¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
Resiliencia cibernética
Illumio Editorial
Illumio Editorial
14de septiembre de 2020
23 min. leer

Serial Comprender los mandatos de cumplimiento de la UE: Servicios financieros

In part one of this blog series, I discussed the compliance landscape and how different industries each have their own governing mandates or guidance on cybersecurity. This was followed by a post on regulation and security controls in the Critical Systems and Operational Technology sector, an area I’ve had direct experience within, and one that fascinates me as cybersecurity develops there.

Moving to (in some ways) the polar opposite industry type, here, I will expand on some of the EU and European-specific mandates applying to financial institutions and banks. While we have global mandates regarding SWIFT CSP and PCI-DSS covered in depth elsewhere – following the theme of this series, I’ll be concentrating on the controls and guidance that applies to the EU specifically. For many, the influence of these mandates shapes some of the largest IT security projects in Europe.

Como antes, primero definamos algunos acrónimos:

  • FMI – Infraestructuras del Mercado Financiero. Estos son los sistemas que sustentan el proceso bancario en sí.
  • CPMI – Comité de Pagos e Infraestructuras de Mercado. El CPMI es un organismo internacional que hace recomendaciones que promueven la seguridad de los sistemas de pago, compensación y liquidación, y que proporciona supervisión.
  • IOSCO – Organización Internacional de Comisiones de Valores. Este es el organismo que regula los mercados globales de valores y futuros.
  • BCE – Banco Central Europeo. El banco central de los 19 países de la UE que adoptaron el euro como moneda común.
  • SIPS : sistemas de pago de importancia sistémica. Entraré en detalles específicamente sobre esto a continuación, pero basta con decir que esto incluye una lista corta de sistemas de pago troncales internacionales empleados por la mayoría de los bancos.

Antes de continuar, profundicemos en SIPS por un momento. Los SIPS son sistemas de pago importantes que generalmente tienen participaciones en todo el país en caso de que fallen. En el caso de los que se definen aquí, tienen al menos un alcance a nivel europeo en comparación con los países individuales, y en muchos casos son globales en su alcance y uso.

The primary systems that the are under the relevant guidance are TARGET2, EURO1, and STEP2-T. Under the SIPS Regulation, the ECB is responsible for overseeing these three systems. In addition, the ECB and the Nationale Bank van België/Banque Nationale de Belgique are responsible for overseeing the Mastercard Clearing Management System SIPS, and the Banque de France is responsible for overseeing CORE(FR).

Como ejemplo global, el Sistema de la Reservación Federal de EE. UU. aceptó la responsabilidad principal de supervisión del sistema CLS, liderando un marco de supervisión cooperativa en el que participa el BCE, junto con los bancos centrales nacionales del G10. Dentro del Eurosistema, el BCE es el principal responsable de la liquidación de los pagos denominados en euros por parte de CLS, en estrecha cooperación con otros bancos centrales del Eurosistema.

Principios básicos para sistemas de pago de importancia sistémica

Para ser clasificado como SIPS, un sistema debe seguir las siguientes pautas. A veces se les conoce como los "10 mandamientos" en los círculos bancarios:

  1. Una base jurídica bien fundamentada.
  2. Normas y procedimientos que permitan a los participantes tener una comprensión clara del impacto del sistema en cada uno de los riesgos financieros en los que incurren al participar en él.
  3. Procedimientos claramente definidos para la gestión de los riesgos de crédito y los riesgos de liquidez, que especifiquen las responsabilidades respectivas del gestor del sistema y de los participantes y que ofrezcan incentivos adecuados para gestionar y contener dichos riesgos.
  4. Liquidación final inmediata el día del valor, preferiblemente durante el día y como mínimo al final del día.
  5. Cuando se produzca una compensación multilateral, debe ser, como mínimo, capaz de garantizar la finalización oportuna de las liquidaciones diarias en caso de que el participante con la obligación de liquidación individual más importante no pueda liquidar.
  6. Los activos empleados para la liquidación deben ser preferiblemente un crédito al banco central; cuando se empleen otros activos, deben conllevar poco o ningún riesgo de crédito y poco o ningún riesgo de liquidez.
  7. Un alto grado de seguridad y fiabilidad operativa, y medidas de contingencia para completar oportunamente el procesamiento diario.
  8. Práctico para sus usuarios y eficiente para la economía.
  9. Criterios de participación objetivos y divulgados públicamente, que permitan un acceso justo y abierto.
  10. Acuerdos de gobernanza que sean efectivos, responsables y transparentes.

Destaqué la séptima entrada de la lista, ya que esta es la parte que fluye hacia la guía circundante sobre ciberseguridad en la que nos centraremos.

To help provide instruction on how to secure these SIPS, in 2016 the CPMI alongside IOSCO put together the Guidance on Cyber Resilience for financial market infrastructures (Guidance). This contains detailed guidance on securing systems of this magnitude and impact, and defines a number of key areas of focus, along with measurement strategies.

Por ejemplo, algunas de las secciones de seguridad de alto nivel incluyen:

Resiliencia cibernética

Identificación: Esto se refiere a la capacidad de una organización para determinar qué sistemas necesitan protección en primer lugar. Esto incluye funciones comerciales, procesos, activos e información. La identificación correcta permite priorizar los próximos esfuerzos.

La clave para las mejoras en esta área es la rápida identificación de los sistemas de alto valor y las dependencias que establecieron. En la gran mayoría de los casos, estos sistemas ya existen como entornos complejos y abandonados donde se necesita un trabajo significativo para identificar todas las dependencias y rutas críticas.

Protección: Una vez identificado, cómo implementar controles efectivos con el objetivo de proteger los sistemas críticos de ataques cibernéticos y compromisos.

For me, Zero Trust plays a key part here. By adopting as close to a default-deny architecture as possible, protection is inherent, and the scope for attack is reduced. In addition, the blast radius of any successful compromise is inherently smaller.

Detección: Siendo pragmático, describe los métodos de detección, la contención y las tácticas de mitigación que deben usar en caso de un ataque exitoso contra un sistema dentro del alcance.  

Conectado directamente a las piezas de identificación y protección, la detección de un ataque es mucho más sencilla si ya establecimos un comportamiento normal y establecimos una configuración de denegación predeterminada a través de la red, las aplicaciones y el acceso de los usuarios.

Pruebas: como apéndice, la sección de pruebas incluye la mejor manera de preparar y probar los sistemas involucrados en las tres secciones anteriores y configurarlos de manera resistente a través de la certificación repetida para resistir ataques.

I’ve written previously on the mapping across of these sections using Illumio to help identify critical applications and flows, protect from attack by virtue of a Zero Trust policy architecture, detect changes in application behavior, and lastly help organizations in scope of the guidance attest to a secure configuration.

As an extremely helpful development on top of the original work, in 2018 the ECB itself published an addition titled Cyber Resilience oversight expectations for financial market infrastructures (CROE), which gives additional guidance on steps to implement the recommendations, mapping across the more abstract concepts to clear, real-world technological examples, and lastly – providing defined expectations in terms of how an FMI might be measured for success.

El CROE fomenta la comunicación entre FMI para ayudar a mejorar la seguridad en todos los institutos, y aún se refiere a los tres niveles de medición descritos en el documento original de 2016, a saber:

Evolving: Essential capabilities are established, evolve, and are sustained across the FMI to identify, manage, and mitigate cyber risks, in alignment with the Cyber Resilience strategy and framework approved by the Board. Performance of practices is monitored and managed.

Avanzando: Además de cumplir con los requisitos del nivel en evolución, las prácticas en este nivel implican la implementación de herramientas más avanzadas (por ejemplo, tecnología avanzada y herramientas de gestión de riesgos) que están integradas en todas las líneas de negocio del FMI y se mejoraron con el tiempo para gestionar de manera proactiva los riesgos cibernéticos planteados al FMI.

Innovando: Además de cumplir con los requisitos de los niveles en evolución y avance, las capacidades en todo el FMI se mejoran según sea necesario dentro del panorama de amenazas cibernéticas en rápida evolución, con el fin de fortalecer la resiliencia cibernética del FMI y su ecosistema y colaborando de manera proactiva con sus partes interesadas externas. Este nivel implica impulsar la innovación en personas, procesos y tecnología para que el FMI y el ecosistema en general gestionen los riesgos cibernéticos y mejoren la resiliencia cibernética. Esto puede requerir el desarrollo de nuevos controles y herramientas o la creación de nuevos grupos de intercambio de información.

Medición de CRO

En resumen

Tanto los documentos como mi experiencia hablando con los equipos responsables muestran que la comprensión sobre el impacto de estos sistemas en la vida cotidiana (es decir, el potencial de efectos catastróficos en el país e incluso globales si el sistema se ve comprometido) está aumentando significativamente. Me parece revelador que estos desarrollos sean todavía muy recientes, y la implementación de la guía está potencialmente comenzando. Dicho esto, y como se mencionó en la primera parte de este artículo, vi de primera mano la forma en que estas pautas están dando forma a proyectos de seguridad y TI de TI de alto nivel de una década: determinar los tipos de sistemas implementados, su mapeo a las áreas medibles clave de los documentos y la forma en que se diseñan y diseñan los sistemas en sí.

At Illumio, we focus on three key areas that map directly to both documents, namely Identification by means of our Application Dependency Mapping. This gives organizations the ability to work with real-time maps of their critical systems and applications, and establish the normal dependencies and application flows between them. It also allows the accurate scoping of the required boundaries for the next section – Protection.

The Illumio platform is inherently Zero Trust in its nature. Policy can be defined that allows only the necessary application flows, massively limiting potential compromise paths and lateral movement. The combination of the mapping and policy configuration allow for the easy Detection of threats, the third key pillar, through the surfacing of new attempted communication paths, a change in application workload behavior, and the ability to quickly and safely quarantine compromised workloads.

For more on how Illumio protects financial services organizations, check out this solutions page. And please join me next time for thoughts on some of the other mandates across the EU – such as GDPR and TSR!

Temas relacionados

Cumplimiento
Servicios bancarios y financieros

Artículos relacionados

¿Deberíamos preocuparnos de que la ciberseguridad dependa demasiado de la IA?
Resiliencia cibernética

¿Deberíamos preocuparnos de que la ciberseguridad dependa demasiado de la IA?

Obtenga información sobre por qué la IA es una bendición para la ciberseguridad a pesar de sus debilidades y cómo la combinación del poder de la IA con el intelecto humano puede aliviar los temores sobre la dependencia excesiva de la IA.

Lee más
Desmitificando los contenedores: ¿Qué es una malla de servicios y cómo se protege?
Resiliencia cibernética

Desmitificando los contenedores: ¿Qué es una malla de servicios y cómo se protege?

Obtenga un desglose de qué es una malla de servicios, por qué es valiosa para las implementaciones de contenedores y cómo protegerla con Illumio Zero Trust Segmentation.

Lee más
Unir a Illumio para HIMSS 2023 en Chicago
Resiliencia cibernética

Unir a Illumio para HIMSS 2023 en Chicago

Una invitación para unir a Illumio en HIMSS 2023 en Chicago para establecer contactos, socializar y conocer a expertos en seguridad de la atención médica durante la conferencia.

Lee más
No se encontraron artículos.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Aprenda más