Beruflich Dokumente
Kultur Dokumente
Tabla de contenido
CONTROL DE CAMBIOS
Los controles de seguridad del Marco de controles de seguridad del cliente V2019 promueve 3 controles de
recomendados de la versión anterior a obligatorios (2.6, 2.7, y 5.4) y presenta 2 nuevos controles recomendados (1.3A
y 2.10A). También puede servir de orientación adicional y aclara, en su caso, las directrices de aplicación o
implementaciones alternativas.
La siguiente tabla resume los cambios más significativos en el contenido de este documento en comparación con la
versión anterior. La tabla no incluye cambios editoriales que SWIFT hace para mejorar la facilidad de uso y la
comprensión del documento.
CONTROL CAMBIO
Controles recomendados promovidos a obligatorios
2.6A Confidencialidad e integridad de la sesión Manda el uso de protocolos seguros para las sesiones interactivas
del operador
2.7A Escaneo de Vulnerabilidades Mandar al menos una exploración anual y actuar sobre los resultados.
5.4A Almacenamiento físico y lógico de la Mandato almacenamiento seguro de credenciales
contraseña
Nuevos controles recomendados
1.3A Protección Plataforma de virtualización Presenta una guía de recomendados
2.10A Hardening de Aplicaciones Presenta una guía de recomendado para Interfaz certificadas SWIFT
Orientación adicional
2.4A Seguridad de flujo de datos de backoffice Lista soluciones más convencionales tales como claves asimétricas,
AES GCM para facilitar la adopción de los flujos de back office
4.1 Política Contraseña Añadir orientación con respecto a la política de contraseñas personales o
PIN del dispositivo móvil
5.2 Administración de token Añadir orientación con respecto a módulo de seguridad de hardware
(HSM) de dispositivos de entrada de PIN (PED)
7.3A Pruebas de penetración una guía adicional (se realiza cada 2 años por parte del personal
independiente, equipo rojo interna o recursos externos) antes de
encomendarle, en una versión futura
La alineación con la realidad - alternativa válida implementación
1.1 Protección del ambiente de SWIFT El uso condicional del servidor de intercambio de información no está en
la zona segura de SWIFT.
2.3 Fortalecimiento del sistema Mantener larga duración Fortalecimiento marcando o volver a aplicar las
configuraciones regularmente
4.2 Multifactor de Autenticación Consulte los principios estándar y las soluciones genéricas, como la
contraseña única de tiempo (TOTP), el token personal o el conector base
SAML al proveedor de identidad interno (IdP) con autenticación
multifactor.
Aclaración controles existentes
alcance de los controles de seguridad Incluya, según corresponda, los componentes Alliance Instant y
DirectLink.
Tipos de arquitectura Arquitectura A1 también incluye configuraciones de lo cual el usuario sólo
opera una interfaz de comunicación, no necesariamente una Stack
completa
1.1 Protección del ambiente de SWIFT Aclarar noción de servidor de seguridad
2.2 Actualizaciones de seguridad Aclarar la verificación de integridad necesaria antes de aplicar
actualizaciones de seguridad
2.3 Fortalecimiento del sistema SWIFT HSM está fuera del ámbito de este control
3.1 Seguridad Física Las cajas VPN de Alliance Connect están fuera del alcance global,
pero se espera que estén en un entorno con controles físicos
apropiados
4.2 Multifactor de Autenticación Aclarar donde la MFA debería ser implementado
6.1 Protección contra malware entrada adicional relacionada con el ámbito de aplicación de escaneo
6.3 Integridad de la Base de Datos Aclarar este control está fuera de alcance para el tipo de arquitectura
A3
7.1 Planificación de respuesta a incidentes Información adicional que enlaza con la hoja de ruta de recuperación
cibernéticos de SWIFT ISAC
7.4A Escenarios de Evaluación del riesgo Proporciona antecedentes adicionales y algunas prácticas pertinentes
para cumplir con el objetivo de control
Objetivos y Principios
Los controles de seguridad se basan en tres objetivos marco general, apoyados por ocho principios de seguridad. Los
objetivos son la estructura más alto nivel de seguridad en el entorno local del usuario. Los principios asociados
elaborados en las áreas de enfoque de mayor prioridad dentro de cada objetivo. Los objetivos y los principios
correspondientes incluyen:
Descripción detallada Avisos legales
Los 29 controles de seguridad (19 obligatorios y 10 controles de recomendados) que se detallan en este documento
sostienen estos objetivos y principios. Los controles están diseñados para ayudar a mitigar los riesgos de seguridad
cibernética específica que los usuarios de SWIFT se enfrentan debido al panorama de las amenazas ciberné tico.
Dentro de cada control de seguridad, SWIFT ha documentado los conductores de riesgo más comunes que el control
está diseñado para ayudar a mitigar. Hacer frente a estos riesgos tiene como objetivo prevenir o minimizar las
consecuencias de negocio indeseables y potencialmente fraudulentas, tales como:
Envío no autorizado o modificación de transacciones financieras.
Procesamiento de transacciones entrantes SWIFT alteradas o no autorizadas
Negocios realizados con una contraparte no autorizada.
Incumplimiento de confidencialidad (de datos comerciales, sistemas informáticos o detalles del operador)
Violación de integridad (de datos comerciales, sistemas informáticos o detalles del operador)
Además, los usuarios deben tener el nivel adecuado de rendición de cuentas y la supervisión de sus actividades de
gestión de riesgos cibernéticos. Por lo general, un oficial de seguridad Jefe de Información juega un papel destacado
en este dominio por la dirección de las prioridades del programa de seguridad y solicitando el apoyo y la orientación
adecuada de la Junta.
ÁMBITO DE APLICACIÓN DE CONTROLES DE SEGURIDAD
Los controles de seguridad en este documento están en el ámbito para abarcar un conjunto definido de componentes
en el entorno local del usuario (ver Figura 2).
capa de intercambio de datos – El flujo de datos entre la oficina de apoyo (o capa de middleware) y la
Descripción detallada Avisos legales
Tanto la interfaz de mensajes y una interfaz de comunicación (Stack completa) son propiedad como se representa en
la siguiente figura.
En el caso de los usuarios no operan o tener una interfaz de mensajería, pero una interfaz de comunicación (tal como en la
figura siguiente), que todavía se consideran como la arquitectura A1.
Los controles de seguridad aplicables para arquitecturas de A1, A2, y A3 son idénticos. Estas arquitecturas se hace
referencia colectivamente en las siguientes páginas como tipo “A”. Menos controles de seguridad se aplican a los
usuarios que utilizan la arquitectura de tipo "B”.
Definición de control
o Objetivo de control: Establece el objetivo de seguridad para lograr independencia del método de
aplicación.
o Componentes dentro del alcance: los componentes específicos relacionados con SWIFT que están cubiertos
por este control en particular. (Ver también Alcance de los Controles de Seguridad).
o Factores de Riesgo: detalla los riesgos específicos que se abordan en este control de seguridad. En el
Apéndice A se documenta una matriz completa de riesgos.
Guía de implementación
o Declaración de control: Los medios sugeridos por los cuales se puede cumplir el Objetivo de Control.
o Contexto de control: Información adicional introductoria sobre este control.
o Directrices de implementación: Método formulado por SWIFT para la implementación del control.
Importante: Los usuarios deben autoafirmarse con el cumplimiento con todos los objetivos de control obligatorios. Los
detalles adicionales sobre las opciones de implementación para el cumplimiento se describen en la siguiente sección.
Los usuarios pueden hacer esto por cualquiera de los siguientes métodos:
1. Implementar una solución utilizando la guía de implementación proporcionada en este documento.
2. Implementar una solución alternativa a la guía de implementación formulada por SWIFT, que cumple por igual el
objetivo de control y aborda los riesgos relacionados.
SWIFT reconoce que algunos usuarios pueden optar por una implementación alternativa. Si un usuario elige
implementar una solución alternativa que se desvíe significativamente de la implementación formulada por SWIFT,
entonces el usuario debe considerar lo siguiente en el diseño de la solución:
a. Alcance: ¿la solución cubre los componentes del control dentro del alcance?
b. Controladores de riesgos: ¿la solución mitiga los riesgos documentados? (ver Apéndice A para una matriz
de riesgo)
c. Eficacia: ¿la solución es efectiva en la práctica? (Por ejemplo, es poco probable que las políticas que están
documentadas, pero no se promulguen o no se apliquen) sean efectivas.
Los usuarios son en última instancia responsables de evaluar la idoneidad de la guía de implementación formulada por
SWIFT o de determinar si desean adoptar soluciones de implementación alternativas. La sección de guía de implementación
Descripción detallada Avisos legales
no debe considerarse como una "lista de verificación de auditoría" porque cada implementación de usuario puede variar.
Por lo tanto, los usuarios deben evaluar qué elementos de la guía son relevantes, dado su entorno específico, para cumplir
el objetivo de control.
Es la expectativa de que solo un pequeño subconjunto de usuarios, generalmente instituciones grandes o complejas,
considerarán rutas de implementación alternativas para uno o más controles. En todos los casos, los usuarios son
responsables de evaluar su propia adhesión a los controles obligatorios y el cumplimiento de la autoprueba,
independientemente de la solución de implementación implementada.
Tipo de
Arquitectura
Controles de seguridad "OBLIGATORIO" y "RECOMENDADO" A B
1. Restringir el acceso a Internet y proteger los sistemas críticos de TI General de Medio Ambiente
1.1. Protección del ambiente de SWIFT X
1.2. Control de cuenta privilegiada del sistema operativo X
1.3A. Protección de plataforma de virtualización X
2. Reducir la superficie de ataque y las vulnerabilidades
2.1. Seguridad interna del flujo de datos X
2.2. Actualizaciones de seguridad X X
2.3. Fortalecimiento del Sistema X X
2.4A. Seguridad de flujo de datos de backoffice X X
2.5A. Protección de datos de transmisión externa X
2.6. Confidencialidad e integridad de la sesión del operador X X
2.7. Escaneo de Vulnerabilidades X X
2.8A. Outsorcing de Actividad crítica X X
2.9A. Controles comerciales de transacciones X X
2.10A. Hardening de Applicación X
3. Asegure físicamente el entorno
3.1. Seguridad Física X X
4. Evitar el Compromiso de Credenciales
4.1. Política de Contraseñas X X
4.2. Multifactor de Autenticación X X
5. Administrar identidades y segregar privilegios
5.1. Control de Acceso Lógico X X
5.2. Administración de Token X X
5.3A. Proceso de selección de personal X X
5.4. Almacenamiento físico y lógico de la contraseña X X
6. Detectar actividad anómala en sistemas o registros de transacciones
6.1. Protección contra malware X X
6.2. Integridad del software X
6.3. Integridad de la Base de Datos X
6.4. Registro y Monitoreo X X
6.5A. Detección de Intrusos X
7. Plan de Respuesta a incidentes e intercambio de información
7.1. Planificación de respuesta a incidentes cibernéticos X X
7.2. Entrenamiento de Seguridad y concientización X X
7.3A. Pruebas de penetración X X
7.4A. Escenarios de Evaluación de Riesgo X X
En junio de 2018, SWIFT cambió el alcance de los tipos de arquitectura de referencia y pasamos de tipo B a tipo A.
Descripción detallada Avisos legales
A3 porque tenemos Conectividad con Alliance Enterprice pero adicionalmente tenemos un CONECTOR que es con el que
enviamos y recibimos la información que es el STPlink y a que también tenemos en sitio solo los PC de los usuarios finales.
1. Restringir el acceso a Internet y proteger los sistemas críticos de TI General de Medio Ambiente
Factores de Riesgo:
Compromiso de la empresa sistema de autenticación
Compromiso de credenciales de usuario
repetición de credenciales
La exposición a ataques basados en Internet
Acceso no autorizado
Guía de implementación
Declaración de control:
Una zona segura segregada protege la infraestructura SWIFT del usuario de los compromisos y los ataques a la empresa
más amplia y ambientes externos.
Contexto de control:
La segmentación entre la infraestructura de SWIFT local del usuario y su red de la empresa más grande reduce la superficie
de ataque y ha demostrado ser una forma eficaz de defenderse de los ataques cibernéticos que comúnmente implican
compromiso del entorno de TI de la empresa en general. la segmentación efectiva incluirá la separación a nivel de red, las
restricciones de acceso y restricciones de conectividad.
Pautas de implementación:
a) En general los objetivos de diseño para implementar la segregación entorno
Implementar una “zona segura” para separar y proteger la infraestructura de SWIFT local desde el compromiso de
los sistemas y servicios situados fuera de la zona de seguridad.
Para la mayor medida posible, contraseñas y otros autenticadores que son utilizables dentro de la zona segura
(especialmente para cuentas privilegiadas) no se almacenan o utilizan en cualquier forma (hashed, cifrado, o de
texto claro) en sistemas fuera de la zona segura. Esto no se aplica a los archivos de copia de seguridad cifradas.
Si el sistema de servicios de autenticación está residiendo fuera de la zona segura de SWIFT:
o O bien el sistema está en otra zona de seguridad existente que tiene controles similares
o O el sistema sólo se utiliza para filtrar las conexiones con el componente de infraestructura SWIFT
(controlando entonces la conectividad en el límite de la zona segura). En tal caso, el acceso lógico a la
componente de infraestructura SWIFT está asegurada por otro mecanismo de autentificación que reside
en la zona segura (otro IAM o la componente visitada sí mismo).
La zona segura tiene un ámbito apropiado para el entorno de cada usuario, incluida la posible reutilización de las
zonas seguras existentes (por ejemplo, un "entorno de producción" seguro, "entorno de back office" o "zona de
sistemas de pago") para incluir la infraestructura SWIFT local.
Todos los componentes dentro de la zona segura están protegidos al mismo nivel de seguridad, control de acceso,
confianza, y pueden comunicarse libremente dentro de la zona. Los usuarios pueden considerar implementar una
segregación adicional entre los componentes de la zona segura.
El Apéndice B contiene diagramas de arquitectura ilustrativos que muestran ejemplos de las muchas formas en
que se puede diseñar una zona segura.
pueden acceder las PC del operador de propósito general fuera de la seguridad zona.
o Sistema Back Office y middleware (por ejemplo, aplicaciones de IBM® MQ) no están necesariamente
incluidos en la zona segura, pero puede ser considerada para su inclusión en función del tamaño elegido
y el alcance de la zona segura.
o Los sistemas de prueba son preferiblemente totalmente segregados de sistemas de producción (incl. HSM
separadas) y configurado para tráfico de prueba único apoyo (por ejemplo, utilizando sólo certificados Lite
y sólo la configuración de los terminales lógicos de prueba). Si no está completamente segregada, estos
sistemas deben mantenerse al mismo nivel de seguridad que los sistemas de producción.
o sistemas de desarrollo no están dentro de la zona segura y no están conectados a la red SWIFT.
o Las cajas de Alliance Connect VPN están en un entorno seguro con controles físicos adecuados (en línea
con control de 3,1).
El tamaño de la zona segura y el alcance se define de una manera que es más adecuado para el entorno del
usuario. Las opciones pueden incluir, pero no están limitados a:
o Una zona segura dedicada sólo para la infraestructura de SWIFT local.
o Una expansión de un área de seguridad existente (por ejemplo, un “entorno de producción” segura o “pago
zona de sistemas”) para incluir la infraestructura SWIFT local. El tamaño y el alcance de esta zona pueden
variar significativamente dependiendo del entorno existente.
Software, sistemas y servicios dentro de la zona de seguridad se evaluó la necesidad y se retiraron de la zona si
no apoyar las operaciones o la seguridad de la zona. (Por ejemplo, evaluar la necesidad de acceso al correo
electrónico.)
Todas las Interfaz de mensajería (Alliance Access y equivalentes) y la interfaz de comunicación (Alliance Gateway
y equivalente) productos dentro de la zona de seguridad son SWIFT-certificado. La lista de Interfaz certificadas es
mantenido y publicado por SWIFT swift.com.
Garantizar que todos los controles de seguridad en el estudio de este documento se aplican (por
ejemplo: la seguridad actualizaciones, el Fortalecimiento del sistema)
servidor de intercambio de información separado para los administradores de sistemas (con
múltiples factores de autenticación) y los usuarios finales,
La restricción del acceso a los operadores autorizadas,
La eliminación de cualquier software innecesario,
La restricción de actividad de riesgo (por ejemplo: envío / recepción de correo electrónico),
Sin acceso a Internet,
Habilitar el registro.
Los operadores se conectan desde su PC en general operador propósito y sólo acceden a la mensajería o interfaz
de comunicación utilizando una interfaz gráfica de usuario basada en navegador (por ejemplo, Alliance Web
Plataform). controles de seguridad específicos aplicables a esta configuración:
o Acceso a Internet restringido en el PC en general operador propósito usando una de las siguientes
opciones:
No hay conexión a internet
El acceso a Internet a través de un escritorio remoto o una solución de máquina virtual
Acceso a Internet desde el PC en general operador propósito de destinos URL única lista blanca
a través de un proxy con la inspección de contenido, en combinación con controles de bloqueo /
filtrado adecuados y permitiendo sólo las conexiones salientes iniciadas.
o La interfaz gráfica de usuario basada en navegador está situada en la zona segura y está separada
lógicamente de la mensajería y la interfaz de comunicación,
o múltiples factores de autenticación se implementan en su caso (en la interfaz gráfica de usuario basada
en navegador, en el interfaz de mensajería, o en la interfaz de comunicación),
o Esta configuración no se puede utilizar para las actividades de administración del sistema operativo.
sistemas SWIFT dentro de la zona de seguridad restringen el acceso administrativo a puertos sólo esperados,
protocolos y direcciones IP de origen.
d.2 acceso de los operadores a distancia (teletrabajo, “de guardia” deberes, o la administración remota)
El acceso remoto a la zona segura desde fuera de la red de usuario local requiere primero la autenticación VPN a
la red local antes de acceder a la zona de seguro a través de los mismos canales seguros como operadores locales.
Una evaluación del riesgo se lleva a cabo por el usuario para tener en cuenta los controles de seguridad adicionales
que sean implementadas para el acceso remoto, como el uso de la infraestructura de escritorio virtual, canales
dedicados para la conectividad (por ejemplo, servidores dedicados de salto para los usuarios remotos, líneas
arrendadas).
Mejoras opcionales:
Sistemas dentro de la zona segura implementan listas blancas de aplicaciones, permitiendo que sólo las
aplicaciones fiables para ser ejecutados.
No segregar los servicios de autenticación zona de seguridad del servicio de autenticación de la empresa requerirá
la implementación de un conjunto completo de controles de defensa en profundidad para proteger de detectar y
adversarios que cruzan el límite de la zona segura. Los controles pueden incluir: sólo lectura limitar relaciones de
confianza entre el entorno de empresa más grande y la zona segura (tal como de una sola vía relaciones de
confianza), la restricción de operador y el acceso administrativo, implementar fuertes controles de acceso
privilegiado, la aplicación de acceso, cuando sea posible, lo que permite el registro detallado, y la implementación
de capacidades centralizadas de vigilancia y de detección activos.
Si los servicios de TI de las empresas en general (por ejemplo, el análisis de vulnerabilidades, administración de
firewall límite) son compartidos entre la zona segura y otros entornos, las credenciales utilizadas en todo el entorno
deben ser monitoreados para asegurar que sólo se utilizan cuando y donde se esperaba.
Si un servidor de la empresa en general se utiliza inicialmente para llegar a la zona de seguridad, el servidor
sólo se utiliza para filtrar el acceso a la conectividad legítimo. Identidad y acceso a la administración de
componentes de la zona segura y/o el servidor salto todavía se basa en los servicios de autenticación que se
ofrecen dentro de la zona segura de SWIFT u otra zona de seguridad existente que tiene controles similares.
Si la zona segura tiene dependencias en las funciones de la empresa compartida (tales como los servicios de
directorio, servidores o redes) que están fuera del ámbito de aplicación, el usuario debe asegurarse de que
cualquier compromiso de tales funciones no pondrá en peligro la seguridad de los componentes en el estudio.
Objetivo de Control: Restringir y controlar la asignación y el uso de las cuentas del sistema operativo de nivel de
administrador.
Factores de Riesgo:
Supresión de registros y pruebas forenses
El exceso de privilegio o de acceso
La falta de trazabilidad
cambios en el sistema no autorizadas
Guía de implementación
Declaración de control:
El acceso a las cuentas del sistema operativo de nivel de administrador está restringido en la mayor medida posible. El uso
se controla, vigila y sólo se permite para las actividades relevantes, tales como la instalación del software y la configuración,
el mantenimiento y las actividades de emergencia. En los demás casos, se utiliza una cuenta con menos privilegios de
acceso.
Contexto de control:
proteger firmemente las cuentas de administrador en el sistema operativo reduce la oportunidad de que un atacante utilizar
los privilegios de la cuenta como parte de un ataque (por ejemplo, la ejecución de comandos, la eliminación de pruebas).
Pautas de implementación:
se definen cuentas de administrador como:
o Ventanas: una función de cuenta de administrador y los miembros de los grupos con privilegios de
administrador (por ejemplo, las cuentas con depuración del sistema de archivos o privilegios). Por lo
general, el grupo Administradores de organización, grupo de administradores de dominio y el grupo de
administrador local.
o Linux / Unix: cuenta root (User ID=0) y los miembros del grupo raíz.
o La unidad central: administrador del sistema o función programador del sistema
El acceso a las cuentas del sistema operativo de nivel de administrador está restringido en la mayor medida posible
a menos que necesita para instalar, configurar, mantener, operar y actividades de apoyo de emergencia. El uso de
la cuenta de administrador se limita a la duración de la actividad (por ejemplo, las ventanas de mantenimiento).
Accede con cuentas de administrador incorporadas no está permitido, excepto para realizar actividades en las que
dichas cuentas se necesitan específicamente (por ejemplo, la configuración del sistema) o en situaciones de
emergencia (Cuenta de vidrio Break). Las cuentas individuales con privilegios de administrador o cuentas con la
capacidad de escalar hasta el acceso administrativo, (como 'sudo') se utilizan en su lugar.
acceso a la cuenta de administrador individuo y su uso se registran de manera que las actividades puedan ser
reconstruidos para determinar la causa raíz de los incidentes.
contraseñas de administrador están estrechamente controlados con controles de acceso físico al registrado
físicamente.
Mejoras opcionales:
Los sistemas están configurados para no permitir log-in de cuentas de nivel de administrador incorporadas, excepto
Descripción detallada Avisos legales
a través de un modo de mantenimiento (por ejemplo, modo de usuario único o modo seguro). Esto prohíbe
efectivamente iniciar sesión en la cuenta como un servicio, trabajo por lotes, a través de servicios de escritorio
remoto, o por la escalada de privilegios de otra cuenta.
Objetivo de Control: Plataforma de virtualización segura y máquinas virtuales (VM) que alojan componentes relacionados
con SWIFT al mismo nivel que los sistemas físicos.
Factores de Riesgo:
Acceso no autorizado al hipervisor y sus módulos de configuración.
Proliferación incontrolada de máquinas virtuales que conducen a máquinas incontrolables, no parcheadas y no
contabilizadas
Proliferación incontrolada de máquinas virtuales que conduce a un acceso no autorizado a los datos
Falta de visibilidad en la segregación de la red y el control de las redes virtuales cuando no se utiliza la protección
de seguridad de la red (como firewalls físicos o sistemas de detección de intrusos)
Guía de implementación
Declaración de control:
Plataforma de virtualización segura, máquinas virtualizadas e infraestructura virtual compatible (por ejemplo, firewalls) al
mismo nivel que los sistemas físicos.
Contexto de control:
Al implementar controles apropiados, SWIFT no limita el uso de la tecnología virtual para ningún componente de la
infraestructura SWIFT local o la infraestructura de soporte asociada (por ejemplo, firewalls virtuales).
Pautas de implementación:
Los mismos requisitos de seguridad se aplican a la plataforma de virtualización (a veces también llamada
hipervisor), a las máquinas virtuales y a la infraestructura virtual de apoyo, como a todos los demás sistemas y
componentes de infraestructura (que abarcan, por ejemplo, restricciones de acceso privilegiado, inicio de sesión,
instalación de parches de seguridad, restricción de acceso a internet).
El host o sistema de la plataforma de virtualización está sujeto a protección física y evita el acceso físico no
autorizado.
La plataforma de virtualización debe fortalecerse de acuerdo con uno o más de los siguientes:
o Guía de configuración de seguridad del proveedor,
o Guía de configuración de seguridad estándar de la industria (por ejemplo, 2 CIS, DISA STIG, NIST),
o una configuración de seguridad estándar o local de un regulador o conjunto de controles del mismo rigor
que el proveedor o guía de la industria.
Nota: SWIFT espera que este control sea obligatorio, al usar la virtualización, en una versión futura de este
documento.
Objetivo de Control: Asegurar la confidencialidad, la integridad y autenticidad de los flujos de datos entre aplicaciones
relacionadas con SWIFT locales y su enlace con el PC del operador.
Factores de Riesgo:
Descripción detallada Avisos legales
Guía de implementación
Declaración de control:
se implementan mecanismos de confidencialidad, integridad y autenticación para proteger los flujos de datos de aplicación
a aplicación y de operador a aplicación relacionados con SWIFT.
Contexto de control:
Protección de datos internos fluye salvaguardas contra la divulgación no intencional, modificación, y el acceso de los datos
en tránsito.
Pautas de implementación:
Todos los flujos de datos entre las aplicaciones relacionadas con SWIFT están protegidos mediante un mecanismo
seguro (por ejemplo, "Autenticación local (LAU) en combinación con una protección de confidencialidad" o "TLS
bidireccional") para respaldar la confidencialidad, integridad y autenticación mutua de flujos de datos. Esto incluye
los siguientes flujos de datos:
- aplicación RMA a la interfaz de mensajería,
- GUI a la interfaz de mensajería,
- GUI para interfaz de comunicación,
- interfaz de mensajes de interfaz de comunicación.
La comunicación entre el PC del operador y las aplicaciones relacionadas con SWIFT está protegida mediante un
mecanismo seguro (por ejemplo, TLS de una vía) para respaldar la confidencialidad, integridad y autenticación de
la conexión a la aplicación.
Los protocolos seguros utilizan algoritmos criptográficos actuales y comúnmente aceptados (por ejemplo, AES –
Advanced Encryption Standard, ECDHE – Elliptic Curve Diffie-Hellman Ephemeral), con longitudes de claves de
acuerdo con las mejores prácticas actuales. Puede encontrar más directrices sobre algoritmos criptográficos que
admiten protocolos seguros en SWIFT Knowledge Base TIP 5021566.
Objetivo de Control: Minimizar la aparición de vulnerabilidades técnicas conocidas dentro de la infraestructura de SWIFT
local, asegurando el soporte del proveedor, la aplicación de actualizaciones de software obligatorias y aplicar actualizaciones
de seguridad oportunas alineados con el riesgo evaluado.
Factores de Riesgo:
Explotación de vulnerabilidades de seguridad conocidas
Guía de implementación
Declaración de control:
Todo el hardware y software dentro de la zona segura y en las PC del operador se encuentran dentro del ciclo de vida de
soporte del proveedor, se han actualizado con actualizaciones de software obligatorias y se han aplicado las actualizaciones
de seguridad rápidamente.
Contexto de control:
El cierre de vulnerabilidades de seguridad conocidas es eficaz en la reducción de las diversas vías que un atacante puede
utilizar durante un ataque. Un proceso de actualización de seguridad que sea integral, repetible y aplicado de una manera
oportuna, es necesario cerrar continuamente estas vulnerabilidades conocidas cuando los parches de seguridad están
disponibles.
Pautas de implementación:
Soporte del proveedor:
o Todo el software (incluidos los sistemas operativos) y el hardware (incluidos los dispositivos de red) se
encuentran dentro de la ventana del ciclo de vida del producto con soporte activo del proveedor (incluido
el soporte extendido), si corresponde.
o Se han establecido contratos de mantenimiento o licencia para el acceso a actualizaciones,
actualizaciones menores y otras funciones de mantenimiento críticas
Actualizaciones de software obligatorias
o Las versiones o actualizaciones obligatorias que se aplican a un componente SWIFT local se instalan
dentro del plazo especificado por el proveedor.
Descripción detallada Avisos legales
Objetivo de Control: Reducir la superficie de ataque cibernético de componentes relacionados con SWIFT mediante la
realización de Fortalecimiento del sistema.
Nota: Los HSM – Hardware Security Module SWIFT son FIPS 140-2 Nivel 3 compatibles con el sistema operativo subyacente
endurecido y están fuera del alcance de este control.
Factores de Riesgo:
El exceso de la superficie de ataque
La explotación de la configuración del sistema inseguro
Guía de implementación
Declaración de control:
Fortalecimiento de seguridad se lleva a cabo y se mantiene en todos los componentes en el estudio.
Contexto de control:
El fortalecimiento del sistema aplica el concepto de seguridad de "privilegio mínimo" a un sistema al deshabilitar funciones
y servicios que no son necesarios para las operaciones normales del sistema. Este proceso reduce las capacidades del
sistema, las características y los protocolos que una persona maliciosa puede usar durante un ataque.
Pautas de implementación:
Todos los sistemas dentro del alcance están endurecidos de acuerdo con uno o más de los siguientes:
o Guía de configuración de seguridad del proveedor,
o Guía de configuración de seguridad estándar del sector (por ejemplo, CIS, DISA STIG, NIST),
o Una configuración de seguridad estándar o local de un regulador o un conjunto de controles del mismo
rigor que el vendedor o la guía de la industria.
Los requisitos de configuración específicos de la aplicación pueden invalidar las configuraciones de Fortalecimiento
objetivo para mantener un estado operativo adecuado para los sistemas relacionados con SWIFT.
Como mínimo, el proceso de Fortalecimiento debe:
o Cambiar las contraseñas por defecto,
o Deshabilitar o eliminar cuentas de usuario innecesarias,
o Deshabilitar o restringir servicios, puertos y protocolos innecesarios,
o Eliminar software innecesario,
o Restrinja los puertos físicos (por ejemplo, USB) según corresponda,
o Ajusta cualquier configuración por defecto que se sepa que es vulnerable.
Los proveedores y los estándares de la industria enumerados anteriormente pueden proporcionar una guía
detallada sobre el cumplimiento de estos objetivos mínimos.
Las desviaciones de la norma de Fortalecimiento seleccionado se documentan junto con la justificación de la
desviación y mitigaciones potencial aplicadas.
Sistemas se mantienen seguro:
o Al verificar con regularidad, al menos dos veces al año, los sistemas en comparación con las
configuraciones de seguridad identificadas según la guía anterior para tomar cualquier acción correctiva
relevante
o O aplicando regularmente las configuraciones seguras identificadas.
Descripción detallada Avisos legales
Objetivo de Control: Asegurar la confidencialidad, integridad y autenticidad mutuo de los flujos de datos entre la oficina de
nuevo (o middleware) aplicaciones y la conexión de componentes de infraestructura SWIFT.
Factores de Riesgo:
La pérdida de la confidencialidad de los datos sensibles
La pérdida de la integridad de los datos sensibles
sistema de tráfico no autenticado
Guía de implementación
Declaración de control:
Se implementan mecanismos de autenticación basados en confidencialidad, integridad y el nivel mutuo o de mensajes para
proteger los flujos de datos entre las aplicaciones de back-office (o middleware) y la conexión de componentes de la
infraestructura SWIFT.
Contexto de control:
Protección de los flujos de datos entre la oficina de apoyo (o middleware) primer salto, como se ve desde la zona de
seguridad y las garantías de conexión de infraestructura SWIFT contra el hombre en el medio, la divulgación no intencional,
modificación y acceso a los datos en tránsito.
Pautas de implementación:
Los flujos de datos entre los sistemas de back-office (o sistemas middleware) y componentes de la infraestructura
SWIFT directamente conectados están protegidos mediante un mecanismo de seguro (por ejemplo, "LAU en
combinación con una protección de la confidencialidad" u otra solución de autenticación basado en mensajes, DSIG
XML, AES GCM Authenticated Encryption, de 2 vías TLS) que proporciona confidencialidad, integridad y
autenticación mutua de los flujos de datos.
Esto incluye el flujo de datos entre:
o Back-office (o middleware) y la interfaz de mensajería,
o Back-office (o middleware) y la interfaz de comunicación,
o Back-office (o middleware) y el conector.
Los protocolos seguros utilizan algoritmos criptográficos actuales y comúnmente aceptados (por ejemplo, AES,
ECDHE), con longitudes de claves de acuerdo con las mejores prácticas actuales. Puede encontrar más directrices
sobre algoritmos criptográficos que admiten protocolos seguros en SWIFT Knowledge Base TIP 5021566.
notas:
Para las aplicaciones de middleware (como IBM® MQ) que se conectan directamente a los componentes de la
infraestructura SWIFT, se espera que los usuarios implementen el mismo nivel de protección entre esta capa de
middleware y las aplicaciones de back-office. Como tal, la cadena de transacciones de extremo a extremo (entre
los sistemas de back-office y la infraestructura SWIFT) está protegida.
Aunque este control está clasificado como recomendado, SWIFT recomienda implementar mecanismos de
protección de confidencialidad, integridad y autenticación como se especifica en las pautas de implementación.
SWIFT espera que este control sea obligatorio en una versión futura de este documento.
Objetivo de Control: Proteger la confidencialidad de los datos relacionados con SWIFT transmitidos y que residan fuera de
la zona de seguridad.
Factores de Riesgo:
Compromiso de los datos de copia de seguridad de confianza
Descripción detallada Avisos legales
Guía de implementación
Declaración de control:
Los datos confidenciales relacionados con SWIFT que salen de la zona segura como resultado de las copias de seguridad,
la replicación de datos para la recuperación o el procesamiento fuera de línea están cifrados.
Contexto de control:
El cifrado de datos confidenciales que salen de la zona segura protege contra la divulgación involuntaria de los datos cuando
se extrae de su entorno operativo normal.
Pautas de implementación:
Los datos sensibles relacionados con SWIFT según la clasificación de datos interna de los usuarios o las leyes
aplicables y regulaciones (como mínimo, las cargas útiles de mensajes, archivos, contraseñas y otros
Authenticators) se cifra cuando:
o Los datos se toman fuera de la zona segura (por ejemplo, back-ups, archivos),
o Los datos se encuentran en tránsito entre las zonas seguras (por ejemplo, los datos se transportan entre
los centros de datos).
Los protocolos de cifrado utilizan un algoritmo criptográfico actual y comúnmente aceptado (por ejemplo, AES8,
ECDHE9), con longitudes de claves de acuerdo con las mejores prácticas actuales. Puede encontrar más
directrices sobre algoritmos criptográficos que admiten protocolos actualmente seguros en SWIFT Knowledge Base
TIP 5021566.
La transmisión de datos cifrados cumple con las leyes y regulaciones aplicables.
Si la criptografía de la protección de datos SWIFT ha sido comprometida, un proceso debe ser establecido para
aplicar la nueva criptografía y asegurar o destruir todas las copias de los datos comprometidos.
Objetivo de Control: Proteger la confidencialidad e integridad de las sesiones interactivas operador de conexión a la
infraestructura de SWIFT local.
Factores de Riesgo:
Pérdida de confidencialidad operativa
La pérdida de la integridad operativa
Guía de implementación
Declaración de control:
La confidencialidad y la integridad de las sesiones interactivas operador que conectan a la zona segura se salvaguarda.
Contexto de control:
sesiones de operador con la infraestructura SWIFT locales representan una amenaza única debido a una actividad inusual
o inesperado es más difícil de detectar durante las sesiones interactivas de lo que es durante la actividad de aplicación a
aplicación. Por lo tanto, es importante para proteger la integridad y confidencialidad de estas sesiones operador para reducir
cualquier posibilidad de uso indebido.
Pautas de implementación:
Todas las sesiones interactivas están protegidas por un protocolo criptográfico (por ejemplo, SSH, HTTPS).
Los protocolos utilizan un algoritmo criptográfico actual y comúnmente aceptado (por ejemplo, AES, ECDHE), con
longitudes de claves de acuerdo con las mejores prácticas actuales. Puede encontrar más directrices sobre
algoritmos criptográficos que admiten protocolos seguros en SWIFT Knowledge Base TIP 5021566.
Las sesiones del operador y otros tipos de sesión (por ejemplo, la vigilancia o mantenimiento) tienen una función
de bloqueo de espera de inactividad que limita la sesión para el marco de tiempo mínimo necesario para realizar
tareas de negocio como de costumbre.
Descripción detallada Avisos legales
Objetivo de Control: Identificar las vulnerabilidades conocidas dentro del entorno de SWIFT local mediante la implementación
de un proceso de escaneo de vulnerabilidades regular y actuar sobre los resultados.
Factores de Riesgo:
Explotación de vulnerabilidades de seguridad conocidas
Guía de implementación
Declaración de control:
Los sistemas de PC de zona segura y operador se exploran en busca de vulnerabilidades utilizando una herramienta de
escaneo actualizada y confiable, y los resultados se consideran para las acciones de resolución adecuadas.
Contexto de control:
La detección de vulnerabilidades conocidas permite analizar, tratar y mitigar las vulnerabilidades. La mitigación de las
vulnerabilidades reduce la cantidad de vías que un actor malintencionado puede usar durante un ataque. Es necesario un
proceso de exploración de vulnerabilidades que sea completo, repetible y se realice de manera oportuna, para detectar
continuamente las vulnerabilidades conocidas y permitir acciones adicionales.
Pautas de implementación:
Análisis de vulnerabilidad se realiza al menos anualmente, así como después de cualquier cambio significativo en
el medio ambiente (por ejemplo, nuevos componentes de servidor, red cambio de diseño).
o Las herramientas de exploración de vulnerabilidades provienen de un proveedor de renombre y se
actualizan con los perfiles de exploración dentro de un mes antes de la exploración.
o El tipo más adecuado de análisis de vulnerabilidades (utilizando credenciales o cajas negras) se
selecciona para el ambiente. Cualquier credencial administrativa utilizada para la exploración está
apropiadamente protegida.
o Se han implementado suficientes medidas de seguridad basadas en el riesgo para minimizar cualquier
impacto operacional (por ejemplo, ejecutar exploraciones en modo seguro u omitir sistemas que pueden
verse afectados negativamente por la exploración).
Todas las pruebas de vulnerabilidad a través de los servicios y productos relacionados con SWIFT son consistentes
con la Política de Pruebas cliente.
El resultado de la exploración de vulnerabilidades se documenta (con acceso restringido) y se analiza para la acción
y remediación adecuadas (como la aplicación de actualizaciones de seguridad en línea con el control 2.2).
Se recomienda el escaneo trimestral, mensual o idealmente en tiempo real.
Objetivo de Control: Garantizar la protección de la infraestructura SWIFT local a partir de los riesgos expuestos por la
externalización de las actividades críticas.
Factores de Riesgo:
La exposición a las prácticas de seguridad de baja calidad
Guía de implementación
Declaración de control:
Las actividades críticas externalizadas están protegidas, como mínimo, al mismo nivel de atención que si se operara dentro
de la organización de origen.
Contexto de control:
Descripción detallada Avisos legales
Cuando las actividades críticas, como el mantenimiento de la red y el sistema, se subcontratan a un tercero (por ejemplo,
un proveedor de TI externo), es esencial que, como mínimo, se mantenga el estándar original de cuidado de la seguridad
(además del cumplimiento de este marco de control de seguridad) para garantizar que no se introduzcan nuevas debilidades
o vulnerabilidades.
Nota:
SWIFT define las siguientes operaciones como crítico:
Gestión de seguridad y gestión de cambios del hardware y software (incluidas las aplicaciones y el sistema
operativo) que admiten el servicio SWIFT,
Operaciones relacionadas con RMA,
Acceder a datos confidenciales del usuario (por ejemplo, contenido del mensaje),
Seguimiento de eventos que contienen datos sensibles del usuario.
Gestión y configuración de la red.
Operaciones de transacción relacionadas con SWIFT (por ejemplo, creación o modificación de un mensaje de
transacción financiera dentro de la interfaz de mensajería).
Pautas de implementación:
Los Acuerdos de Nivel de Servicio (SLA) y un Acuerdo de No Divulgación (NDA 1) se establecen con cualquier
tercero a quien se hayan subcontratado actividades críticas. Estos acuerdos de nivel de servicio definen el estándar
de atención bajo el cual esas operaciones críticas son llevadas a cabo por un tercero.
Una Evaluación de Riesgo de la tercera parte se lleva a cabo al inicio del trabajo y se revisa de forma regular a
partir de entonces.
Objetivo de Control: Restrinja la actividad de transacción a las contrapartes validadas y aprobadas y dentro de los límites
esperados del negocio normal.
Factores de Riesgo:
Negocios realizados con una contraparte autorizada
anomalías detecta o actividad sospechosa
Guía de implementación
Declaración de control:
Implemente controles de RMA y controles de detección, prevención y validación de transacciones para restringir la actividad
de transacciones dentro de los límites esperados o negocios normales.
Contexto de control:
La implementación de controles comerciales que restringen las transacciones SWIFT en la mayor medida posible reduce la
oportunidad tanto para el envío como para la recepción de transacciones fraudulentas. Estas restricciones se determinan
mejor a través de un análisis de la actividad comercial normal. Los parámetros se pueden configurar para restringir el negocio
a umbrales aceptables en función de la actividad "normal".
Pautas de implementación:
Aplicación de gestión de relaciones (RMA)
o Los principios apropiados de conocimiento de su cliente y la diligencia debida se realizan durante la
creación y el mantenimiento de las relaciones de RMA.
o Las relaciones de RMA se revisan al menos una vez al año para garantizar que las relaciones obsoletas
se eliminen de manera oportuna.
Control de transacciones
o Implemente controles que detecten prevengan o validen adicionalmente las transacciones fuera de los
límites esperados del negocio normal. Ejemplos incluyen:
El envío y la aprobación de transacciones SWIFT están restringidos fuera del negocio normal. En
los casos de procesamiento SWIFT centralizado durante las 24 horas, restrinja o supervise las
transacciones según corresponda para dar soporte a los negocios como de costumbre.
1 Un acuerdo de confidencialidad (ADC), acuerdo de no divulgación (en inglés non-disclosure agreement o NDA), también referidos como
contratos o convenios de confidencialidad, es un contrato legal entre al menos dos entidades para compartir material confidencial o
conocimiento para ciertos propósitos, pero restringiendo su uso público. De manera más formal, estos textos se pueden titular también
como Acuerdo de Confidencialidad y No Divulgación. Un ADC crea una relación confidencial entre los participantes para proteger
cualquier secreto comercial. Por tanto, un ADC puede proteger información de una empresa privada.
Descripción detallada Avisos legales
Disponer de un proceso para emitir y verificar los mensajes de confirmación (por ejemplo, para
verificar que las confirmaciones de MT900 y MT910 coinciden con las transacciones que se han
producido en las cuentas),
Conciliación de los registros contables de la entidad con los mensajes de estado de cuenta del
día (por ejemplo, MT 940 y MT 950),
La reconciliación se realiza a diario entre los mensajes que se envían a / desde la oficina interna
y a / desde la red SWIFT,
Se realiza un seguimiento de los números de sesión dentro de la interfaz de mensajería para
garantizar que la numeración secuencial de la sesión esté intacta, sin brechas inesperadas.
Limite las sesiones activas de SWIFTNet FIN al horario comercial (por ejemplo, las sesiones
automatizadas de terminales lógicas se desconectan al final del día hábil). En los casos de
procesamiento SWIFT centralizado las 24 horas, restringir o monitorear las transacciones según
corresponda para dar soporte a los negocios como de costumbre,
Supervisar transacciones no características (por ejemplo, cantidades excepcionalmente altas,
beneficiarios o monedas inusuales).
o Mejoras opcionales:
Las cuentas de la aplicación y del sistema operativo están restringidas a los intentos de inicio de
sesión que se producen fuera de las horas operativas específicas del rol esperado.
La reconciliación independiente se realiza con los datos de transacción de los usuarios obtenidos
de forma segura de una fuente secundaria (por ejemplo, a través de los informes de validación
diaria de SWIFT) o verificando que la transacción sea genuina con el emisor y/o el destinatario.
Objetivo de Control: Reduzca la superficie de ataque de los componentes relacionados con SWIFT mediante el
Fortalecimiento de la aplicación en las interfaces de comunicación y mensajería certificadas por SWIFT y las aplicaciones
relacionadas.
Factores de Riesgo:
El exceso de la superficie de ataque
Explotación de configuración de la aplicación insegura
Guía de implementación
Declaración de control:
Todas las interfaces de mensajería (por ejemplo, Alliance Access, Alliance Messaging Hub y equivalentes) y las interfaces
de comunicación (por ejemplo, Alliance Gateway y equivalentes) de los productos dentro de la zona segura cuentan con la
certificación SWIFT. El Fortalecimiento de la seguridad se lleva a cabo y se mantiene en todos los componentes dentro del
alcance.
Contexto de control:
El Fortalecimiento de la aplicación aplica el concepto de seguridad de "privilegio mínimo" a una aplicación al deshabilitar
funciones y servicios que no se requieren para las operaciones normales. Este proceso reduce las capacidades,
características y protocolos de la aplicación que una persona maliciosa puede usar durante un ataque. También asegura
que se cambien las credenciales predeterminadas potenciales.
Además, SWIFT ejecuta un Programa de Certificación de Interfaz para garantizar que las interfaces estén alineadas con las
prácticas actuales y para brindar al cliente garantías adicionales, garantías y una mejor visibilidad de las capacidades de los
productos individuales. Tras la validación exitosa de los resultados de las pruebas por parte de SWIFT Test Authority, la
certificación se publica en el Registro de Certificación. De acuerdo con los Términos y Condiciones Generales de SWIFT,
los clientes deben utilizar una interfaz certificada.
Pautas de implementación:
Asegúrese de que las Interfaz de mensajería y comunicación estén certificadas por SWIFT (la lista de Interfaz
certificadas se publica en el Registro de Certificación en www.swift.com).
o La interfaz certificada por SWIFT debe cumplir con todos los requisitos de conformidad de seguridad
(obligatorios y de recomendados) definidos en el SWIFT Certified Interface Programme.
Si aún no se han cumplido algunos requisitos de conformidad de seguridad, el usuario debe
Descripción detallada Avisos legales
actualizar a una interfaz certificada que implemente al menos los requisitos mínimos obligatorios
de conformidad de seguridad.
Se debe contactar al proveedor de la interfaz en caso de duda sobre la disponibilidad de algunas
funcionalidades de seguridad o su configuración y uso adecuados.
Todas las aplicaciones dentro del alcance están reforzadas considerando uno o más de los siguientes:
o Guía de seguridad del proveedor, operativa o de configuración.
o La configuración de seguridad estándar o los controles de un local o regulador están configurados con el
mismo rigor que la guía del proveedor.
Como mínimo, el proceso de Fortalecimiento de la aplicación debe:
o Cambiar las contraseñas existentes predeterminadas,
o Deshabilitar o eliminar cuentas de usuario innecesarias,
o Deshabilitar o restringir componentes, adaptadores o conectores innecesarios,
o Configurar de forma segura los adaptadores, conectores o conexiones remotas,
o Eliminar los paquetes innecesarios,
o Ajusta cualquier configuración por defecto que se sepa que es vulnerable.
Las desviaciones de las reglas de Fortalecimiento seleccionadas se documentan junto con la justificación de la
desviación.
Nota: SWIFT espera que este control sea obligatorio en una versión futura de este documento.
Objetivo de Control: Impedir el acceso físico no autorizado a equipos sensibles, entornos de trabajo, sitios de alojamiento y
almacenamiento.
Factores de Riesgo:
La falta de trazabilidad
Acceso físico no autorizado
Guía de implementación
Declaración de control:
Existen controles de seguridad física para proteger el acceso a equipos sensibles, sitios de alojamiento y almacenamiento.
Contexto de control:
La implementación de controles de seguridad física protege contra amenazas internas y externas, y reduce los ataques
oportunistas habilitados por el acceso a los sistemas físicos.
Pautas de implementación:
Seguridad de equipos removibles
o El equipo extraíble sensible (por ejemplo, el Dispositivo de entrada de PIN (PED), las teclas PED, las
tarjetas inteligentes relacionadas con SWIFT, los tokens USB, los dispositivos TOTP) se supervisa o
almacena de forma segura cuando no está en uso.
o Los equipos extraíbles sensibles que se requieren para operaciones continuas normales (por ejemplo,
discos intercambiables en caliente, dispositivos HSM) se alojan en un centro de datos o como mínimo, en
una habitación cerrada.
o Los medios de respaldo (por ejemplo, cintas) están asegurados físicamente.
Seguridad del entorno laboral.
o Las PC del operador están ubicadas en un entorno de trabajo seguro donde el acceso se controla y se
otorga solo a los empleados y otros trabajadores y visitantes autorizados. No se requiere un área física
separada para las PC del operador que acceden a los sistemas SWIFT.
o Las impresoras utilizadas para transacciones SWIFT están ubicadas en un entorno de trabajo seguro y su
acceso está restringido.
o El USB y otros puntos de acceso externos en las PC del operador están deshabilitados en la mayor medida
posible, mientras que aún admiten operaciones (por ejemplo, cuando se requieren tokens para autenticar
las operaciones de mensajes).
Seguridad para trabajadores remotos (por ejemplo, teletrabajadores, personal de operaciones "de guardia")
o Se establece una política de seguridad para respaldar los casos de uso esperados para trabajadores
Descripción detallada Avisos legales
Objetivo de Control: Asegúrese de que las contraseñas sean lo suficientemente resistentes a los ataques de contraseñas
comunes implementando y aplicando una política de contraseñas efectiva.
Factores de Riesgo:
Rompiendo contraseñas, adivinando u otro compromiso computacional
Guía de implementación
Declaración de control:
Todas las cuentas de aplicaciones y sistemas operativos aplican contraseñas con parámetros apropiados, como la longitud,
la complejidad, la validez y la cantidad de intentos de inicio de sesión fallidos. De manera similar, los tokens personales y
los dispositivos móviles aplican contraseñas o números de identificación personal (PIN) con los parámetros adecuados.
Contexto de control:
La implementación de una política de contraseñas que protege contra ataques de contraseñas comunes (por ejemplo,
adivinar y fuerza bruta) es efectiva para proteger contra el compromiso de la cuenta. Los atacantes a menudo usan los
privilegios de una cuenta comprometida para moverse lateralmente dentro de un entorno y progresar en el ataque. Otro
riesgo es el compromiso de las claves de autenticación locales para alterar la integridad de las transacciones.
Sin embargo, es importante reconocer que las contraseñas por sí solas generalmente no son suficientes en el panorama
Descripción detallada Avisos legales
actual de amenazas cibernéticas. Los usuarios deben considerar este control en estrecha relación con el requisito de
autenticación multifactor.
Pautas de implementación:
Se establece una política de contraseña que cubre también la configuración del PIN, se ajusta a los estándares
actuales de la industria o a las mejores prácticas de la industria, y define los siguientes criterios:
o Caducidad de la contraseña,
o Longitud de la contraseña, composición, complejidad y otras restricciones,
o Reutilización de contraseña,
o Bloqueo tras intentos fallidos de autenticación y remedio.
o Los requisitos de contraseña pueden modificarse según sea necesario para casos de uso específicos:
En combinación con un segundo factor (por ejemplo, una contraseña de un solo uso),
Destino de autenticación (por ejemplo, sistema operativo, aplicación, dispositivo móvil, token),
Tipo de cuenta (operador general, operador privilegiado, cuenta de aplicación a aplicación o
claves de autenticación locales).
Se pueden encontrar más recomendaciones de buenas prácticas sobre la configuración de parámetros de
contraseña y PIN en SWIFT Knowledge Base TIP 5021567 y 5022038.
La política de contraseñas se desarrolla teniendo en cuenta las vulnerabilidades conocidas basadas en contraseñas
en el entorno informático. Por ejemplo, requerir una contraseña de más de 15 caracteres para los sistemas Windows
impide que Windows calcule el hash de contraseña LM (LAN Manager) altamente vulnerable.
La política de contraseña establecida se aplica a través de medios técnicos (por ejemplo, a través de la política de
grupo de Active Directory o dentro de la configuración de la aplicación) siempre que sea posible.
La efectividad de la política de contraseña se revisa regularmente (se recomienda anualmente).
Las configuraciones del sistema relacionadas con la administración de contraseñas y el almacenamiento están
alineadas con las mejores prácticas de la industria y los proveedores (por ejemplo, habilitando la configuración del
registro "NoLMHash" en Windows).
Las contraseñas utilizadas para los sistemas de zona segura están significativamente más expuestas si las
contraseñas se almacenan en sistemas de autenticación fuera de la zona segura (por ejemplo, un Active Directory
de empresa). En cambio, las contraseñas para los sistemas de zona segura se almacenan, en la mayor medida
posible, solo dentro de la zona (por ejemplo, en un Active Directory para sistemas de producción) como se describe
en la guía para el diseño de la zona segura.
Nota: Es importante que los usuarios implementen contraseñas seguras y preferiblemente, una autenticación sólida, para
todos los sistemas utilizados dentro de la cadena de transacciones de extremo a extremo, y no limiten estos controles solo
a la infraestructura SWIFT.
Objetivo de Control: Evite que el compromiso de un solo factor de autenticación permita el acceso a los sistemas SWIFT
mediante la implementación de la autenticación multifactor.
Factores de Riesgo:
Repetición de credenciales
Rompiendo contraseñas, adivinando u otro compromiso computacional.
El robo de contraseñas
Guía de implementación
Declaración de control:
Múltiples factores de autenticación se utilizan para el acceso de los usuarios a las aplicaciones interactivas relacionadas con
SWIFT y las cuentas del sistema operativo.
Contexto de control:
El multifactor de autenticación requiere la presentación de dos o más de los factores de autenticación común se mencionan
a continuación:
SYK (Something You Know): Algo que el usuario sabe (como una contraseña)
SYH (Something You Have): Algo que el usuario tiene (como una smart card, token)
SYA (Something You Are): Algo que el usuario es o hace (como una huella digital)
La implementación de la autenticación multifactor proporciona una capa adicional de protección contra los ataques de
autenticación comunes (por ejemplo, shoulder surfing (mirar por encima del hombro es una técnica de ingeniería social),
Descripción detallada Avisos legales
reutilización de contraseñas o contraseñas débiles) y brinda mayor protección contra el compromiso de la cuenta. Los
atacantes a menudo usan los privilegios de una cuenta comprometida para moverse lateralmente dentro de un entorno y
progresar en un ataque.
Pautas de implementación:
En la aplicación de autenticación de múltiples factores, se aplican los siguientes principios:
Cuando se basa en un factor de conocimiento (generalmente una contraseña) combinado con un factor de posesión
(un dispositivo móvil), el dispositivo utilizado para el segundo factor no debe ser el mismo que el dispositivo utilizado
para ingresar el primer factor. Como tal, el uso de una aplicación para generar el segundo factor en el mismo
dispositivo / PC utilizado para ingresar el primer factor (contraseña) no se considera suficiente para acceder a los
sistemas SWIFT locales.
o Las soluciones segundo factor basado en SYH incluyen (lista no exhaustiva): TOTP, RSA SecurID,
Digipass, Aplicación para móviles, Número de transacción de autenticación (TAN) Tabla, token USB
personal. Solución que se ha seleccionado como por propia gestión de riesgos del usuario.
o Un SYA se combina de forma más segura con un SYH que con un SYK.
La autenticación multifactor se implementa al menos en una etapa / paso de autenticación que enfrenta el usuario
final cuando accede a una aplicación SWIFT:
o Para administradores de sistemas operativos:
En el límite de la zona segura (servidor de intercambio de información),
En el inicio de sesión de la PC del operador dedicado (dentro de la zona segura).
Para usuarios finales en orden descendente de robustez de seguridad:
o En las aplicaciones SWIFT individuales (en la GUI basada en navegador, en la interfaz de mensajería o
en la interfaz de comunicación),
o En el límite de la zona segura (servidor de intercambio de información),
o En el inicio de sesión de la PC del operador dedicado (es decir, dentro de la zona segura).
La autenticación multifactor se implementa para el acceso administrativo de usuarios remotos, generalmente para
la autenticación VPN.
Los sistemas de autenticación multifactor están mucho más expuestos si las credenciales de autenticación se
almacenan fuera de la zona segura (por ejemplo, dentro de un Active Directory empresarial). Si es factible, el
sistema de autenticación que soporta la solución multifactorial está ubicado dentro de la zona segura.
Los factores de autenticación presentados se asignan individualmente y respaldan la responsabilidad individual del
acceso a los servicios, el sistema operativo y las aplicaciones.
Si se implementa el inicio de sesión único (por ejemplo, SAML), entonces se requiere un segundo factor en el inicio
de sesión único o en una etapa posterior.
Nota:
Todas las Interfaz de mensajería y comunicación de proveedores de terceros certificadas por SWIFT y SWIFT deben admitir
o integrar la autenticación multifactor.
Objetivo de Control: Hacer cumplir los principios de seguridad de acceso en la necesidad de conocer, mínimo privilegio y la
separación de funciones para las cuentas del operador.
Factores de Riesgo:
El exceso de privilegio o de acceso
La segregación de violaciones de derechos
Acceso no autorizado
Guía de implementación
Declaración de control:
Las cuentas se definen de acuerdo con los principios de seguridad de acceso en la necesidad de conocer, mínimo privilegio
y la separación de funciones.
Contexto de control:
La aplicación de los principios de seguridad de (1) necesidad de saber, (2) mínimos privilegios y (3) la separación de
funciones es esencial para restringir el acceso a la infraestructura SWIFT local. La administración efectiva de las cuentas de
los operadores reduce las oportunidades para que una persona maliciosa use las cuentas como parte de un ataque.
Pautas de implementación:
Una política de control de acceso lógico se documenta y se aplicará en cuenta los siguientes principios:
Necesito saber
Descripción detallada Avisos legales
o Solo los operadores (usuarios finales y administradores) que tienen un requisito continuo para acceder a
la zona segura pueden tener cuentas dentro de la zona segura.
o Los privilegios solo se asignan a un operador con una necesidad de información validada (por ejemplo, la
configuración del sistema garantiza que los operadores solo tengan acceso a la información, los archivos
y los recursos del sistema necesarios para sus tareas definidas). El acceso a otras funciones del sistema
está deshabilitado.
Mínimos Privilegios
o La configuración del sistema garantiza que los privilegios de usuario y administrador se controlan de una
manera que permite que todos los privilegios se adapten a las necesidades individuales.
o Las cuentas se otorgan solo los privilegios que se requieren para la operación normal y de rutina. Los
privilegios adicionales solo se otorgan de forma temporal.
Segregación de funciones y 4-Eyes.
o La guía documentada del proveedor sobre la separación de roles se sigue en la documentación específica
del proveedor.
o Los deberes sensibles están separados. Esto significa que algunas funciones no pueden ser
representados por el mismo individuo, tales como:
Envío de transacciones y aprobación de transacciones.
Administrador de aplicaciones y roles de oficial de seguridad
Administradores de redes y sistemas operativos.
o Los permisos sensibles están separados para evitar eludir el principio de 4-Eyes. Como mínimo, esto
requisito se aplica para acceder a las operaciones de control y configuración de seguridad en los siguientes
componentes: Mensajería y la interfaz de comunicación, sitios y monumentos históricos, SWIFTNet Online
Operations Manager y canal seguro.
Revisión y revocación de la cuenta
o Los privilegios se revocan rápidamente cuando un empleado cambia de rol o abandona la organización.
o Las cuentas se revisan al menos anualmente (idealmente con mayor frecuencia) y se ajustan según sea
necesario para hacer cumplir los principios de seguridad de acceso.
Un procedimiento de emergencia para acceder a cuentas privilegiadas se documenta para su uso cuando las
personas autorizadas no están disponibles debido a circunstancias inesperadas:
o Se registra cualquier uso operacional del procedimiento.
o Se controla el acceso a las cuentas de emergencia privilegiadas. El uso se registra y la contraseña se
cambia después del uso de emergencia.
Objetivo de Control: Garantizar la correcta gestión, seguimiento y el uso de tokens de autenticación de hardware conectados
(si se utilizan Token).
Factores de Riesgo:
Autenticación de token de robo
La falta de trazabilidad
gestión de HSM mal utilizado
Guía de implementación
Declaración de control:
Los tokens de autenticación de hardware conectados se administran de manera adecuada durante la asignación,
distribución, revocación, uso y almacenamiento.
Contexto de control:
La protección de los tokens de autenticación de hardware conectados es esencial para salvaguardar la cuenta del operador
o sistema relacionada y refuerza las buenas prácticas de seguridad, proporcionando una capa adicional de protección contra
los atacantes.
Pautas de implementación:
Se utiliza un proceso controlado para la asignación y distribución de tokens de hardware conectados utilizados para
las operaciones SWIFT (por ejemplo, token USB, token HSM, tarjeta inteligente).
La asignación de tokens se revisa al menos una vez al año (idealmente con mayor frecuencia).
Los tokens de hardware asignados personalmente se revocan cuando la persona ya no requiere acceso y,
posiblemente, debe eliminarse (recuperarse y destruirse).
Se mantiene un registro de la propiedad de los tokens de hardware asignados.
Los tokens de hardware se retiran físicamente del sistema y se aseguran o supervisan cuando no están en uso.
Descripción detallada Avisos legales
Objetivo de Control: Garantizar la confiabilidad del personal operativo del entorno de SWIFT local, mediante la realización
de control del personal.
Factores de Riesgo:
Personal poco fiable o operadores de sistemas
Guía de implementación
Declaración de control:
El personal operativo de la infraestructura local de SWIFT es examinado antes de iniciar labores en el cargo y posteriormente
de forma periódica.
Contexto de control:
Un proceso de verificación de personal, autorización interna o externa, proporciona una garantía adicional de que los
usuarios finales o administradores de la infraestructura SWIFT local son confiables y reduce el riesgo de amenazas internas.
Pautas de implementación:
En la medida en que lo permitan las leyes y regulaciones aplicables y la información disponible, se recomiendan las
siguientes pautas y las verificaciones especificadas:
Todo el personal dentro del alcance es examinado al menos cada 5 años.
El proceso de selección inicial idealmente incluye las siguientes verificaciones:
o Verificación de identidad,
o Confirmación de los detalles completos de las calificaciones,
o Confirmación del historial de empleo anterior,
o Detalles de cualquier proceso civil o penal pasado o pendiente contra el empleado,
o Validación de cualquier participación en negocios externos que pueda resultar en un conflicto de intereses,
o Verificación de crédito financiero.
El proceso de verificación periódico incluye las siguientes verificaciones:
o Detalles de cualquier proceso civil o penal pendiente contra el empleado,
o Validación de cualquier participación en negocios externos que pueda resultar en un conflicto de intereses,
o Verificación de crédito financiero.
Factores de Riesgo:
El robo de contraseñas
Guía de implementación
Declaración de control:
Cualquier contraseña registrada para las cuentas con privilegios se almacenan en un lugar físico o lógico protegido, con
acceso restringido sobre la base de la necesidad de saber.
Descripción detallada Avisos legales
Contexto de control:
El almacenamiento seguro de contraseñas grabadas (repositorio) asegura que las contraseñas no son fácilmente accesibles
a los demás, protegiendo así contra el robo de la contraseña simple.
Este control se refiere al almacenamiento de emergencia, privilegiada o cualquier otra contraseña de cuentas.
Pautas de implementación:
Las contraseñas escritas en medios físicos están protegidas a través de:
o Colocación dentro de un sobre de seguridad sellado, a prueba de manipulaciones,
o Almacenamiento en una caja fuerte certificada (por ejemplo, Underwriters Laboratories (UL) Class TL o
EN-1143-1),
o Registro de acceso a la ubicación de almacenamiento y la contraseña de la cuenta a la que se accedió.
Las contraseñas almacenadas lógicamente (digitalmente) están protegidas a través de:
o Encriptación en reposo u ofuscación (es decir, sin almacenamiento de texto sin formato),
o Acceso autenticado a la ubicación de almacenamiento, idealmente con el registro de acceso.
Las contraseñas no se registran en los manuales de usuario u otro material operativo a menos que la contraseña
se almacene de acuerdo con la guía anterior.
Si se otorga acceso de emergencia a un operador que, en condiciones normales no tendría acceso, la contraseña
se cambiará inmediatamente después y opcionalmente, también la combinación de la caja fuerte de
almacenamiento.
Las contraseñas no están codificadas en los scripts u otro código de software.
Objetivo de Control: Asegúrese de que la infraestructura de SWIFT local está protegida contra los programas maliciosos.
Factores de Riesgo:
Ejecución de código malicioso
Explotación de vulnerabilidades de seguridad conocidas
Guía de implementación
Declaración de control:
El software antimalware de un proveedor de confianza se instala y se mantiene al día en todos los sistemas.
Contexto de control:
El malware es un término general que incluye muchos tipos de software intrusivo y no deseados, como virus. La tecnología
antimalware (un término más amplio para el antivirus) es eficaz en la protección contra código malicioso que tiene un perfil
digital o comportamiento conocido.
Pautas de implementación:
El escaneo antimalware en acceso (también conocido como escaneo en tiempo real o en segundo plano) se realiza
en todos los sistemas dentro del alcance. El escaneo completo bajo demanda se programa al menos semanalmente
para servidores y diariamente para las computadoras de los operadores. Por razones de rendimiento, las
exploraciones completas se realizan en momentos de bajo uso y/o fuera del horario comercial.
El alcance del escaneo debe incluir todos los archivos de los sistemas en alcance. La exclusión de elementos o
directorios del escaneo está sujeta a una evaluación de riesgos considerando la configuración de la infraestructura
del usuario, los requisitos y políticas de seguridad interna, las capacidades del producto y los siguientes principios:
o Se espera que el software (como .exe, bibliotecas, scripts) y los datos estáticos (como los archivos de
configuración) se analicen en el acceso o en la instalación y luego de manera regular, cuando se
complementen con un mecanismo de integridad en tiempo de ejecución (en línea con la Verificación de
integridad del software representada en el control 6.2) que permite la identificación de cambios de archivos
o adiciones inesperadas.
o El contenido del servidor de la base de datos (archivos de datos) podría excluirse del análisis cuando los
datos se hayan validado antes de ser almacenados.
El software antimalware de un proveedor de renombre se instala en todas las plataformas informáticas y se
actualiza de acuerdo con la frecuencia de escaneo.
Los sistemas que no pueden actualizar sus perfiles o ejecutar exploraciones programadas se detectan y corrigen.
Se comprueba la compatibilidad del software antimalware con el entorno operativo.
El software antimalware está configurado en modo de prevención, si es posible, después de evaluar el impacto
operacional. Se recomienda configurar el software antimalware para poner en cuarentena los archivos sospechosos
Descripción detallada Avisos legales
y dar una alarma al departamento de seguridad del usuario en lugar de eliminarlos inmediatamente. Esto permite
que el departamento de seguridad del usuario investigue la alerta y posiblemente, evite futuros "falsos positivos" al
tiempo que permite la recuperación de archivos en caso de que se confirme que son legítimos.
Asegúrese de que la transferencia de cualquier contenido de archivo no contenga ningún tipo de virus u otros datos
que puedan crear riesgos para el remitente, SWIFT o el receptor.
Mejoras opcionales:
Los sistemas antimalware utilizan una combinación de capacidades basadas en firmas y basadas en heurísticas.
Las soluciones antimalware se implementan en sistemas que no son Windows.
Objetivo de Control: Asegurar la integridad del software de las aplicaciones relacionadas con SWIFT.
Factores de Riesgo:
Cambios en el sistema no autorizadas
Guía de implementación
Declaración de control:
Una verificación de la integridad del software se lleva a cabo a intervalos regulares en interfaz de mensajes, interfaz de
comunicación y otras aplicaciones relacionadas con SWIFT.
Contexto de control:
Las comprobaciones de integridad de software proporcionan un control de detección contra la modificación inesperada de
software operacional.
Pautas de implementación:
Comprobaciones de integridad de software se llevan a cabo en los componentes incluidos en el estudio en el
arranque y, además al menos una vez por día.
Opciones para la aplicación:
o Integrado en el producto,
o Tercero archivo de vigilancia de la integridad de la herramienta (FIM).
Comprobación de la integridad del software descargado se lleva a cabo a través de la verificación de la suma de
comprobación en el momento de su despliegue.
Mejoras opcionales:
Una comprobación de integridad se lleva a cabo en la memoria.
Una comprobación de integridad se lleva a cabo a nivel del sistema operativo.
Sistemas dentro de la zona segura implementan listas blancas de aplicaciones en el sistema operativo que permite
solamente conocidos y aplicaciones fiables para ser ejecutados.
Objetivo de Control: Asegurar la integridad de los registros de base de datos para la interfaz de mensajes SWIFT.
Factores de Riesgo:
La pérdida de la integridad de los datos sensibles
Descripción detallada Avisos legales
Guía de implementación
Declaración de control:
Una comprobación de integridad de la base de datos se realiza a intervalos regulares en las bases de datos que las
transacciones SWIFT récord.
Contexto de control:
Comprobaciones de integridad de base de datos proporcionan un control de detección contra la modificación inesperada a
los registros almacenados en la base de datos.
Pautas de implementación:
La funcionalidad de comprobación de integridad de la base de datos está habilitada para garantizar la integridad a
nivel de registro (suma de comprobación o firma de los registros) y confirmar que no existen brechas en la
numeración de transacciones secuenciales.
Opciones para implementaciones:
o Integrado en la aplicación de interfaz de mensajería,
o Integrado en la base de datos del producto.
Mejoras opcionales:
Se realiza una verificación completa de la integridad de la base de datos a intervalos regulares, idealmente cada
dos semanas.
La verificación de integridad realiza una verificación referencial completa en todos los registros (por ejemplo, no
hay registros huérfanos entre tablas) y busca registros eliminados inesperadamente.
Se utiliza una instancia de base de datos dedicada para fines de SWIFT. La comprobación de integridad realiza
una comprobación de referencia completa de todos los registros (por ejemplo, no hay registros huérfanos entre las
tablas) y la búsqueda de los registros inesperadamente eliminados.
Una instancia de base de datos dedicado se utiliza para fines de SWIFT.
Objetivo de Control: los eventos de seguridad de discos y detectar acciones anómalas y las operaciones dentro del entorno
de SWIFT local.
Factores de Riesgo:
La falta de trazabilidad
Detección de anomalías o actividad sospechosa
Guía de implementación
Declaración de control:
Se implementan capacidades para detectar actividades anómalas y existe un proceso o herramienta para almacenar y
revisar los registros con frecuencia.
Contexto de control:
El desarrollo de un plan de registro y monitoreo es la base para detectar efectivamente el comportamiento anormal y los
posibles ataques. A medida que el entorno operativo se vuelve más complejo, también lo será la capacidad de registro y
monitoreo necesaria para realizar una detección adecuada. La simplificación del entorno operativo permitirá un registro y
monitoreo más directo.
Pautas de implementación:
Objetivos generales para el registro y monitoreo:
o Implementar un plan para el registro de actividades relevantes para la seguridad y configurar alarmas para
eventos de seguridad sospechosos (cuando sea compatible con la aplicación).
o Implementar un plan para monitorear eventos de seguridad en registros y para monitorear otros datos (por
ejemplo, actividades comerciales en tiempo real a través de la GUI) y establecer un plan para tratar las
alarmas informadas.
Toda la actividad de registro y monitoreo cumple con las leyes y regulaciones aplicables y los contratos de empleo
Descripción detallada Avisos legales
Objetivo de Control: Detectar y prevenir la actividad de la red anómala en y dentro del entorno de SWIFT local.
Factores de Riesgo:
anomalías detecta o actividad sospechosa
Guía de implementación
Declaración de control:
La detección de intrusiones se lleva a cabo para detectar el acceso no autorizado a la red y la actividad anómala.
Contexto de control:
Los sistemas de detección de intrusos se implementan más frecuentemente en una red - el establecimiento de una línea de
base para las operaciones normales y enviar notificaciones cuando se detecta una actividad anormal en la red. Como una
red operativa se vuelve más compleja (por ejemplo, los sistemas de comunicación a muchos destinos, acceso a Internet),
también lo hará la capacidad de detección de intrusión necesario para realizar una detección adecuada. Por lo tanto, la
simplificación de comportamiento de la red es un elemento útil para soluciones de detección de intrusos más sencillas y
eficaces. sistemas de detección de intrusiones a menudo combinan los métodos de detección en firmas y basadas en
anomalías. Algunos sistemas tienen la capacidad de responder a cualquier intrusión detectada (por ejemplo, terminación de
la conexión).
Pautas de implementación:
El sistema de detección de intrusos está configurado para detectar actividad anómala dentro de la zona segura y
en el límite de la zona segura.
La actividad de la red que se debe rastrear para el análisis de detección de intrusiones puede incluir:
o Conexiones entrantes y salientes en horario no comercial,
o Transferencias de archivos inesperados desde la zona segura,
o Uso inesperado de puerto o protocolo (por ejemplo, P2P).
Descripción detallada Avisos legales
El sistema tiene un proceso repetible para actualizar periódicamente las firmas de intrusión conocidas.
Si se detecta una intrusión, se genera una alarma y, si la herramienta lo permite, se activa un mecanismo de
defensa manual o automáticamente.
Las intrusiones detectadas se gestionan a través del proceso estándar de respuesta a incidentes.
Mejora opcional:
Los sistemas de detección de intrusos tienen la capacidad de inspeccionar flujos encriptados.
Objetivo de Control: Garantizar un enfoque coherente y eficaz para la gestión de incidentes cibernéticos.
Factores de Riesgo:
El exceso de daño disposición cibernética deficientes
Guía de implementación
Declaración de control:
El usuario tiene un plan de respuesta incidente cibernético definido y probado.
Contexto de control:
Disponibilidad y capacidad de recuperación adecuada es de importancia clave para el negocio. En este sentido, la definición
y la prueba de un plan de respuesta a incidentes cibernéticos es una forma muy eficaz de reducir el impacto y la duración
de un incidente real cibernético. A medida que se aprendan las lecciones ya sea mediante pruebas de este plan, o por medio
de incidentes reales, es esencial aplicar estos aprendizajes y mejorar el plan. Además, la planificación para el intercambio
de amenazas e incidentes información es fundamental para ayudar a la comunidad financiera más amplia en la aplicación
de una protección eficaz contra los ataques cibernéticos.
Pautas de implementación:
El usuario ha desarrollado y actualiza anualmente un plan de respuesta a incidentes cibernéticos. Existe un plan
de respaldo y recuperación formal para todas las líneas de negocio críticas para apoyar las actividades de respuesta
a incidentes.
o El plan de respuesta a incidentes cibernéticos incluye datos de contacto actualizados (internos y externos)
y temporizadores de escalamiento. Dicho plan tiene que incorporar:
- La hoja de ruta de recuperación de incidentes de seguridad cibernética que proporciona una lista
no exhaustiva de pasos o acciones que un cliente debe seguir en caso de una infracción de
seguridad cibernética y consulte el Soporte de SWIFT. Los detalles se describen en el Boletín
SWIFT-ISAC # 10047.
- Las políticas de seguridad interna, las leyes y las regulaciones dentro de la jurisdicción de un
usuario deben cumplirse y considerarse en la planificación de respuesta a incidentes
cibernéticos.
Como mínimo, el plan se revisa anualmente y se prueba al menos cada dos años para garantizar la recuperación
segura de las operaciones comerciales críticas con un tiempo de interrupción minimizado después de un incidente
de ciberseguridad.
El plan de respuesta a incidentes cibernéticos incluye pasos para:
o Notificar oportunamente a las partes interesadas y al liderazgo internos apropiados,
o Notificar de inmediato a las partes interesadas de la organización externa relevantes (por lo general,
regulador (es), supervisor (es), autoridades de aplicación de la ley),
o Notificar de inmediato al Centro de atención al cliente de SWIFT a través del canal predeterminado y
cumplir con otras obligaciones aplicables a los usuarios en caso de un incidente de seguridad, incluida la
obligación de cooperar y proporcionar material forense según lo requiera SWIFT.
o Contener rápidamente el sistema afectado al identificar y limitar la exposición del ataque,
o Involucrar a profesionales expertos en ciberseguridad para identificar y abordar el incidente cibernético.
Es responsabilidad del usuario tomar medidas correctivas rápidas para investigar, limpiar toda la
infraestructura y reanudar las operaciones seguras lo antes posible.
o Revise la exactitud de las autoprotecciones actuales del usuario y, según corresponda en la Política de
controles de seguridad de SWIFT, invalide dichas certificaciones y envíe nuevas certificaciones.
o Realizar análisis de problemas posteriores al incidente para identificar y remediar las vulnerabilidades.
o Documentar completamente el incidente.
El usuario tiene un plan documentado para el intercambio oportuno de información sobre amenazas a las
organizaciones de intercambio de inteligencia, a los reguladores locales / de la ley (según lo requerido en la
jurisdicción de cada usuario) y a SWIFT. El intercambio de información sobre amenazas puede potencialmente
Descripción detallada Avisos legales
respaldar el análisis de la causa raíz y el intercambio de Indicadores de Compromisos (COI) anonimizados con la
comunidad.
La información que se debe compartir se evalúa primero para garantizar el cumplimiento de las leyes y regulaciones
aplicables (por ejemplo, la privacidad de los datos personales, la confidencialidad de las investigaciones) y protege
contra el intercambio no deseado de datos confidenciales o datos más allá de la relevancia del incidente.
El usuario tiene la capacidad de consumir inteligencia de amenazas compartida por SWIFT, por ejemplo, en forma
de IOC. El usuario tiene procedimientos establecidos para:
o Asegúrese de que la información se distribuye a los contactos correctos dentro de la organización,
o Bloquee el tráfico hacia / desde las direcciones IP / URL mencionadas en los IOC.
Objetivo de Control: Asegúrese de que todo el personal conozca y cumplan con sus responsabilidades de seguridad
mediante la realización de actividades regulares de formación y sensibilización de seguridad.
Factores de Riesgo:
El aumento de riesgo para la seguridad del personal sin la debida capacitación
Guía de implementación
Declaración de control:
períodos de sesiones anuales de sensibilización de seguridad se llevan a cabo para todos los miembros del personal,
incluyendo la formación específica de funciones para las funciones de SWIFT con acceso privilegiado.
Contexto de control:
Un programa de formación y concienciación sobre la seguridad fomenta un comportamiento consciente de la seguridad y
adecuada de los empleados y administradores, y refuerza en general buena práctica de seguridad. Además, es
particularmente importante que los usuarios de acceso privilegiado tienen el conocimiento y la experiencia adecuada.
Pautas de implementación:
El personal completa conciencia anual de seguridad y capacitación. Los temas pueden incluir:
o Capacitación en productos y servicios relacionados con SWIFT (por ejemplo, a través de SWIFTSmart
que está disponible para todos los usuarios),
o Concientización sobre las amenazas de seguridad cibernética dentro de la industria de servicios
financieros o relevante para el rol y las responsabilidades del personal,
o Seguridad y gestión de contraseñas.
o seguridad del dispositivo,
o hábitos de operación seguros (por ejemplo, identificación de spam y phishing, descarga de archivos,
prácticas de navegación),
o Notificación de eventos y actividades sospechosas,
o Detección y respuesta a incidentes cibernéticos en línea con el plan de respuesta de la organización.
o Programa interno o externo que opcionalmente permite al personal obtener y mantener certificaciones.
La capacitación se imparte a través del canal más apropiado, incluida la capacitación basada en computadora, la
capacitación en el aula y los seminarios web.
Las personas que tienen acceso a las aplicaciones, datos, certificados, redes, etc. de SWIFT tienen un nivel de
conocimiento adecuado y conocen los riesgos cibernéticos pertinentes (por ejemplo, a través de los COI publicados
por SWIFT), las mejores prácticas y los procesos.
Objetivo de Control: Validar la configuración de seguridad operacional y determinar las deficiencias de seguridad mediante
la realización de pruebas de penetración.
Factores de Riesgo:
Desconocido vulnerabilidades de seguridad o configuraciones incorrectas de seguridad
Guía de implementación
Declaración de control:
Aplicación, host, y penetración de la red de prueba se lleva a cabo en y dentro de la zona de seguridad y en los PC del
operador.
Contexto de control:
Las pruebas de penetración se basan en ataques simulados que usan tecnologías similares a los desplegados en los
ataques reales. Se utiliza para determinar las vías de que los atacantes podrían usar, y la profundidad a la que los atacantes
puede ser capaz de acceder al entorno de destino. La realización de estas simulaciones es una herramienta eficaz para
identificar las debilidades en el ambiente que pueden requerir la corrección, mejora, o controles adicionales.
Pautas de implementación:
La organización utiliza un enfoque basado en el riesgo para determinar el alcance preferido (por ejemplo, la zona
de seguridad, o un servidor específico incluyendo posibles otros servicios de apoyo a la zona segura), método (por
ejemplo, prueba de caja blanca, prueba de la caja negro) y ataque origen (por ejemplo, interno, desde dentro o
fuera de la zona segura, o ataque externo) para la prueba.
Las pruebas de penetración se llevan a cabo por lo menos cada 2 años, así como después de cambios significativos
en el entorno (por ejemplo, los nuevos dispositivos de servidor o de la red, la red de cambio de diseño).
Las pruebas de penetración son cuidadosamente planeada y llevada a evitar posibles impactos sobre la
disponibilidad o integridad.
Las pruebas de penetración se llevan a cabo por el personal experto independiente por parte del equipo a cargo
de la infraestructura de SWIFT (Equipo Rojo interna o recursos externos).
componente de red y pruebas de penetración host (por ejemplo, la regla bases y configuraciones revisión) se
realizan en el entorno de producción de servicio.
garantías suficientes están en su lugar para minimizar cualquier impacto operativo de la realización de la prueba
de penetración.
El resultado de la prueba de penetración se documenta (con acceso restringido) y se utiliza como una entrada para
el proceso de actualización de seguridad.
Nota: se espera que este control se convierte en obligatoria en una próxima versión de este documento.
Mejora opcional:
Las pruebas de penetración se realizan en aplicaciones SWIFT-específicos mientras que se adhiere a la Política
de Pruebas SWIFT Cliente. Esta prueba de penetración aplicación SWIFT específica se realiza en el entorno de
prueba para evitar posibles impactos sobre la disponibilidad o integridad.
Objetivo de Control: Evaluar el riesgo y la disposición de la organización basada en escenarios de ataque cibernético
plausibles.
Factores de Riesgo:
El exceso de daño disposición cibernética deficientes
sensibilidad a la exposición no identificada cibernética
Guía de implementación
Declaración de control:
las evaluaciones de riesgos de escenarios impulsada Se llevan a cabo para mejorar la preparación de respuesta a incidentes
y aumentar la madurez del programa de seguridad de la organización.
Contexto de control:
evaluaciones de riesgo basadas en escenarios probar varios ataques realizados por todo tipo de personas no autorizadas
en la infraestructura relacionada con SWIFT-organizada.
Considere las siguientes amenazas no exhaustivos: suplantación del usuario final, la manipulación de mensajes, mensaje
de espionaje, las debilidades de software de terceros, sistemas comprometedoras o ataques de denegación de servicio
Descripción detallada Avisos legales
(DoS) que afectan a la disponibilidad del servicio. Los resultados de la evaluación y mitigación existentes ayudan a identificar
las áreas de riesgo que pueden requerir acciones futuras, mitigaciones de riesgo o la actualización del plan de respuesta a
incidentes cibernéticos. acciones identificadas, mitigaciones, o actualizaciones han de ser comunicados y seguida por cierre
de acuerdo a su criticidad de acuerdo con el proceso de Seguridad de la Información de Gestión de Riesgos (ISRM).
Existen varios marcos ISRM y se pueden consultar (por ejemplo, en NIST, ENISA, COBRA o ISO sitios o de un local o
controles estándar o de regulador de conjunto del mismo rigor como la orientación de la industria) para definir ISRM
adecuada del usuario y los recursos (tales como Controles CIS-crítico de seguridad). Estos marcos se pueden utilizar para
empezar a aplicar un proceso básico de gestión de riesgos para ser mejorado aún más para hacer frente a los riesgos
específicos de los usuarios.
Pautas de implementación:
Una actividad de evaluación y planificación de los riesgos escenario se llevó a cabo para:
o Identificar posibles métodos para adversarios para obtener acceso no autorizado a la infraestructura local
de SWIFT Basándose en técnicas adversario observados o técnicas adversario-plausibles inferidas de
motivaciones y capacidades de adversarios,
o Analizar la eficacia de los controles de prevención y detección existentes para mitigar anticipada
o técnicas adversario para obtener acceso no autorizado al medio ambiente,
o Analizar la probabilidad y el impacto de vectores significativo y plausible de ataque dado controles
existentes,
o Analizar la eficacia de los controles de respuesta existentes para limitar el impacto de la significativa y
plausible
o vectores de ataque dados los controles existentes,
o Identificar la necesidad de controles preventivos o de detectives adicionales.
actividad de evaluación y planificación se lleva a cabo por lo menos anualmente, y actualizar a través de las
actividades en curso de gestión de riesgos, cuando se producen cambios significativos en la tecnología, o cuando
la información sobre amenazas indica los cambios pertinentes en las capacidades o las motivaciones de un
adversario aplicable.
inteligencia de amenazas actuales y ataques observados / probable (vectores, técnicas, actores, etc.) se utilizan
como base para los escenarios viables.
Cada clase de activo (dispositivos de usuario final, servidores, dispositivos de red) se evalúa contra las amenazas
de forma regular base y cuando se introducen cambios o cuando se identifican nuevas amenazas.
Glosario
Término Definición
4-eyes principio Un principio de seguridad por el que dos individuos deben aprobar una acción antes de que se pueden
tomar. Este principio también se conoce como la regla de dos personas o la integridad de dos
personas.
Administrador Puede referirse a:
Administradores de la aplicación - responsables de la configuración, mantenimiento, y la
realización de actividades privilegiadas a través de una interfaz de aplicación
Los administradores del sistema - responsables de la configuración, el mantenimiento y la
realización de otras actividades privilegiadas a través de sistemas operativos u otro acceso
directo (no front-end)
cuenta de la aplicación cuentas de aplicación se definen como log-ons designados para una aplicación. Ellos no están
destinados a ser utilizados por un acceso humano o GUI. cuentas de aplicaciones tienen u na
contraseña que se almacena, recupera y se utiliza de forma automática por la aplicación. Una
cuenta de aplicación se utiliza típicamente para los propósitos de integración (por ejemplo, llamar
de API) o para apoyar a STPlink (Straight-Through-Processing: Procesamiento Directo -
componente permite evitar el uso de archivos planos cuando envíe mensajes).
Clase de activos Una categoría de calcular activo (por ejemplo, bases de datos, servidores, aplicaciones).
back office Los sistemas responsables de la lógica de negocio, generación de transacción, y otras actividades
que tienen lugar antes de la transmisión en la infraestructura de SWIFT local.
conector Los conectores son local de software diseñado para facilitar la comunicación con una interfaz de
mensajería o comunicación, o ambas cosas. Cuando se utiliza un conector, componentes de interfaz
son ofrecidos por un proveedor de servicios (por ejemplo, una oficina de servicios, la infraestructura
concentrador o SWIFT). Alianza Lite2 AutoClient, Enlace Directo, soluciones de transferencia de
archivos y productos equivalentes se consideran soluciones de conectores.
CVSS - Scoring System CVSS es un estándar abierto de la industria para evaluar la gravedad de las vulnerabilidades del
Common Vulnerability software mediante la asignación de las puntuaciones de gravedad de estas vulnerabilidades, lo
que permite la priorización de respuestas y recursos en línea con la amenaza.
Interfaz de comunicación software de interfaz de comunicación que proporciona un enlace entre la red SWIFTNet y el
software de interfaz de mensajería. Interfaz de comunicación proporcionan una integración
centralizada, automatizada y de alto rendimiento con diferentes aplicaciones financieras internas
e Interfaz específicas del servicio. Interfaz de comunicación son proporcionados por SWIFT (por
ejemplo, Alliance Gateway o Alliance Gateway instantánea) y por los vendedores de certificados
Descripción detallada Avisos legales
de terceros.
incidente de seguridad Cualquier acto malicioso o evento sospechoso que compromete, o era un intento de comprometer, un
cibernética entorno informático.
capa de intercambio de El transporte de datos entre el back office (o capa de middleware) y la infraestructura de SWIFT local.
datos
PC operador dedicado Un operador de PC situado en la zona segura y dedicada a interactuar con los componentes de
la zona segura.
Usuario final Las personas que requieren un acceso interactivo a la aplicación (por ejemplo, para las
transacciones comerciales, monitoreo y control de acceso). Esto incluye agentes de seguridad y
administradores de aplicaciones responsables de la configuración y el mantenimiento de la
aplicación.
En general entorno de TI La infraestructura de TI en general utilizado para apoyar la organización amplia. Esto incluye servicios
(empresa) de TI generales y PC generales operador propósito.
servicios de TI generales Apoyar la infraestructura de TI, tales como servicios de autenticación, gestión de activos, bases
de datos, almacenamiento de datos, servicios de seguridad (por ejemplo, parches) y los servicios
de red (por ejemplo, DNS, NTP).
PC del operador de Un PC operador situado en el entorno general de la empresa y se utiliza para las actividades
propósito general diarias del negocio.
Interactiva log-in / sesión El modelo de sesión que indica un intercambio de datos (por ejemplo, cuando un usuario introduce
datos o un comando y el sistema devuelve datos).
Indicadores de Los artefactos que se pueden observar en una red o sistema operativo que podría indicar compromiso
compromiso (COI) del sistema.
servicios de TI Un conjunto de componentes en apoyo de los procesos de negocio dentro de la zona de seguridad,
tales como una liberación y parches plataforma de despliegue, Active Directory.
servidor de intercambio Un servidor utiliza para proporcionar acceso a la zona segura de usuario de la red corporativa del
de información usuario (por ejemplo, Citrix o de escritorio remoto).
Autenticación local Autenticación local, abreviado como LAU, proporciona integridad y autenticación de los archivos
(LAU) intercambiados entre aplicaciones. Autenticación local requiere que la entidad de envío y recepción
utilizan la misma clave para calcular una firma de archivo de autenticación local.
infraestructura de SWIFT El conjunto de componentes de SWIFT-específicos dentro de entorno de producción del usuario,
local incluyendo los sistemas, aplicaciones, hardware de soporte, Token, y otros autentificadores.
interfaz de mensajería software de interfaz de mensajería que apoya el uso de los servicios de mensajería de SWIFT
(FIN, InterAct y FileAct). El software proporciona los medios para que los usuarios se conecten a
las aplicaciones de negocio servicios de mensajería de SWIFT y por lo general se conecta
directamente a la interfaz de comunicación. Interfaz de mensajería son proporcionados por
SWIFT (por ejemplo, Alliance Access o Alliance mensajería Hub) y por los proveedores de
certificados de terceros.
middleware Software que permite a dos programas separados para interactuar entre sí (por ejemplo, IBM MQ,
BizTalk).
autenticación de múltiples Autenticación de múltiples factores es un método de autenticación de usuario donde se requieren al
factores menos dos componentes diferentes para autenticar un usuario. Siguientes factores de autenticación
se pueden seleccionar:
factor de conocimiento (algo que el usuario sabe), por ejemplo, un PIN o una contraseña
factor de posesión (algo que el usuario tiene), por ejemplo, un token de HSM, una Digipass, teléfono
móvil o un dispositivo de contraseña RSA Una Hora
factor humano (algo que el usuario es), por ejemplo, la huella digital o cualquier otra biométrica
Red de lista de control de Una lista de control de acceso a la red se refiere a las reglas que se aplican a los números de puertos
acceso (ACL) o direcciones IP para controlar el tráfico de entrada y salida. Estas listas están disponibles en un
dispositivo de red.
Dispositivos de red Componentes utilizados para ayudar en la gestión, encaminamiento, y la seguridad de la red (por
ejemplo, enrutadores, conmutadores, Firewall).
Sistema Operativo (OS) Las cuentas de usuario en un servidor o PC que se utiliza para el acceso directo al sistema
cuentas operativo.
Descripción detallada Avisos legales
Operador En conjunto se refiere a ambos tipos individuales a continuación: los usuarios finales - los individuos
que requieren un acceso interactivo a la aplicación (por ejemplo, para las transacciones comerciales,
monitoreo y control de acceso). Esto incluye agentes de seguridad y administradores de aplicaciones
responsables de la configuración y el mantenimiento de la aplicación. Los administradores del sistema
operativo - responsable de la configuración, el mantenimiento y la realización de otras actividades
privilegiadas en los sistemas operativos de alojamiento de la infraestructura SWIFT local.
PC del operador El PC utilizado por los operadores para llevar a cabo sus funciones.
ALFILER Número de Identificación Personal - Un número secreto que actúa como una contraseña de
impedir que otros obtengan acceso no autorizado o el uso de una ficha, dispositivo móvil o la
tarjeta.
cuenta privilegiada Una cuenta en un sistema operativo o una aplicación que concede acceso elevado más allá de
la de un usuario típico. Incluye cuentas de administrador de sistemas operativos, y el oficial de
seguridad o el propietario de la aplicación de cuentas en las aplicaciones.
La aplicación de gestión Un filtro que permite al usuario limitar los corresponsales de la que los mensajes pueden ser recibidos,
de relaciones (RMA) así como el tipo de mensajes que puede ser recibida. El uso del mecanismo de aplicación de gestión
de relaciones es obligatorio para el servicio FIN. Está disponible en una base opcional para SCORE
FileAct FileAct y genérico.
Acceso remoto El acceso a un ordenador desde fuera de la red local. Por ejemplo, desde casa o desde la red de
otra organización.
inicio de sesión remoto Inicie una sesión en un sistema iniciado través de una conexión de red en lugar de hacerlo
directamente desde el PC local.
zona segura Una zona segmentada en los locales de usuario separados de la empresa general. La zona segura
contenga sistemas relacionados con SWIFT (por ejemplo, interfaz de mensajes, interfaz de
comunicación), y opcionalmente otros sistemas protegidos.
entorno de servidor centro de datos o en otro lugar de alojamiento de servidores físicos garantizados.
oficina de servicios UNA oficina de servicios es un usuario SWIFT o no usuario
organización que proporciona servicios para conectar usuarios de SWIFT. Los servicios ofrecidos por
una oficina de servicios suelen incluir compartir, hosting, o hace funcionar los componentes de
conectividad de SWIFT, iniciar la sesión, o la gestión d sesiones o en nombre de la seguridad usuarios
de SWIFT. oficinas de servicios están sujetos al Programa de infraestructura compartida.
Proveedor de servicio Una organización que proporciona servicios a los usuarios de SWIFT con respecto a la operación del
día a día de su conexión SWIFT. Los servicios ofrecidos incluyen típicamente compartir, o hacer
funcionar los componentes de conectividad de SWIFT, iniciar la sesión, o la gestión de sesiones o la
seguridad para los usuarios de SWIFT. Esas organizaciones incluyen los proveedores de
infraestructura compartida (por ejemplo, oficina de servicios, proveedores de conectividad
compartidos, Lite2 para aplicaciones de negocios, Alianza Lite2, Alliance Gateway remoto,
concentrador de grupo).
un solo usuario o modo modo de operación que limita los privilegios del usuario protegida.
seguro
identificador de software token de autenticación en forma lógica (software).
cliente pesado Un programa de software instalado y ejecutado en el PC del operador local, en lugar de a través de
una interfaz de navegador.
Tercero Una entidad independiente del usuario o proveedor de conectividad de SWIFT SWIFT del usuario. Por
ejemplo, un proveedor de TI externalizados.
Número de autenticación Un tipo de De un solo uso de contraseña generalmente utilizado en conjunción con un ID estándar y
de transacción (TAN) contraseña. Inicialmente se presenta en una lista (tabla).
Transport Layer Security Un protocolo criptográfico que asegura la confidencialidad y la integridad de la red y protege contra
(TLS) los ataques de repetición.
Usuario Una organización que SWIFT ha admitido bajo las Normas corporativas como un usuario autorizado
de servicios y productos de SWIFT. Los criterios de elegibilidad para convertirse en un usuario de
SWIFT se establecen en las normas corporativas.
cuentas de usuario de Las cuentas de usuario establecidos en la capa de aplicaciones para conceder acceso y permisos a
aplicaciones la aplicación (es decir, que no operan cuentas del sistema).