Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Ciberresiliencia

Descripción de los mandatos de cumplimiento de la UE Serie: Servicios financieros

Illumio Editorial
,
September 14, 2020
23 min. lectura

En primera parte de esta serie de blogs, analice el panorama del cumplimiento de normas y cómo cada una de las diferentes industrias tiene sus propios mandatos de gobierno u orientación sobre ciberseguridad. Esto fue seguido por un post sobre regulación y controles de seguridad en el sector de Sistemas Críticos y Tecnología Operacional, área en la que he tenido experiencia directa dentro, y que me fascina a medida que ahí se desarrolla la ciberseguridad.

Pasando (de alguna manera) al tipo de industria polar opuesto, aquí, ampliaré algunos de los mandatos específicos de la UE y Europa que se aplican a las instituciones financieras y los bancos. Si bien tenemos mandatos globales con respecto a VELOZ CSP y PCI-DSS cubierto en profundidad en otra parte — siguiendo el tema de esta serie, me concentraré en los controles y directrices que se aplican específicamente a la UE. Para muchos, la influencia de estos mandatos da forma a algunos de los proyectos de seguridad de TI más grandes de Europa.

Como antes, primero definamos algunos acrónimos:

  • FMIs — Infraestructuras del Mercado Financiero. Estos son los sistemas que sustentan el propio proceso bancario.
  • CPMI — La Comisión de Pagos e Infraestructuras de Mercado. El CPMI es un organismo internacional que hace recomendaciones que promueven la seguridad de los sistemas de pago, compensación y liquidación, y proporcionan supervisión.
  • IOSCO — Organización Internacional de Comisiones de Valores. Este es el organismo que regula los mercados mundiales de valores y futuros.
  • ECB — El Banco Central Europeo. El banco central para los 19 países de la UE que han adoptado el euro como moneda común.
  • SORBOS — Sistemas de Pago Sistémicamente Importantes. Voy a entrar en detalles específicamente sobre esto a continuación, pero basta decir que esto incluye una lista de los sistemas de pago troncal internacionales utilizados por la mayoría de los bancos.

Antes de seguir adelante, vamos a profundizar en SIPS por un momento. Los SIPS son los principales sistemas de pago que suelen tener implicaciones en todo el país si fallan. En el caso de los que aquí se definen, tienen al menos un alcance europeo en comparación con los países individuales, y en muchos casos son globales en su alcance y uso.

Los sistemas primarios que están bajo la orientación pertinente son TARGET2, EURO1 y STEP2-T. En virtud del Reglamento SIPS, el BCE es responsable de supervisar estos tres sistemas. Además, el BCE y el Nationale Bank van België/Banque Nationale de Belgique son responsables de supervisar la Sistema de gestión de compensación Mastercard SIPS, y el Banque de France es responsable de supervisar NÚCLEO (FR).

Como ejemplo mundial, el Sistema de la Reserva Federal de Estados Unidos ha aceptado la responsabilidad primaria de supervisión del sistema CLS, liderando un marco de supervisión cooperativa en el que participa el BCE, junto con los bancos centrales nacionales del G10. Dentro del Eurosistema, el BCE es el principal responsable de la liquidación de pagos denominados en euros por CLS, en estrecha cooperación con otros bancos centrales del Eurosistema.

Principios básicos para sistemas de pago de importancia sistémica

Para ser clasificado como SIPS, un sistema debe seguir las pautas que se indican a continuación. Estos son a veces referidos como los “10 Mandamientos” en los círculos bancarios:

  1. Una base jurídica bien fundada.
  2. Normas y procedimientos que permitan a los participantes tener una comprensión clara del impacto del sistema en cada uno de los riesgos financieros en los que incurren a través de la participación en el mismo.
  3. Procedimientos claramente definidos para la gestión de los riesgos crediticios y de liquidez, en los que se especifican las responsabilidades respectivas del operador del sistema y de los participantes y que proporcionan los incentivos adecuados para gestionar y contener dichos riesgos.
  4. pronta liquidación final en el día de valor, preferiblemente durante el día y como mínimo al final del día.
  5. Cuando se lleve a cabo una compensación multilateral, ésta deberá, como mínimo, ser capaz de asegurar la conclusión oportuna de las liquidaciones diarias en caso de que el participante con la mayor obligación de liquidación única no pueda liquidar.
  6. Los activos utilizados para la liquidación deben ser preferentemente un crédito en el banco central; cuando se utilicen otros activos, deben conllevar poco o ningún riesgo crediticio y poco o ningún riesgo de liquidez.
  7. Un alto grado de seguridad y confiabilidad operativa, y arreglos de contingencia para completar oportunamente el procesamiento diario.
  8. Práctico para sus usuarios y eficiente para la economía.
  9. Criterios objetivos y divulgados públicamente de participación, que permitan un acceso justo y abierto.
  10. Disposiciones de gobernanza eficaces, responsables y transparentes.

He resaltado la séptima entrada de la lista, ya que esta es la parte que fluye hacia la guía circundante sobre ciberseguridad en la que nos estaremos centrando.

Para ayudar a proporcionar instrucciones sobre cómo asegurar estos SIPS, en 2016 el CPMI junto con IOSCO reunieron el Orientación sobre resiliencia cibernética para infraestructuras de mercados financieros (Orientación). Este contiene una guía detallada sobre cómo asegurar sistemas de esta magnitud e impacto, y define una serie de áreas clave de enfoque, junto con estrategias de medición.

Por ejemplo, algunas de las secciones de seguridad de alto nivel incluyen:

Cyber Resilience

Identificación: Esto se refiere a la capacidad de una organización para determinar qué sistemas necesitan protección en primer lugar. Esto incluye funciones del negocio, procesos, activos e información. La correcta identificación permite priorizar los próximos esfuerzos.

La clave de las mejoras en esta área es la rápida identificación de los sistemas de alto valor y las dependencias que han establecido. En la gran mayoría de los casos, estos sistemas ya existen como entornos complejos y descontrolados donde se necesita un trabajo significativo para identificar todas las dependencias y rutas críticas.

Protección: Una vez identificado, cómo implementar controles efectivos con el objetivo de proteger los sistemas críticos de ataques cibernéticos y compromisos.

Para mí, Cero Confianza juega un papel clave aquí. Al adoptar una arquitectura de denegación predeterminada lo más cercana posible, la protección es inherente y se reduce el alcance del ataque. Además, el radio de explosión de cualquier compromiso exitoso es inherentemente menor.

Detección: Al ser pragmático, esto describe los métodos de detección, contención y tácticas de mitigación que deben usarse en caso de un ataque exitoso contra un sistema dentro del alcance.

Conectado directamente a las piezas de identificación y protección, detectar un ataque es mucho más sencillo si ya hemos establecido un comportamiento normal, y ponemos en marcha una configuración de denegación predeterminada por medio de la red, las aplicaciones y el acceso de los usuarios.

Pruebas:: Como adición, la sección de pruebas incluye la mejor manera de preparar y probar los sistemas involucrados en las tres secciones anteriores y configurarlos de manera resiliente mediante certificación repetida para resistir ataques.

yo tengo escrito anteriormente en el mapeo a través de estas secciones usando Illumio para ayudar a identificar aplicaciones y flujos críticos, proteger contra ataques en virtud de una arquitectura de políticas de confianza cero, detectar cambios en el comportamiento de las aplicaciones y, por último, ayudar a las organizaciones en el ámbito de la guía a dar fe de una configuración segura.

Como un avance extremadamente útil además del trabajo original, en 2018 el propio BCE publicó una adición titulada Expectativas de supervisión de la resiliencia cibernética para las infraestructuras del mercado financiero (CORE), que proporciona orientación adicional sobre las medidas para aplicar las recomendaciones, mapeando los conceptos más abstractos para obtener ejemplos tecnológicos claros del mundo real y, por último, proporcionar expectativas definidas en términos de cómo se podría medir el éxito de un FMI.

El CROE alienta la comunicación entre el FMI para ayudar a mejorar la seguridad en todos los institutos, y todavía se refiere a los tres niveles de medición descritos en el documento original de 2016, a saber:

Evolución: Las capacidades esenciales se establecen, evolucionan y se mantienen en todo el FMI para identificar, administrar y mitigar riesgos cibernéticos, en alineación con la estrategia y el marco de Resiliencia Cibernética aprobados por la Junta Directiva. El desempeño de las prácticas es monitoreado y administrado.

Avanzando: Además de cumplir con los requisitos del nivel en evolución, las prácticas en este nivel implican la implementación de herramientas más avanzadas (por ejemplo, tecnología avanzada y herramientas de administración de riesgos) que se integran en todas las líneas de negocio del FMI y que se han mejorado con el tiempo para administrar proactivamente los riesgos cibernéticos planteados al FMI.

Innovando: Además de satisfacer los requisitos de los niveles en evolución y avance, las capacidades de todo el FMI se mejoran según sea necesario dentro del panorama de amenazas cibernéticas en rápida evolución, a fin de fortalecer la resiliencia cibernética del FMI y su ecosistema y mediante la colaboración proactiva con sus partes interesadas externas. Este nivel implica impulsar la innovación en personas, procesos y tecnología para que el FMI y el ecosistema en general administren los riesgos cibernéticos y mejoren la resiliencia cibernética. Esto puede requerir el desarrollo de nuevos controles y herramientas o la creación de nuevos grupos de intercambio de información.

CROEmeasurement

Para resumirlo

Tanto los documentos como mi experiencia hablando con los equipos responsables muestran que la comprensión en torno al impacto de estos sistemas en la vida cotidiana (es decir, el potencial de efectos catastróficos en el país e incluso globales si el sistema se ve comprometido) está aumentando significativamente. Me parece indicativo que estos desarrollos aún son muy recientes y que la implementación de la guía está potencialmente apenas comenzando. Dicho esto, y como se mencionó en la primera parte de este artículo, he visto de primera mano la forma en que estas directrices están dando forma a proyectos de seguridad de TI y TI de alto nivel que duran una década: determinar los tipos de sistemas implementados, su mapeo a las áreas clave medibles de los documentos, y la forma en que los propios sistemas están diseñados y arquitectonados.

En Illumio, nos enfocamos en tres áreas clave que se mapan directamente a ambos documentos, a saber, la identificación por medio de nuestro Mapeo de dependencia de aplicaciones. Esto brinda a las organizaciones la capacidad de trabajar con mapas en tiempo real de sus sistemas y aplicaciones críticos, y establecer las dependencias normales y los flujos de aplicaciones entre ellos. También permite el alcance preciso de los límites requeridos para la siguiente sección: Protección.

La plataforma Illumio es inherentemente Zero Trust en su naturaleza. Se puede definir una política que permita únicamente los flujos de aplicación necesarios, limitando masivamente las posibles rutas de compromiso y el movimiento lateral. La combinación del mapeo y la configuración de políticas permite la detección fácil de amenazas, el tercer pilar clave, a través de la aparición de nuevas rutas de comunicación intentadas, un cambio en carga de trabajo de aplicaciones comportamiento y la capacidad de poner en cuarentena de forma rápida y segura las cargas de trabajo comprometidas.

Para obtener más información sobre cómo Illumio protege a las organizaciones de servicios financieros, consulte este página de soluciones. Y, por favor, únase a mí la próxima vez para tener ideas sobre algunos de los otros mandatos en toda la UE, ¡como GDPR y TSR!

Temas relacionados

Cumplimiento de normas
Servicios Bancarios y Financieros

Artículos relacionados

6 Recomendaciones de expertos sobre confianza cero para agencias gubernamentales
Ciberresiliencia

6 Recomendaciones de expertos sobre confianza cero para agencias gubernamentales

Obtenga las 6 recomendaciones clave del reciente seminario web de GovExec sobre la implementación de Zero Trust y la segmentación de aplicaciones.

Leer más
8 preguntas que los CISO deberían estar haciendo sobre la IA
Ciberresiliencia

8 preguntas que los CISO deberían estar haciendo sobre la IA

Descubra 8 preguntas que los CISOS deben tener en cuenta al proteger a sus organizaciones de los ataques de ransomware asistidos por IA. Esta es una lectura obligada.

Leer más
Cómo Illumino reduce el riesgo cibernético de ACH Group, con una sobrecarga casi nula
Ciberresiliencia

Cómo Illumino reduce el riesgo cibernético de ACH Group, con una sobrecarga casi nula

“Buenas vidas para las personas mayores” es el lema de ACH Group, una organización sin fines de lucro con sede en Australia. Pero si los sistemas de TI de ACH son derribados por los ciberdelincuentes, su capacidad para dar soporte a aquellos a quienes sirven podría verse perjudicada.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información