1.5A Customer Environment Protection

Secure Zones need to bolster new sanctioned controls.

2.1 Internet Data Flow Security

Confidentiality, integrity, and authentication mechanisms are implemented to protect the SWIFT network.

2.4A Back Office Data Flow Security

It's time to edge off all the redundant references from the customer connector

2.7 Vulnerability Scanning

Explicitly refer to network devices

2.8A Critical Activity Outsourcing

Critical outsourced activities should be protected

4.1 Password Policy

4.2 Multi-Factor Authentication

5.1 Logical Access Control

Explicitly refers to network devices

5.2 Token Management

Explicitly refers to non-connected tokens

5.3A Staff Screening Process

Align control objective with the requested recurring staff screening

6.4 Logging and Monitoring

Guide global log retention to support forensics in line with local legislation

7.1 Cyber Incident Response Planning

Consider the SWIFT recovery roadmap as a guide

7.2 Security Training and Awareness

Split' annual security awareness' expectation from 'maintaining knowledge over time

¡Prepárate para cumplir con el CSP de SWIFT y su evaluación CSCF con ECS Fin!

Como enfatizó SWIFT, aplicar controles de seguridad y medir el entorno organizacional actual para cumplir con los objetivos de control es un enfoque arriesgado y lento si no se hace correctamente.

Como oficina de servicios de SWIFT certificada en ECS Fin, ofrecemos servicios integrales para todos los usuarios de SWIFT, que van desde la consultoría y el asesoramiento para el CSP, los requisitos de cumplimiento, el diseño, la implementación y el funcionamiento de la infraestructura de SWIFT hasta la certificación de su cumplimiento con los controles del CSP (CSCF), realizando la auditoría.

Si después de la auditoría, se presentan no conformidades en los controles, te damos la opción de incluir un Check point, lo que significa que puedes realizar los respectivos ajustes que fueron detectados en la primera auditoria y luego certificar tu cumplimiento de los controles con la documentación requerida por SWIFT.

¡Prepárate para cumplir con el CSP de SWIFT y su evaluación CSCF con ECS Fin!

Como enfatizó SWIFT, aplicar controles de seguridad y medir el entorno organizacional actual para cumplir con los objetivos de control es un enfoque arriesgado y lento si no se hace correctamente.

Como oficina de servicios de SWIFT certificada en ECS Fin, ofrecemos servicios integrales para todos los usuarios de SWIFT, que van desde la consultoría y el asesoramiento para el CSP, los requisitos de cumplimiento, el diseño, la implementación y el funcionamiento de la infraestructura de SWIFT hasta la certificación de su cumplimiento con los controles del CSP (CSCF), realizando la auditoría.

Si después de la auditoría, se presentan no conformidades en los controles, te damos la opción de incluir un Check point, lo que significa que puedes realizar los respectivos ajustes que fueron detectados en la primera auditoria y luego certificar tu cumplimiento de los controles con la documentación requerida por SWIFT.

¡ECS Fin, tu partner ideal!

Seguridad en la nube: Los riesgos son una barrera importante

Seguridad en la nube: Los riesgos son una barrera importante

¿Sabías que el obstáculo más frecuente para la adopción de la nube entre los tres primeros índices, es el riesgo de seguridad en la nube y el cumplimiento?

NeoBancos: ¿Cómo están revolucionando la industria bancaria?

NeoBancos: ¿Cómo están revolucionando la industria bancaria?

Con el tiempo, la evolución del comportamiento de los clientes ha dado lugar a una nueva raza de bancos, llamados neobancos. ¡Te invitamos a que los conozcas!

Gestión de Tesorería: cómo BHTreasury transforma tu sistema?

Gestión de Tesorería: cómo BHTreasury transforma tu sistema?

Es el momento de definir, redefinir y modificar los sistemas de gestión de tesorería para aprovechar las oportunidades de transformación de las operaciones.

Abrir chat
1
¡Es un placer tenerte aquí!
¡Hola! Mi nombre es Ana ¿En qué puedo ayudarte?