las 5 principales ciberamenazas en el sector financiero
TRANSCRIPT
Las 5 principales ciberamenazas del
sector financiero
MBA Ing. Raúl Díaz Parra | CRISC, CISM, CISA,
CEH, CHFI, ECSA, ECSP, ITIL, ISO/IEC 27002
Raul Díaz
2
Socio Líder de Consultoría Strategos Consulting Services
ESAN ◦ MBA con mención en finanzas
◦ PAE Gestión de Seguridad de la Información
◦ PEE Gerencia de Tecnologías de la Información
Youreka India ◦ Business & Entrepreneurship
Program
Tel Aviv University ◦ Inmersion Technology Program in
Entrepreneurship and Innovation Ecosystem
Universidad de Lima ◦ Ingeniero de Sistemas
• Certificaciones Internacionales: – CRISC, CISA, CISM, ECSA, CEH,
ECSP, CHFI, CPTE, ISF ISO/IEC
27002, ITIL(F)
• Consultoría de Gestión TI,
Riesgos, Seguridad de la
Información y Continuidad de
Negocio en: – Perú, Argentina, Colombia, Honduras,
Ecuador, Chile, Brasil, Bolivia y
México.
• Instructor en ECCouncil
(Seguridad Informática) en:
– Perú, Venezuela, Chile, Argentina,
Honduras, México, Ecuador,
Colombia, Brasil.
Agenda
Crecimiento Global de ciberataques
Tendencias Globales de ciberamenazas en el sector financiero
Las 5 principales ciberamenazas
Cumplimiento PCI DSS
Conclusiones
3
4
Crecimiento global de ciberataques
Tendencias globales de ciber amenazas en el sector financiero
Ciber activismo
(12%)
Ciber crimen (61%)
Ciber espionaje
(23%)
5 Fuente: BID
6
Canales de atención
7
1. Grupos de ataque dirigido
Ataques globales que se originan en:
USA
China
Rusia
Ucrania
8
9
SWIFT Hack
Fuente: BAE Systems
10
2. Personal malicioso (fuga de información)
Personal que brinda información: ◦ Confidencial como:
Procesos
Tecnología
Datos de tarjeta
Información de personal
Incidentes del sistema financiero
11
12
Fraude 7 millones de soles
13
3. Ransomware
14
Ransomware as a service
15
4. Fraude cibernético inducido
16
5. Troyanos Bancarios
17
¿Qué realizar contra estas ciberamenazas?
Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 18
Reglamento de Tarjetas de Débito y Crédito
El 30 de Octubre del 2013 aprueba por resolución 6523-2013 el Reglamento de Tarjetas de Debito y de Crédito
Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 19
Reglamento de Tarjetas de Débito y Crédito
El Reglamento tiene un apartado de medidas de seguridad sobre las tarjetas de crédito y débito, esencialmente en los artículos: Artículo 15°.- Medidas de seguridad incorporadas en las tarjetas Artículo 16°.- Medidas de seguridad respecto a los usuarios Artículo 17°.- Medidas de seguridad respecto al monitoreo y realización de las operaciones Artículo 18°.- Medidas en materia de seguridad de la información (PCI DSS) Artículo 19°.- Medidas de seguridad en los negocios afiliados Artículo 20°.- Requerimientos de seguridad en caso de subcontratación
Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 20
Fechas de Adecuación
◦ A partir del 31 de diciembre de 2015, las empresas deberán asegurar que las redes de cajeros automáticos, que brindan a sus clientes para sus operaciones (ya sean redes propias o redes contratadas con terceros en el territorio nacional), puedan autenticar las tarjetas emitidas, a través del uso del chip o circuito integrado, incorporado en la tarjeta para realizar las operaciones solicitadas por los clientes.
◦ A partir del 31 de diciembre de 2015, las
empresas que permitan la realización de operaciones, sin utilizar el circuito integrado o chip incorporado en las tarjetas, deberán asumir los riesgos y, por lo tanto, los costos de dichas operaciones, en caso no sean reconocidas por los usuarios.
◦ Para implementar lo requerido en el
artículo 18°, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2015
21
Familia PCI DSS
PCI Security
& Compliance
Manufacturers
PCI PTS
PIN Entry Device
Software
Developers
PCI PA -DSS
Payment
Applications
P2PE
Merchants & Service Providers
PCI DSS
Secure Environments
• Protección de los Datos de Pago del Tarjetahabiente
• Ecosistema de los dispositivos de pago, aplicaciones, infraestructura y usuarios
22
Los 12 requisitos PCI DSS
Construir Y Mantener Redes Seguras
1. Instalar y mantener configuraciones de firewall para proteger la información
2. No usar contraseñas o parámetros de seguridad provistos por suplidores
Proteger La Información Del Tarjetahabiente
3. Proteger información almacenada 4. Cifrar datos de tarjetahabientes e información sensitiva al enviarla
por redes públicas
Establecer Programas De Pruebas De Vulnerabilidades
5. Usar y actualizar regularmente programas de antivirus 6. Desarrollar y mantener sistemas y aplicativos seguros
Implementar Medidas Fuertes De Control De Acceso
7. Restringir acceso a información de acuerdo a reglas del negocio 8. Asignar IDs únicos para cada persona con acceso a sistemas 9. Restringir acceso a la información de tarjetahabiente
Regularmente Monitorear Y Probar Acceso A La Red
10. Rastrear y monitorear todos los accesos a la red e información del tarjetahabiente
11. Regularmente probar sistemas y procedimientos de seguridad
Mantener Políticas De Seguridad De La Información
12. Establecer políticas dirigidas a la seguridad de la información
Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 23
Aplicabilidad PCI DSS
El número de cuenta principal es el "dato principal" de los datos del titular de la tarjeta, que define si debemos asegurar nuestro entorno de datos del titular de tarjeta (CDE) según las PCI DSS.
24
Conclusiones
Definir un portafolio de proyectos de seguridad de cumplimiento y prevención
Realizar inteligencia de ciberamenazas
Revisión de controles tecnológicos con pruebas de penetración.
Definir equipos de respuesta. especializados en caso de incidente tecnológico.
25
Gracias
Ing. Raúl Díaz Parra Socio Líder de Consultoría CRISC, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISO/IEC 27002 [email protected] www.strategoscs.com