SlideShare une entreprise Scribd logo

Las 5 principales ciberamenazas en el sector financiero

Raúl Díaz
Raúl Díaz

Las 5 principales ciberamenazas en el sector financiero generan perdidas millonarias y el Perú no es ajeno. Para prevenir se debe realizar inteligencia sobre las ciberamenazas y fortalecer los controles existentes e implementar nuevos.

Technologie
1  sur  25
Télécharger pour lire hors ligne
Las 5 principales ciberamenazas del sector financiero MBA Ing. Raúl Díaz Parra | CRISC, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISO/IEC 27002
Raul Díaz 2  Socio Líder de Consultoría Strategos Consulting Services  ESAN ◦ MBA con mención en finanzas ◦ PAE Gestión de Seguridad de la Información ◦ PEE Gerencia de Tecnologías de la Información  Youreka India ◦ Business & Entrepreneurship Program  Tel Aviv University ◦ Inmersion Technology Program in Entrepreneurship and Innovation Ecosystem  Universidad de Lima ◦ Ingeniero de Sistemas • Certificaciones Internacionales: – CRISC, CISA, CISM, ECSA, CEH, ECSP, CHFI, CPTE, ISF ISO/IEC 27002, ITIL(F) • Consultoría de Gestión TI, Riesgos, Seguridad de la Información y Continuidad de Negocio en: – Perú, Argentina, Colombia, Honduras, Ecuador, Chile, Brasil, Bolivia y México. • Instructor en ECCouncil (Seguridad Informática) en: – Perú, Venezuela, Chile, Argentina, Honduras, México, Ecuador, Colombia, Brasil.
Agenda  Crecimiento Global de ciberataques  Tendencias Globales de ciberamenazas en el sector financiero  Las 5 principales ciberamenazas  Cumplimiento PCI DSS  Conclusiones 3
4 Crecimiento global de ciberataques
Tendencias globales de ciber amenazas en el sector financiero Ciber activismo (12%) Ciber crimen (61%) Ciber espionaje (23%) 5Fuente: BID
6 Canales de atención
7 1. Grupos de ataque dirigido Ataques globales que se originan en:  USA  China  Rusia  Ucrania
8
9 SWIFT Hack Fuente: BAE Systems
10 2. Personal malicioso (fuga de información)  Personal que brinda información: ◦ Confidencial como:  Procesos  Tecnología  Datos de tarjeta  Información de personal
Incidentes del sistema financiero 11
12 Fraude 7 millones de soles
13 3. Ransomware
14 Ransomware as a service
15 4. Fraude cibernético inducido
16 5. Troyanos Bancarios
17 ¿Qué realizar contra estas ciberamenazas?
Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 18 Reglamento de Tarjetas de Débito y Crédito  El 30 de Octubre del 2013 aprueba por resolución 6523-2013 el Reglamento de Tarjetas de Debito y de Crédito
Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 19 Reglamento de Tarjetas de Débito y Crédito  El Reglamento tiene un apartado de medidas de seguridad sobre las tarjetas de crédito y débito, esencialmente en los artículos: Artículo 15°.- Medidas de seguridad incorporadas en las tarjetas Artículo 16°.- Medidas de seguridad respecto a los usuarios Artículo 17°.- Medidas de seguridad respecto al monitoreo y realización de las operaciones Artículo 18°.- Medidas en materia de seguridad de la información (PCI DSS) Artículo 19°.- Medidas de seguridad en los negocios afiliados Artículo 20°.- Requerimientos de seguridad en caso de subcontratación
Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 20 Fechas de Adecuación ◦ A partir del 31 de diciembre de 2015, las empresas deberán asegurar que las redes de cajeros automáticos, que brindan a sus clientes para sus operaciones (ya sean redes propias o redes contratadas con terceros en el territorio nacional), puedan autenticar las tarjetas emitidas, a través del uso del chip o circuito integrado, incorporado en la tarjeta para realizar las operaciones solicitadas por los clientes. ◦ A partir del 31 de diciembre de 2015, las empresas que permitan la realización de operaciones, sin utilizar el circuito integrado o chip incorporado en las tarjetas, deberán asumir los riesgos y, por lo tanto, los costos de dichas operaciones, en caso no sean reconocidas por los usuarios. ◦ Para implementar lo requerido en el artículo 18°, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2015
21 Familia PCI DSS PCI Security & Compliance Manufacturers PCI PTS PIN Entry Device Software Developers PCI PA - DSS Payment Applications P2PE Merchants & Service Providers PCI DSS Secure Environments • Protección de los Datos de Pago del Tarjetahabiente • Ecosistema de los dispositivos de pago, aplicaciones, infraestructura y usuarios
22 Los 12 requisitos PCI DSS Construir Y Mantener Redes Seguras 1. Instalar y mantener configuraciones de firewall para proteger la información 2. No usar contraseñas o parámetros de seguridad provistos por suplidores Proteger La Información Del Tarjetahabiente 3. Proteger información almacenada 4. Cifrar datos de tarjetahabientes e información sensitiva al enviarla por redes públicas Establecer Programas De Pruebas De Vulnerabilidades 5. Usar y actualizar regularmente programas de antivirus 6. Desarrollar y mantener sistemas y aplicativos seguros Implementar Medidas Fuertes De Control De Acceso 7. Restringir acceso a información de acuerdo a reglas del negocio 8. Asignar IDs únicos para cada persona con acceso a sistemas 9. Restringir acceso a la información de tarjetahabiente Regularmente Monitorear Y Probar Acceso A La Red 10. Rastrear y monitorear todos los accesos a la red e información del tarjetahabiente 11. Regularmente probar sistemas y procedimientos de seguridad Mantener Políticas De Seguridad De La Información 12. Establecer políticas dirigidas a la seguridad de la información
Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 23 Aplicabilidad PCI DSS  El número de cuenta principal es el "dato principal" de los datos del titular de la tarjeta, que define si debemos asegurar nuestro entorno de datos del titular de tarjeta (CDE) según las PCI DSS.
24 Conclusiones  Definir un portafolio de proyectos de seguridad de cumplimiento y prevención  Realizar inteligencia de ciberamenazas  Revisión de controles tecnológicos con pruebas de penetración.  Definir equipos de respuesta. especializados en caso de incidente tecnológico.
25 Gracias Ing. Raúl Díaz Parra Socio Líder de Consultoría CRISC, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISO/IEC 27002 raul.diaz@strategoscs.com www.strategoscs.com

Recommandé

Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Deteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseDeteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseRaúl Díaz
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Establece servicios-de-seguridad-creando-estrategias
Establece servicios-de-seguridad-creando-estrategiasEstablece servicios-de-seguridad-creando-estrategias
Establece servicios-de-seguridad-creando-estrategiasoscar Rojas Nuñez
 
C.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadC.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadSIA Group
 

Recommandé

Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Deteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseDeteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseRaúl Díaz
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Establece servicios-de-seguridad-creando-estrategias
Establece servicios-de-seguridad-creando-estrategiasEstablece servicios-de-seguridad-creando-estrategias
Establece servicios-de-seguridad-creando-estrategiasoscar Rojas Nuñez
 
C.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadC.E.C.: Centro Experto de Ciberseguridad
C.E.C.: Centro Experto de CiberseguridadSIA Group
 
Arduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad InformáticaArduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad InformáticaGerman Arduino
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...Ingeniería e Integración Avanzadas (Ingenia)
 
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
Oficina de Inteligencia
Oficina de InteligenciaOficina de Inteligencia
Oficina de InteligenciaSIA Group
 
Seguridad Global
Seguridad GlobalSeguridad Global
Seguridad GlobalInternet Security Auditors
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. EstándaresLuis Fernando Aguas Bucheli
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroGestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroXelere
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Inteligencia en Seguridad
Inteligencia en Seguridad Inteligencia en Seguridad
Inteligencia en Seguridad Xelere
 
S2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadS2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadLuis Fernando Aguas Bucheli
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosLuis Fernando Aguas Bucheli
 
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadRed Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadEduardo Arriols Nuñez
 
Certificaciones Existentes para Tecnologías de medio físico
Certificaciones Existentes para Tecnologías de medio físicoCertificaciones Existentes para Tecnologías de medio físico
Certificaciones Existentes para Tecnologías de medio físicoJulioCesarApolinario
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
Certificaciones De Seguridad Informatica
Certificaciones De Seguridad InformaticaCertificaciones De Seguridad Informatica
Certificaciones De Seguridad InformaticaDat@center S.A
 
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECAECEM - Asociación Española de Comercio Electrónico y Marketing Relacional
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 

Contenu connexe

Tendances

Arduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad InformáticaArduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad InformáticaGerman Arduino
 
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
Oficina de Inteligencia
Oficina de InteligenciaOficina de Inteligencia
Oficina de InteligenciaSIA Group
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroGestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroXelere
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Inteligencia en Seguridad
Inteligencia en Seguridad Inteligencia en Seguridad
Inteligencia en Seguridad Xelere
 
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadRed Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadEduardo Arriols Nuñez
 
Certificaciones Existentes para Tecnologías de medio físico
Certificaciones Existentes para Tecnologías de medio físicoCertificaciones Existentes para Tecnologías de medio físico
Certificaciones Existentes para Tecnologías de medio físicoJulioCesarApolinario
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
Certificaciones De Seguridad Informatica
Certificaciones De Seguridad InformaticaCertificaciones De Seguridad Informatica
Certificaciones De Seguridad InformaticaDat@center S.A
 

Tendances (20)

Arduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad InformáticaArduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad Informática
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
 
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
 
Oficina de Inteligencia
Oficina de InteligenciaOficina de Inteligencia
Oficina de Inteligencia
 
Seguridad Global
Seguridad GlobalSeguridad Global
Seguridad Global
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. Estándares
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo Rivero
 
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroGestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
 
Inteligencia en Seguridad
Inteligencia en Seguridad Inteligencia en Seguridad
Inteligencia en Seguridad
 
S2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadS2-AI-1.2. Cyberseguridad
S2-AI-1.2. Cyberseguridad
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos Básicos
 
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridadRed Team: Un cambio necesario para la visión holística de la ciberseguridad
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
 
Certificaciones Existentes para Tecnologías de medio físico
Certificaciones Existentes para Tecnologías de medio físicoCertificaciones Existentes para Tecnologías de medio físico
Certificaciones Existentes para Tecnologías de medio físico
 
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadRed Team: Un nuevo enfoque para auditar controles de Ciberseguridad
Red Team: Un nuevo enfoque para auditar controles de Ciberseguridad
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
 
Certificaciones De Seguridad Informatica
Certificaciones De Seguridad InformaticaCertificaciones De Seguridad Informatica
Certificaciones De Seguridad Informatica
 

Similaire à Las 5 principales ciberamenazas en el sector financiero

Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
Isoiec17799
Isoiec17799Isoiec17799
Isoiec17799Fipy_exe
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICorporacion Colombia Digital
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfControlCase
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSSLuis Fernando Aguas Bucheli
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
Certificación auditoria informática
Certificación auditoria informáticaCertificación auditoria informática
Certificación auditoria informáticaCesar Luis
 
Certificación auditoria informática
Certificación auditoria informáticaCertificación auditoria informática
Certificación auditoria informáticaCesar Luis
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssJuan Jose Rider Jimenez
 

Similaire à Las 5 principales ciberamenazas en el sector financiero (20)

Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SECJornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
Jornada de Medios de Pago Online - Vanesa Gil Laredo, S21SEC
 
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.Cómo sacar rendimiento al PCI DSS. SafeNet.
Cómo sacar rendimiento al PCI DSS. SafeNet.
 
Protocolo dss
Protocolo dssProtocolo dss
Protocolo dss
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
 
OWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuoOWASP Meeting. PCI DSS, un proceso continuo
OWASP Meeting. PCI DSS, un proceso continuo
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
NTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdfNTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdf
 
Isoiec17799
Isoiec17799Isoiec17799
Isoiec17799
 
Ciber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXICiber... nacion: afrontando los retos del siglo XXI
Ciber... nacion: afrontando los retos del siglo XXI
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
 
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
11- Unidad 3: Marcos de Referencia para Seguridad de la Información 3.3 PCI DSS
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Certificación auditoria informática
Certificación auditoria informáticaCertificación auditoria informática
Certificación auditoria informática
 
Certificación auditoria informática
Certificación auditoria informáticaCertificación auditoria informática
Certificación auditoria informática
 
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dssInfosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
Infosecure 2011 owasp y cumplimiento normativo pci-dss y pa-dss
 

Dernier

Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxlosdiosesmanzaneros
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilJuanGallardo438714
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 

Dernier (15)

Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 

Las 5 principales ciberamenazas en el sector financiero

  • 1. Las 5 principales ciberamenazas del sector financiero MBA Ing. Raúl Díaz Parra | CRISC, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISO/IEC 27002
  • 2. Raul Díaz 2  Socio Líder de Consultoría Strategos Consulting Services  ESAN ◦ MBA con mención en finanzas ◦ PAE Gestión de Seguridad de la Información ◦ PEE Gerencia de Tecnologías de la Información  Youreka India ◦ Business & Entrepreneurship Program  Tel Aviv University ◦ Inmersion Technology Program in Entrepreneurship and Innovation Ecosystem  Universidad de Lima ◦ Ingeniero de Sistemas • Certificaciones Internacionales: – CRISC, CISA, CISM, ECSA, CEH, ECSP, CHFI, CPTE, ISF ISO/IEC 27002, ITIL(F) • Consultoría de Gestión TI, Riesgos, Seguridad de la Información y Continuidad de Negocio en: – Perú, Argentina, Colombia, Honduras, Ecuador, Chile, Brasil, Bolivia y México. • Instructor en ECCouncil (Seguridad Informática) en: – Perú, Venezuela, Chile, Argentina, Honduras, México, Ecuador, Colombia, Brasil.
  • 3. Agenda  Crecimiento Global de ciberataques  Tendencias Globales de ciberamenazas en el sector financiero  Las 5 principales ciberamenazas  Cumplimiento PCI DSS  Conclusiones 3
  • 5. Tendencias globales de ciber amenazas en el sector financiero Ciber activismo (12%) Ciber crimen (61%) Ciber espionaje (23%) 5Fuente: BID
  • 7. 7 1. Grupos de ataque dirigido Ataques globales que se originan en:  USA  China  Rusia  Ucrania
  • 8. 8
  • 10. 10 2. Personal malicioso (fuga de información)  Personal que brinda información: ◦ Confidencial como:  Procesos  Tecnología  Datos de tarjeta  Información de personal
  • 17. 17 ¿Qué realizar contra estas ciberamenazas?
  • 18. Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 18 Reglamento de Tarjetas de Débito y Crédito  El 30 de Octubre del 2013 aprueba por resolución 6523-2013 el Reglamento de Tarjetas de Debito y de Crédito
  • 19. Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 19 Reglamento de Tarjetas de Débito y Crédito  El Reglamento tiene un apartado de medidas de seguridad sobre las tarjetas de crédito y débito, esencialmente en los artículos: Artículo 15°.- Medidas de seguridad incorporadas en las tarjetas Artículo 16°.- Medidas de seguridad respecto a los usuarios Artículo 17°.- Medidas de seguridad respecto al monitoreo y realización de las operaciones Artículo 18°.- Medidas en materia de seguridad de la información (PCI DSS) Artículo 19°.- Medidas de seguridad en los negocios afiliados Artículo 20°.- Requerimientos de seguridad en caso de subcontratación
  • 20. Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 20 Fechas de Adecuación ◦ A partir del 31 de diciembre de 2015, las empresas deberán asegurar que las redes de cajeros automáticos, que brindan a sus clientes para sus operaciones (ya sean redes propias o redes contratadas con terceros en el territorio nacional), puedan autenticar las tarjetas emitidas, a través del uso del chip o circuito integrado, incorporado en la tarjeta para realizar las operaciones solicitadas por los clientes. ◦ A partir del 31 de diciembre de 2015, las empresas que permitan la realización de operaciones, sin utilizar el circuito integrado o chip incorporado en las tarjetas, deberán asumir los riesgos y, por lo tanto, los costos de dichas operaciones, en caso no sean reconocidas por los usuarios. ◦ Para implementar lo requerido en el artículo 18°, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2015
  • 21. 21 Familia PCI DSS PCI Security & Compliance Manufacturers PCI PTS PIN Entry Device Software Developers PCI PA - DSS Payment Applications P2PE Merchants & Service Providers PCI DSS Secure Environments • Protección de los Datos de Pago del Tarjetahabiente • Ecosistema de los dispositivos de pago, aplicaciones, infraestructura y usuarios
  • 22. 22 Los 12 requisitos PCI DSS Construir Y Mantener Redes Seguras 1. Instalar y mantener configuraciones de firewall para proteger la información 2. No usar contraseñas o parámetros de seguridad provistos por suplidores Proteger La Información Del Tarjetahabiente 3. Proteger información almacenada 4. Cifrar datos de tarjetahabientes e información sensitiva al enviarla por redes públicas Establecer Programas De Pruebas De Vulnerabilidades 5. Usar y actualizar regularmente programas de antivirus 6. Desarrollar y mantener sistemas y aplicativos seguros Implementar Medidas Fuertes De Control De Acceso 7. Restringir acceso a información de acuerdo a reglas del negocio 8. Asignar IDs únicos para cada persona con acceso a sistemas 9. Restringir acceso a la información de tarjetahabiente Regularmente Monitorear Y Probar Acceso A La Red 10. Rastrear y monitorear todos los accesos a la red e información del tarjetahabiente 11. Regularmente probar sistemas y procedimientos de seguridad Mantener Políticas De Seguridad De La Información 12. Establecer políticas dirigidas a la seguridad de la información
  • 23. Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 23 Aplicabilidad PCI DSS  El número de cuenta principal es el "dato principal" de los datos del titular de la tarjeta, que define si debemos asegurar nuestro entorno de datos del titular de tarjeta (CDE) según las PCI DSS.
  • 24. 24 Conclusiones  Definir un portafolio de proyectos de seguridad de cumplimiento y prevención  Realizar inteligencia de ciberamenazas  Revisión de controles tecnológicos con pruebas de penetración.  Definir equipos de respuesta. especializados en caso de incidente tecnológico.
  • 25. 25 Gracias Ing. Raúl Díaz Parra Socio Líder de Consultoría CRISC, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISO/IEC 27002 raul.diaz@strategoscs.com www.strategoscs.com