Cumplimiento del marco de controles de seguridad del cliente SWIFT

Tal como informó Investopedia, SWIFT, la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales, es una red de mensajería que las instituciones financieras utilizan para transmitir de forma segura información e instrucciones a través de un sistema estandarizado de códigos.

Marco de controles de seguridad del cliente (CSC) SWIFT

Según SWIFT¹:

El marco de controles de seguridad del cliente de SWIFT describe un conjunto de controles de seguridad obligatorios y de asesoramiento para los usuarios de SWIFT.

Los controles de seguridad obligatorios establecen una línea de base de seguridad para toda la comunidad y deben ser implementados por todos los usuarios en su infraestructura SWIFT local. SWIFT ha optado por priorizar estos controles obligatorios para establecer un objetivo realista de reducción de riesgos y ganancias de seguridad tangibles a corto plazo.

Los controles de asesoramiento se basan en buenas prácticas que SWIFT recomienda a los usuarios que implementen. Con el tiempo, los controles obligatorios pueden cambiar debido a la evolución del panorama de amenazas, y algunos controles de asesoramiento pueden volverse obligatorios.

Todos los controles se articulan en torno a tres objetivos generales:

1. Proteger su entorno
2. Conocer y limitar el acceso
3. Detección y Respuesta

Thales puede ayudarle a cumplir con cada uno de estos tres objetivos.

1. https://www.swift.com/myswift/customer-security-programme-csp/security-controls

Thales puede ayudarlo a cumplir con las siguientes secciones del Esquema CSC:

Sección 1.2. “Control de cuentas privilegiadas del sistema operativo”
Sección 5. “Administrar identidades y segregar privilegios”
Sección 6. “Detectar actividad anómala en sistemas o registros de transacciones”3

CipherTrust Data Security Platform

La plataforma CipherTrust Data Security Platform hace que sea fácil y eficiente administrar la seguridad de los datos en reposo en toda su organización. Construida sobre una infraestructura extensible, la plataforma presenta múltiples productos de seguridad de datos que se pueden implementar individualmente o en combinación para brindar cifrado avanzado, tokenización y administración de claves centralizada. Esta solución de seguridad de datos prepara a su organización para el próximo desafío de seguridad y los nuevos requisitos de cumplimiento con el TCO más bajo.

Controles de acceso a datos

• Separación de usuarios con privilegios y datos confidenciales de los usuarios. Con CipherTrust Data Security Platform, los administradores pueden crear una separación fuerte de tareas entre administradores con privilegios y propietarios de datos. La plataforma CipherTrust Data Security Platform encripta archivos dejando sus metadatos en claro. De esta forma, los administradores de TI, que incluyen hipervisor, administradores de red, nube y almacenamiento pueden llevar a cabo tareas de administración de sistemas sin tener que obtener acceso privilegiado a los datos confidenciales que residen en los sistemas que manejan.
• Separación de tareas administrativas. Se puede aplicar una separación robusta de políticas de tareas para garantizar que un administrador no tenga control completo de los datos sobre actividades de seguridad, claves de cifrado o administración. Además, CipherTrust Manager es compatible con la autenticación de dos factores para acceso administrativo.
• Controles de acceso granular privilegiado. La solución de Thales puede aplicar políticas de gestión de acceso muy granulares para usuarios menos privilegiados que impidan el mal uso en la protección de datos de parte de usuarios con privilegios, así como ataques externos. Las políticas de gestión de acceso de usuarios con privilegios se pueden aplicar por usuario, proceso, tipo de archivo, hora y otros parámetros. Las opciones de aplicación pueden controlar no solo el permiso para acceder a datos en formato de texto común; pero además, cuáles comandos del sistema están disponibles para un usuario.

Registros de inteligencia de seguridad

Los registros detallados de auditoría de acceso a datos entregados por CipherTrust Transparent Encryption resultan útiles no solo para el cumplimiento, sino también para la identificación de intentos de acceso no autorizados, así como para construir líneas de base de patrones de acceso de usuarios autorizados CipherTrust Security Intelligence se integra con los más importantes sistemas de información de seguridad y gestión de eventos que hacen que sea posible procesar esta información. La solución permite una escalación automatizada inmediata, así como respuesta a intentos de acceso no autorizados y, todos los datos necesarios para desarrollar patrones de comportamiento necesarios para la identificación de uso sospechoso por usuarios autorizados.