Durante los últimos años se ha producido un incremento muy considerable de los ciberataques, muchos de ellos con el objetivo de obtener un rendimiento económico lo más alto posible. Es por ello que los cibercriminales han cambiado de objetivo, focalizándose, en lugar de en los clientes personales, en las grandes instituciones que mueven grandes sumas de dinero a través, por ejemplo, de los sistemas de mensajería financiera como el de SWIFT. Esto les permite tener unas ganancias mucho más altas en caso de éxito del ciberataque.
SWIFT dispone de una plataforma de mensajería a la que se conectan más de 11.000 clientes en más de 200 países diferentes para realizar intercambios de mensajería financiera (cada vez más numerosos) de forma estandarizada. A raíz de los ataques que diversas instituciones han sufrido por no disponer de los mecanismos suficientes de seguridad antes de conectarse a la plataforma, SWIFT decidió establecer un programa de seguridad (CSP) que deben cumplir sus clientes y que conlleva, como uno de los puntos principales, el marco de control denominado CSCF, actualmente en su versión de 2021.
Este marco de control CSCFv2021 tiene 3 objetivos principales, 8 principios y 31 controles (22 obligatorios y 9 recomendables), que permiten establecer, de forma común, los requisitos que deben cumplir las entidades que se conectan a la red SWIFT para reducir la probabilidad y el impacto de los ciberataques que afecten al intercambio de mensajes en la plataforma.
Desde la publicación de la primera versión en 2017, las entidades bancarias fundamentalmente, han establecido una estrategia para cumplir con los requerimientos del marco de control e implantar el proceso de mejora continua necesario (dado que se incorporan controles nuevos cada año), acompañándolo además de una autoevaluación anual que es reportada a SWIFT, y que permite tener una visión del cumplimiento del programa por parte de todos los que se conectan a la red (el resultado de la evaluación puede ser comprobado por el resto de miembros conectados a la red).
Además, esta estrategia se ha incorporado de forma integrada en las entidades, aprovechando los mecanismos ya existentes en las organizaciones, y aportando todas aquellas particularidades exigidas por el programa de seguridad de SWIFT.
Para la implementación de este marco de control, es fundamental tener en cuenta algunos de los fallos más comunes que pueden llevarse a cabo, relacionados con una segregación de funciones insuficiente, una incorrecta configuración de la autenticación multi-factor, y una definición incorrecta de la zona segura.
Pero el cumplimiento de este programa no se limita únicamente a las entidades bancarias, sino a todas aquellas entidades que se conectan a la red de SWIFT (es decir, que tengan un código BIC conectado). Para todas ellas es imprescindible establecer un proceso de adaptación, monitorización y mejora continua del cumplimiento del programa de seguridad de SWIFT, acompañado además de unas evaluaciones independientes anuales que son obligatorias desde este mismo año.
Este de hecho es un cambio importante, dado que hasta diciembre de 2020 era suficiente con la realización de una autoevaluación del cumplimiento del programa. Sin embargo, con fecha límite este diciembre de 2021, es obligatorio realizar un “Community-Standard Assessment”, que conlleva la realización de una evaluación independiente, que puede ser externa por parte de un tercero (como Deloitte) o interna por parte de una segunda o tercera línea de defensa que garantice una debida independencia. En cualquier caso, SWIFT indica que las entidades deben asegurarse de que, además de la independencia debida, también deben verificar que, quien realice las evaluaciones debe contar con un conocimiento adecuado en materia de ciberseguridad.
Esta evaluación debe ser remitida antes de final de año, para lo cual es necesario comenzar la misma, al menos, entre 2 y 3 meses antes de la fecha objetivo (aunque puede depender de la casuística de la entidad). A raíz de esta evaluación independiente, se consigue cumplir con las exigencias de SWIFT e identificar las deficiencias que pueden suponer un riesgo para la entidad para poder solventarlas.
Autores:
Félix de Andrés, senior manager de Cyber Risk
Jesús González Delgado, delivery manager de Cyber Risk