Nuevas regulaciones de seguridad para la banca en 2018

En 2018, todos los bancos que utilicen la plataforma de mensajería SWIFT deberán cumplir con un nuevo marco de ciberseguridad que pretende establecer una línea de base para la seguridad.

SWIFT significa la Sociedad para la Telecomunicación Financiera Interbancaria Mundial. Los bancos utilizan la red cerrada para comunicarse entre ellos, enviando aproximadamente 25 millones de mensajes por día.

Los requisitos salen a la luz después de la cadena de delitos cibernéticos contra los bancos miembros de SWIFT, especialmente contra el banco de Bangladesh que perdió 81 millones de dólares. Ahora se les exigirá a los miembros que implementen características tales como autenticación de factores múltiples, monitoreo continuo y detección de comportamiento anómalo, entrenamiento de conciencia de seguridad y planes de respuesta a incidentes.

En total, hay 16 controles obligatorios y 11 controles de asesoramiento (las mejores prácticas voluntarias que pueden ser obligatorias en el futuro).

Los nuevos requisitos de SWIFT también incluyen controles de seguridad básicos como segmentación de redes, vulnerabilidad y administración de parches y ordena la segregación de privilegios de acceso para evitar que una persona o cuenta de usuario también tenga mucho poder independiente sin la participación de al menos otra persona, lo que limita el riesgo presentado por personas malintencionadas y no malintencionadas, así como las credenciales robadas.

Uno de los requisitos que destaca es la capacidad de "detectar actividad anómala en los sistemas o registros de transacciones", que SWIFT aplica de manera única para monitorear muchos aspectos diferentes del procesamiento de un banco, incluidas las transacciones y la actividad del sistema. Este concepto es familiar para muchos bancos debido a sus programas contra el lavado de dinero.

Si bien no exige herramientas específicas para el uso, la tecnología de análisis del comportamiento de la entidad y del usuario se aplica generalmente para esta capacidad de detección de delincuentes malintencionados y no malintencionados, así como de infracciones informáticas. El cumplimiento de este control requiere importantes capacidades de análisis y registro junto con la experiencia requerida para administrar dichas funciones.

El marco SWIFT también contiene un modelo detallado y transparente para informes de cumplimiento. Los bancos deberán registrarse en el portal de SWIFT y dar fe de su conformidad con el marco de controles. Los encuestados pueden indicar que cumplen con el requisito tal como se establece (y proporcionar una fecha futura para el cumplimiento si es necesario), certificar que cumplirán el requisito de una manera diferente, lo cumplirán en una fecha futura, no cumplirán o el requisito no es aplicable a ellos.

Esto establece un nivel único de transparencia. Si un banco compatible ve que otro banco no cumple con el marco, puede elegir no hacer negocios o limitar su negocio con ese banco. Este nivel de granularidad y transparencia agrega un elemento de aplicación por pares además de la amenaza de una acción de supervisión.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.