Seguridad de la información
En Swift no hacemos concesiones en lo referente a la seguridad de la información, que entendemos como un valor clave para nuestros clientes y un importante factor diferenciador de nuestros servicios.
El fracaso no es una opción
La organización completa Swift, desde el Consejo de Administración, su CEO y la alta dirección, hasta las unidades de negocio, gestionan activamente la seguridad de la información y la informática, que son los componentes esenciales de nuestro negocio.
Swift incorpora exhaustivas medidas de seguridad de la información, diseñadas para hacer frente a las situaciones más extremas y para impedir cualquier acceso no autorizado, tanto físico como lógico, que pueda causar una pérdida de confidencialidad, integridad o disponibilidad. Dichas medidas incluyen controles físicos, que protegen nuestras instalaciones, y también controles lógicos, que protegen contra el acceso no autorizado a los datos y los sistemas, e integran capacidades de detección, respuesta y recuperación.
La seguridad física de nuestros datos y recursos informáticos se garantiza mediante la aplicación de los niveles más elevados de protección durante el diseño y la construcción de nuestros centros de datos, creados especialmente para nuestras operaciones, así como la integración de rigurosos medios de control del acceso a dichos centros, que solamente se permite por necesidades estrictas del negocio, y la implantación de rigurosos controles que rigen la manipulación del hardware y los soportes informáticos durante todo su ciclo de vida.
Aplicamos métodos similares a la arquitectura, el diseño, el desarrollo, el mantenimiento y las operaciones de nuestros servicios y aplicaciones. Nuestra metodología de desarrollo estructurado garantiza la integración de los niveles más elevados de seguridad lógica en los servicios, aplicaciones y tecnologías de Swift, que sustentan el negocio de nuestros clientes. Equipos de especialistas en seguridad, en estrecha colaboración con los líderes de este campo, reexaminan todos los diseños y prácticas de seguridad para proporcionar orientación, soporte, pruebas y garantías de que nuestras ofertas están diseñadas, realizadas y gestionadas de una forma adecuada antes de suministrárselas a la comunidad de clientes.
Marco de gestión del riesgo
El marco para la gestión del riesgo está profundamente integrado en las prácticas operativas de Swift, y se apoya en una avanzada cultura de riesgo que se expresa con el eslogan: "El fracaso no es una opción" (FNAO). Tres sólidas líneas de defensa sustentan y supervisan el método de gestión de riesgos de Swift: en primer lugar, la gestión, que es responsable de desarrollar e implantar marcos de trabajo capaces aportar un alto grado de fiabilidad y seguridad; segundo, las funciones de riesgo y cumplimiento, responsables de los marcos generales de riesgo; y, tercero, las funciones de auditoría. Todo esto se apoya en un sólido marco de referencia de terceros para el aseguramiento y mediante la presentación de información por una firma auditora de seguridad externa, de acuerdo con los requisitos de las Normas Internacionales de Encargos sobre Aseguramiento aplicables.
El marco general de Swift para la Gestión del Riesgo Institucional proporciona una vista consolidada de información de la gestión de riesgos en Swift, fundamentada en otras prácticas de gestión de riesgos de Swift, a las que gobierna, como la Gestión de Riesgos de Seguridad de la Información.
El marco de Gestión de Riesgos de Seguridad de la Información documenta la forma en que se identifican los riesgos para la seguridad y se mitigan, rastrean y comunican al Consejo de Administración de Swift. Este marco está diseñado para tener en cuenta la evolución continua de nuestras prácticas de riesgo, que se adaptan en función de las nuevas amenazas y la carrera armamentística cibernética.
La auditoría interna de Swift y su auditoría de seguridad externa completan el sistema de gestión de riesgos para la seguridad de la información mediante la revisión, evaluación y presentación de información de una forma objetiva e independiente sobre las funciones de riesgo y control de Swift, de una manera constante. El propio equipo de Auditoría interna se somete periódicamente a una revisión externa, con objeto de asegurar al Consejo de Administración y la gerencia de Swift que el equipo respeta las prácticas y normas internacionales de auditoría.
Hoja de ruta informática
En Swift nos tomamos la seguridad informática muy en serio. Buscamos activamente información sobre incidentes cibernéticos externos, comportamientos maliciosos y amenazas informáticas en diversas fuentes públicas, especializadas o confidenciales, lo cual nos permite elegir las áreas en las que invertimos de manera constante en la prevención, detección o recuperación. Siempre que nuestras exhaustivas investigaciones nos llevan a sospechar que dichas amenazas o vulnerabilidades pueden constituir un riesgo para la seguridad de nuestras operaciones, tomamos las medidas adecuadas con rapidez para mitigar los riesgos y proteger nuestros servicios.
Normas generalmente reconocidas como ISO o el marco cibernético NIST, constituyen el fundamento de nuestro largo historial de importantes inversiones en infraestructura y estrategia informáticas, teniendo en cuenta siempre que no podemos dormirnos en los laureles: tenemos que estar a la altura de la función que desempeñamos y nuestra reputación como elemento indispensable de la infraestructura del sector financiero mundial. Swift seguirá invirtiendo en la seguridad y centrándose ella para anticiparse a la constante evolución de las amenazas. En vista de que las amenazas cibernéticas aumentan sin cesar, Swift mantiene una hoja de ruta de ciberseguridad que define nuestras áreas de interés principales en la seguridad durante un periodo de tres años renovable. Nuestras inversiones en seguridad cibernética se estructuran en torno a cuatro categorías principales:
- Aprender: conocer al enemigo y entender nuestra exposición.
- Prevenir: dificultar en todo lo posible las actividades del enemigo, prevenir los ciberataques.
- Planear: no subestimar nunca al enemigo, e intentar detectar los ataques que podrían superar nuestras medidas de prevención.
- Gestionar: asumir la posibilidad de penetración en nuestros sistemas. Estar preparados para lo peor, listos para dar una respuesta, contener los ataques y recuperarnos de ellos.
Servicios de mensajería de Swift
Los servicios de mensajería de Swift se suministran dentro del entorno Swift, que incluye todas las instalaciones, infraestructuras, software, productos y servicios que son propiedad de Swift y están controlados y manejados directamente por Swift y su personal. El entorno Swift cuenta con estrictas medidas de protección de la seguridad, confidencialidad e integridad a los mensajes de los clientes. Contamos con procedimientos y controles que protegen los datos de los mensajes contra su revelación no autorizada, con objeto de garantizar el origen de los mensajes, protegerlos contra los cambios sin autorización y detectar la alteración de los mensajes; además, pueden utilizarse funciones de validación de contenidos para garantizar que los mensajes validados se procesen siguiendo la secuencia pertinente para su entrega al destinatario deseado.
Nos comprometemos a garantizar la disponibilidad de nuestros servicios de mensajería, y podemos asegurar la confidencialidad e integridad de los mensajes y los datos relacionados de los clientes, así como sus derechos de privacidad, en el entorno Swift.
Los datos* de los mensajes que envían nuestros clientes se autentican por medio de una avanzada tecnología de seguridad e identificación. Antes de que los mensajes abandonen el entorno del cliente** y se introduzcan en el entorno Swift se los somete a un avanzado sistema de cifrado. Los mensajes permanecen en el entorno protegido de Swift, donde están sujetos a todos los requisitos de confidencialidad e integridad de Swift, durante todo el proceso de transmisión y hasta que se entregan al destinatario con total seguridad. Los mensajes de todos los clientes están cifrados mientras permanecen almacenados en los sistemas de Swift.
Disponibilidad
Los servicios de mensajería de Swift están disponibles las 24 horas del día, 365 días al año, aparte de ciertos tiempos de inactividad programada. Mantenemos varios centros operativos (OPC) que proporcionan una redundancia total de los centros. Los sistemas centrales de cada OPC están diseñados para eliminar los puntos únicos de fallo por medio de múltiples salas informáticas locales. En 2014 entró en pleno funcionamiento el centro operativo de vanguardia de Swift en Suiza. Este nuevo centro informático tiene capacidad para dar cabida al flujo de mensajería de todo el mundo. Swift cuenta con los métodos más avanzados para restaurar los mensajes en el improbable caso más extremo en que todas las demás medidas de resiliencia y copias de seguridad resultasen inadecuadas.
Confidencialidad
Protegemos los datos de nuestros clientes contra su revelación no autorizada. Nuestras medidas de seguridad integran sólidos controles de acceso físico y lógico, incluidas medidas físicas que protegen las instalaciones y controles lógicos que restringen el acceso en función de las necesidades de negocio. Todos los mensajes de nuestros clientes se cifran con una tecnología de última generación cuando se almacenan en los sistemas de Swift o cuando salen de nuestros centros de datos. Además, los mensajes de los clientes se someten a tratamiento y se almacenan en centros OPC localizados en las zonas geográficas más acordes a las expectativas de nuestros dientes en materia de regulación de la protección de datos.
Integridad
Swift utiliza de diversas formas sus propias claves públicas, así como nuestros certificados y firmas digitales, para autenticar a los remitentes y para validar la integridad de los mensajes que se transmiten. Swift verifica las firmas para confirmar la integridad de los mensajes y valida los certificados que autentican a los remitentes. Swift se asegura de que los mensajes se entreguen a los destinatarios deseados siguiendo la secuencia pertinente y ofrece una seguridad integral, lo cual permite a los remitentes aplicar firmas a los mensajes transmitidos, y a los destinatarios verificar la integridad de los mensajes y autenticar a los remitentes.
De esta manera, las entidades remitentes y destinatarias pueden emitir y controlar de una forma exclusiva los datos de los mensajes, y los remitentes de los mensajes pueden proporcionar a los destinatarios los medios necesarios para confirmar que el mensaje no ha sido modificado durante su transmisión.
Resiliencia
Los servicios de mensajería de Swift son esenciales para el funcionamiento fluido de los mercados financieros en todo el mundo y, por este motivo, prestamos una especial atención a la resiliencia de nuestros servicios de mensajería. Hemos diseñado, construido y sometido a pruebas nuestra infraestructura de tal forma que esté siempre disponible, incluso en casos de estrés, alteraciones, anomalías de funcionamiento o ataques maliciosos, así como para satisfacer objetivos concretos de tiempo de recuperación.
La naturaleza sumamente resiliente de nuestra infraestructura hace poco probable que nuestros servicios de mensajería sufran una interrupción prolongada. Desde sus comienzos Swift ha sido pionero en el área de los servicios informáticos de alta disponibilidad, y nuestro compromiso con la resiliencia no se ha relajado. Swift ha aplicado su experiencia al diseño y la implantación de arquitecturas de alta resiliencia de acuerdo siempre con principios de resiliencia documentados.
Mantenemos varios centros operativos (OPC) que ofrecen una redundancia total, y que se encuentran situados en geografías diversas, seleccionadas tras un cuidadoso análisis de los posibles peligros de origen humano y natural. La arquitectura de sistema de todos los OPC está diseñada para eliminar los puntos únicos de avería. Los sistemas y las redes de cada OPC se han diseñado y configurado de tal forma que cumplen los requisitos de procesamiento y almacenamiento de la comunidad de usuarios de Swift en la zona o zonas en cuestión.
Los OPC son sumamente seguros y están sujetos a estrictos controles de acceso. Cada centro operativo cuenta con medios de redundancia local para los elementos de importancia crítica, desde los servidores hasta los aparatos de enfriamiento y las fuentes de alimentación.
Los datos de los mensajes siempre se almacenan en dos centros geográficos independientes antes de su entrega. En previsión de un caso extremo en el que se produjera un fallo simultáneo de varios centros operativos, se puede activar una infraestructura de recuperación de desastres totalmente independiente que conseguiría seguir suministrando los servicios de mensajería. Se ejecutan planes de pruebas de continuidad del servicio, basados en contextos definidos y resultados esperados, de acuerdo a un plan publicado y auditado. Swift somete a pruebas sus sistemas para el reemplazo de centros en caso de desastre, dentro de los tiempos esperados, por lo menos una vez al año.
Swift está perfectamente preparado para el caso improbable de que sus sistemas de mensajería se vean afectados por un incidente: cada año llevamos a cabo centenares de ejercicios de continuidad del negocio, en los que pueden participar de diversas maneras personal de todos los niveles, autoridades locales y clientes, así como cubrir diversos escenarios, incluidos casos relacionados con la cibernética. Hemos elaborado planes de continuidad del negocio específicos para la cibernética. Los análisis que realizamos después de las pruebas aseguran que se tomen las medidas de mejora pertinentes.
La resiliencia de los servicios de Swift se somete a auditorías regulares, tanto internas como externas, y se incluye en el informe de auditoría externa.
Aseguramiento independiente proporcionado por una auditoría externa
El auditor externo de seguridad de Swift lleva a cabo una auditoría externa independiente anual de nuestros servicios de mensajería. Dicha auditoría se realiza de acuerdo con los requisitos de las Normas Internacionales de Encargos sobre Aseguramiento aplicables. Los informes resultantes proporcionan el aseguramiento independiente de la seguridad y fiabilidad de los servicios de Swift analizados. Se han elaborado informes que cubren los años civiles hasta 2015, de conformidad con la norma ISAE 3402, en los que el Auditor de seguridad independiente expresa su opinión de que se puede garantizar de forma razonable que Swift cuenta con los controles adecuados y eficaces para cumplir los objetivos de control declarados en las áreas de Gobernanza, Confidencialidad, Integridad, Disponibilidad y Gestión de Cambios. Hasta 2016, los informes se han elaborado conforme a la norma ISAE 3000. En consonancia con las Expectativas para los Proveedores de Servicios Esenciales de CPMI-IOSCO, cubren las áreas de Gestión de riesgos, Gestión de seguridad, Gestión de tecnología, Resiliencia y Comunicación con los usuarios. ISAE 3402 e ISAE 3000 son normas. En consonancia con las Expectativas para los Proveedores de Servicios Esenciales de CPMI-IOSCO, cubren las áreas de Gestión de riesgos, Gestión de seguridad, Gestión de tecnología, Resiliencia y Comunicación con los usuarios.
ISAE 3402 e ISAE 3000 son normas internacionales que permiten a proveedores de servicios como Swift ofrecer un aseguramiento independiente sobre sus controles y procesos para sus clientes y sus auditores. El informe se pone a disposición cada año de aquellos clientes que lo soliciten, así como de los clientes potenciales que cumplan con los acuerdos de confidencialidad pertinentes.
Haga clic aquí para solicitar una copia electrónica del informe 2015 ISAE 3402 Type 2.