Analytics

jueves, 27 de julio de 2017

Programa de seguridad CSP (SWIFT)

Recientemente, la Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales (SWIFT) ha sacado a la luz el programa de seguridad CSP (Customer Security Programme). Este programa es de obligado cumplimiento para todas las entidades financieras que forman parte de dicha organización, y su cumplimiento debe ser reportado de manera formal desde este mismo año. A lo largo de este artículo veremos el origen de dicho programa de seguridad, así como las características más destacadas del mismo.

Orígenes

Fundada en Bruselas en el año 1973, SWIFT (del inglés: Society for Worldwide Interbank Financial Telecommunication, es decir, la Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales), es una organización cooperativa dedicada al fomento y al desarrollo de métodos de interacción globales y estandarizados para las transacciones financieras entre entidades bancarias. Es decir, que el objetivo de dicha organización es el de establecer una red global de comunicaciones para el procesado de datos bancarios, así como un lenguaje común para la realización de dichas transacciones.

Actualmente, SIWFT opera una red internacional de comunicaciones formada por más de 11000 entidades financieras, que a su vez son distribuidas en más de 200 países en todo el mundo.

Con el objetivo de mejorar la seguridad en toda la red de comunicaciones SWIFT, dicha organización inició en mayo de 2016 el programa de seguridad CSP (Customer Security Programme), de obligado cumplimiento por todas las entidades financieras que forman parte de la misma.

En los siguientes meses, se definió la hoja de ruta para el cumplimiento de dicho programa de seguridad, que establece los siguientes hitos:
  • A partir del segundo trimestre de 2017, todas las entidades financieras que forman parte de la red SWIFT deben reportar a la organización informes de validación que demuestren el cumplimiento de dicho programa, resultantes de evaluaciones de seguridad llevadas a cabo de manera interna, o de manera opcional, a través de entidades de auditoría externas. Dichos reportes deben renovarse (y reportarse) de manera anual, a partir de esta fecha inicial de validación.
  • En enero de 2018, todas las entidades financieras deberán haber reportado su cumplimiento con el CSP. Además, la organización SWIFT, seleccionará al azar algunas entidades financieras que formen parte de su red de comunicaciones, para que reporten con más detalle el resultado de las auditorías internas/externas llevadas a cabo para verificar su adecuación con el programa CSP.
Características destacadas
El programa de seguridad CSP establece 27 controles de seguridad, de los cuales 16 son de obligada aplicación por todas las entidades que forman parte de la red de comunicaciones SWFT. Los 11 controles restantes son de carácter opcional.

Dichos controles están agrupados en 8 principios, que a su vez están clasificados en 3 niveles, como puede observarse en la Figura [2].

Figura [2]

Además, el programa de seguridad CSP establece 2 tipos de arquitectura para las entidades financieras que forman parte de su red de comunicaciones:
  • Arquitectura A: Parte o la totalidad de la infraestructura SWIFT utilizada en la entidad forma parte del entorno de la entidad financiera.
  • Arquitectura B: Toda la infraestructura SWIFT utilizada en la entidad es externalizada a proveedores externos, de manera que el entorno de la entidad financiera no incluye en ningún caso parte o la totalidad del entorno SWIFT.
Dicha diferenciación en los tipos de arquitectura es importante, ya que algunos que los 27 controles de seguridad del CSP no aplican a las entidades que dispongan de una arquitectura correspondiente al escenario B.

En la Figura [3], puede observarse una tabla resumen con los 27 controles del programa de seguridad CSP, en la que se diferencian los controles obligatorios y los controles opcionales, y se muestra su aplicabilidad en las 2 posibles arquitecturas anteriormente comentadas.
Figura [3]
A continuación, se describen de manera general los aspectos más destacados de los principios de seguridad del programa CSP:
  1. Restricción de accesos desde internet: Debe limitarse el acceso desde redes públicas a la infraestructura SWIFT al mínimo imprescindible. Para ello, solo se aceptará en el entorno SWIFT tráfico proveniente de conexiones establecidas previamente desde el propio entorno SWIFT (conexiones de salida), nunca conexiones de entrada. Además, las URL’s con las que el entorno SWIFT pueda establecer comunicaciones deberán ser restringidas mediante la aplicación de listas blancas.
  2. Segregación del entorno SWIFT: Debe definirse una zona segura para el hospedaje de los elementos que formarán parte de la infraestructura SWIFT. Dicha zona debe ser segmentada del resto de elementos de la infraestructura de IT de la entidad financiera, mediante firewalls a nivel de red (como mínimo).

    Además, deben restringirse de manera adecuada los accesos a dicha zona segura, mediante una correcta gestión de las ACL de los elementos de filtrado, así como con unos adecuados controles de acceso, con los mecanismos de autenticación situados dentro de la zona segura.

    Por último, los accesos administrativos a los distintos elementos que forman el entorno SWIFT deben ser altamente controlados y monitorizados, permitiendo solo a los usuarios estrictamente necesarios el acceso a la realización de cambios de configuración en dichos elementos.
  3. Reducción de la superficie de ataque y las vulnerabilidades en el entorno: Dicho principio indica, en primer lugar, que todos los flujos de datos realizados entre los usuarios de la entidad financiera y el entorno SWIFT deben realizarse mediante canales que garanticen la Confidencialidad, la Integridad y la correcta Autenticación de dichas comunicaciones (por ejemplo, mediante canales VPN, SSH o similares).

    Además, dicho principio también incluye la necesidad de implementar una correcta gestión de vulnerabilidades y parches de seguridad en el entorno SWIFT, de manera que los parches críticos sean instalados como muy tarde un mes después de su fecha de lanzamiento.

    También se establece que, de manera opcional, las entidades financieras pueden ejecutar escaneos de vulnerabilidad anualmente, así como definir unos SLA’s adecuados con los proveedores de servicio a los cuales se hayan externalizados funciones críticas del propio entorno SWIFT.

    Por último, se establece que todas las tecnologías que forman parte del entorno SWIFT deben ser bastionadas siguiendo las mejoras prácticas de la industria, a través de guías de bastionado reconocidas, como son las de los organismos CIS, SANS o NIST.
  4. Securización física del entorno: En dicho principio se establecen las pautas para lograr una correcta securización del entorno físico de SWIFT. Entre otros, se establece que los dispositivos removibles del entorno (por ejemplo, dispositivos PED (Pin Entry Device), cintas de backup, etc.) deben estar sujetos a un correcto control y monitorización por parte de los empleados responsables de su custodia.

    Además, también se establece que las salas que contengan los servidores y los equipos de red que forman parte de la infraestructura SWIFT, deben estar sujetas a controles de acceso adecuados, como controles biométricos o tarjetas inteligentes identificativas, para restringir que solo los empleados con necesidades de negocio para tal efecto puedan acceder a las mismas.
  5. Prevención de robo de credenciales: Para evitar el robo de credenciales de autenticación en el entorno SWIFT, se debe establecer una política de contraseñas adecuada en todos los elementos de dicho entorno, teniendo en cuenta aspectos como la complejidad de las contraseñas, su longitud, su caducidad, etc.

    Además, y de manera obligatoria, deben definirse mecanismos de autenticación Multi-Factor en todos los accesos a los elementos del entorno SWIFT.
  6. Gestión de identidades y privilegios: Se deben gestionar de manera adecuada los accesos al entorno SWIFT, teniendo en cuenta los principios de la necesidad de conocer (Need-To-Know), la asignación de privilegios mínima (least privilege) y la segregación de funciones (segregation of duties).

    Además, deben gestionarse de manera adecuada los procesos de alta/baja de usuarios, así como los procesos de asignación de tokens físicos a los usuarios relacionados con el entorno SWIFT.
  7. Detección de actividades anómalas en sistemas o transacciones: Dicho principio indica que debe implementarse software antimalware en todos los elementos del entorno SWIFT, para identificar posibles amenazas de seguridad en dichos elementos.

    También debe implementarse software de monitorización de integridad de ficheros (software FIM o File Integrity Monitoring), para monitorizar los cambios en los ficheros críticos del entorno.

    Además, deben monitorizarse los logs o registros de auditoría de los distintos elementos del entorno SWIFT, para lograr una identificación temprana de los eventos no deseados llevados a cabo en el entorno.

    De forma opcional, dicho principio también ofrece la opción de implementar tecnologías de detección/prevención de intrusiones (IDS/IPS) en el entorno SWIFT, de manera que se monitorice la actividad de los usuarios a nivel de red.
  8. Planificación de respuesta a incidentes de seguridad: El último principio de seguridad indica la necesidad de que las entidades financieras dispongan de un plan de respuesta a incidentes de seguridad disponible y actualizado, de manera que los procesos de actuación en estos casos sean lo más ágiles posibles, y cada persona tenga claras sus obligaciones y responsabilidades al respeto.

    Además, dicho principio también indica la necesidad de que todos los usuarios relacionados con el entorno SWIFT reciban formaciones de seguridad con una periodicidad como mínimo anual, así como en el momento de su incorporación al entorno.

    Por último, se ofrece de manera opcional la posibilidad de que la entidad realice Tests de Penetración anuales en el entorno, así como la realización de análisis de gestión de riesgos con una periodicidad también anual.
Mapeo con otros estándares
Para acabar, es importante destacar que para incrementar la convivencia entre el programa de seguridad CSP y otros estándares de seguridad disponibles en la industria, el SWIFT ha realizado un mapeo entre el CSP y los estándares PCI DSS v3.2, ISO 27002:2013 y NIST Cybersecurity Framework v1.0, que puede ser consultado en la Figura [4].

Figura [4]

Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.