A finales de mayo de 2017, Swift (Society for Worldwide Interbank Financial Telecommunication) publicó el marco de referencia definitivo de su ya conocido Programa de Seguridad de Clientes (CSP, Customer Security Program). Respecto a la versión borrador que Swift compartió con la red de entidades en el otoño de hace un año, no existía una variación significativa.
No obstante, alguno de los controles técnicos inicialmente introducidos y que más controversia generaban desaparecían o se veían significativamente suavizados como, por ejemplo, el control de acceso a aplicaciones, mecanismo de autenticación independiente para la zona segura, la longitud de las contraseñas, el acceso físico restringido, etc.
A partir del día en que se publicó el marco definitivo y hasta el próximo 31 de diciembre, las entidades con código BIC (Bank Identifier Code) propio se encuentran en un proceso de evaluación en el cual Swift pretende conocer y ayudar a mejorar el nivel de madurez de la ciberseguridad de las entidades de la red.
Según lo establecido en el marco de referencia Swift CSP, se ha estipulado que 16 de los 27 controles son de obligado cumplimiento para las entidades y los 11 restantes son únicamente recomendables a día de hoy, si bien Swift ya ha manifestado que a futuro espera aumentar el nº de controles de carácter obligatorio. Asimismo, y como era de esperar, no todos los clientes tendrán las mismas obligaciones sobre el cumplimiento de los controles.
En este caso, el alcance del cumplimiento viene establecido por el tipo de arquitectura IT utilizada, diferenciando entre arquitectura tipo A (la arquitectura que soporta la red de mensajería pertenece parcialmente o en su totalidad a la entidad) o tipo B (la arquitectura pertenece a un proveedor externo o Service Bureau de Swift). Debido a esto, Swift ha definido que las entidades con la infraestructura tipo A les aplicará la totalidad de los controles, y las entidades con infraestructura tipo B, les aplicarán solamente 19 de ellos.
Este hecho ha creado ciertas dudas en el sector ya que entidades con infraestructura tipo B llegaron a suponer que podrían delegar el cumplimiento del programa en su Service Bureau de Swift pero, en cambio y como se ha indicado, la Sociedad ha estipulado que independientemente del tipo, todas las entidades que dispongan de código BIC8 propio tienen la obligación de cumplir con todos los controles obligatorios y son responsables de su reporte.
En la práctica, alguno de los aspectos que puede entrañar más dificultad en la aplicación técnica de los controles son: llevar a cabo aislamiento lógico de la plataforma y el control de los accesos de los operadores y administradores, el acceso de los operadores de Swift haciendo uso de puestos de usuario dedicados para el acceso a la plataforma o través de máquinas de salto (terminal server, web isolation, etc.) para un acceso seguro y monitorizado desde un único punto, etc.
Con la finalidad de agilizar las gestiones y facilitar el envío de la información, Swift ha implantado una plataforma denominada KYC (Registry Security Attestation), la cual permitirá acceder a las entidades y comunicar el grado de cumplimiento de los controles. Como ya se ha comentado anteriormente, las entidades tienes como fecha límite el 31 de diciembre del 2017 para enviar las evaluaciones de los controles usando la plataforma.
Respecto a dichas evaluaciones, Swift no ha establecido quién debe realizarlas, dando la posibilidad de que éstas se puedan realizar internamente por la entidad o, si se prefiere, éstas puedan ser delegadas en un proveedor externo encargado de realizar auditorías de cumplimiento. A partir de la mencionada fecha, Swift ha estipulado que cada entidad deberá seguir realizando las evaluaciones de manera anual o tras cada cambio significativo que afecte al alcance del CSP.
Swift ha indicado que este año las entidades únicamente están obligadas a enviar la evaluación de controles y que no se revisará el cumplimiento o no del Programa. A priori, esto puede parecer baladí; no obstante, Swift ha establecido que se encargará de ofrecer transparencia a los bancos centrales y entidades de contrapartida acerca de las entidades que no hayan comunicado su evaluación. Es más, a partir de enero de 2019 será cuando Swift aumentará el nivel de transparencia, comunicando también qué entidades no están cumpliendo con cada control del Programa.
Entidades
