Las 5 principales ciberamenazas en el sector financiero generan perdidas millonarias y el Perú no es ajeno. Para prevenir se debe realizar inteligencia sobre las ciberamenazas y fortalecer los controles existentes e implementar nuevos.
Las 5 principales ciberamenazas en el sector financiero
1. Las 5 principales ciberamenazas del
sector financiero
MBA Ing. Raúl Díaz Parra | CRISC, CISM, CISA,
CEH, CHFI, ECSA, ECSP, ITIL, ISO/IEC 27002
2. Raul Díaz
2
Socio Líder de Consultoría
Strategos Consulting
Services
ESAN
◦ MBA con mención en finanzas
◦ PAE Gestión de Seguridad de la
Información
◦ PEE Gerencia de Tecnologías de la
Información
Youreka India
◦ Business & Entrepreneurship
Program
Tel Aviv University
◦ Inmersion Technology Program in
Entrepreneurship and Innovation
Ecosystem
Universidad de Lima
◦ Ingeniero de Sistemas
• Certificaciones Internacionales:
– CRISC, CISA, CISM, ECSA, CEH,
ECSP, CHFI, CPTE, ISF ISO/IEC
27002, ITIL(F)
• Consultoría de Gestión TI,
Riesgos, Seguridad de la
Información y Continuidad de
Negocio en:
– Perú, Argentina, Colombia, Honduras,
Ecuador, Chile, Brasil, Bolivia y
México.
• Instructor en ECCouncil
(Seguridad Informática) en:
– Perú, Venezuela, Chile, Argentina,
Honduras, México, Ecuador,
Colombia, Brasil.
3. Agenda
Crecimiento Global de ciberataques
Tendencias Globales de
ciberamenazas en el sector
financiero
Las 5 principales ciberamenazas
Cumplimiento PCI DSS
Conclusiones
3
10. 10
2. Personal malicioso (fuga
de información)
Personal que brinda información:
◦ Confidencial como:
Procesos
Tecnología
Datos de tarjeta
Información de personal
18. Raúl Díaz | ISO 27k, CISM,
CISA, CEH, CHFI, ECSA, ECSP,
ITIL(F), ISF ISO/IEC 27002 18
Reglamento de Tarjetas de
Débito y Crédito
El 30 de Octubre del
2013 aprueba por
resolución 6523-2013
el Reglamento de
Tarjetas de Debito y de
Crédito
19. Raúl Díaz | ISO 27k, CISM,
CISA, CEH, CHFI, ECSA, ECSP,
ITIL(F), ISF ISO/IEC 27002 19
Reglamento de Tarjetas de
Débito y Crédito
El Reglamento tiene un apartado de
medidas de seguridad sobre las tarjetas de
crédito y débito, esencialmente en los
artículos:
Artículo 15°.- Medidas de seguridad
incorporadas en las tarjetas
Artículo 16°.- Medidas de seguridad
respecto a los usuarios
Artículo 17°.- Medidas de seguridad
respecto al monitoreo y realización de las
operaciones
Artículo 18°.- Medidas en materia de
seguridad de la información (PCI DSS)
Artículo 19°.- Medidas de seguridad en los
negocios afiliados
Artículo 20°.- Requerimientos de seguridad
en caso de subcontratación
20. Raúl Díaz | ISO 27k, CISM,
CISA, CEH, CHFI, ECSA, ECSP,
ITIL(F), ISF ISO/IEC 27002 20
Fechas de Adecuación
◦ A partir del 31 de diciembre de 2015, las
empresas deberán asegurar que las redes de
cajeros automáticos, que brindan a sus
clientes para sus operaciones (ya sean redes
propias o redes contratadas con terceros en el
territorio nacional), puedan autenticar las
tarjetas emitidas, a través del uso del chip o
circuito integrado, incorporado en la tarjeta
para realizar las operaciones solicitadas por
los clientes.
◦ A partir del 31 de diciembre de 2015, las
empresas que permitan la realización de
operaciones, sin utilizar el circuito integrado o
chip incorporado en las tarjetas, deberán
asumir los riesgos y, por lo tanto, los costos
de dichas operaciones, en caso no
sean reconocidas por los usuarios.
◦ Para implementar lo requerido en el
artículo 18°, las empresas tendrán un
plazo de adecuación hasta el 31 de
diciembre de 2015
21. 21
Familia PCI DSS
PCI Security
& Compliance
Manufacturers
PCI PTS
PIN Entry
Device
Software
Developers
PCI PA -
DSS
Payment
Applications
P2PE
Merchants &
Service Providers
PCI DSS
Secure
Environments
• Protección de los Datos de Pago del Tarjetahabiente
• Ecosistema de los dispositivos de pago, aplicaciones,
infraestructura y usuarios
22. 22
Los 12 requisitos PCI DSS
Construir Y Mantener
Redes Seguras
1. Instalar y mantener configuraciones de firewall para proteger la
información
2. No usar contraseñas o parámetros de seguridad provistos por
suplidores
Proteger La Información
Del Tarjetahabiente
3. Proteger información almacenada
4. Cifrar datos de tarjetahabientes e información sensitiva al enviarla
por redes públicas
Establecer Programas De
Pruebas De
Vulnerabilidades
5. Usar y actualizar regularmente programas de antivirus
6. Desarrollar y mantener sistemas y aplicativos seguros
Implementar Medidas
Fuertes De Control De
Acceso
7. Restringir acceso a información de acuerdo a reglas del negocio
8. Asignar IDs únicos para cada persona con acceso a sistemas
9. Restringir acceso a la información de tarjetahabiente
Regularmente Monitorear Y
Probar Acceso A La Red
10. Rastrear y monitorear todos los accesos a la red e información del
tarjetahabiente
11. Regularmente probar sistemas y procedimientos de seguridad
Mantener Políticas De
Seguridad De La
Información
12. Establecer políticas dirigidas a la seguridad de la información
23. Raúl Díaz | ISO 27k, CISM,
CISA, CEH, CHFI, ECSA, ECSP,
ITIL(F), ISF ISO/IEC 27002 23
Aplicabilidad PCI DSS
El número de cuenta principal es el "dato
principal" de los datos del titular de la
tarjeta, que define si debemos asegurar
nuestro entorno de datos del titular de
tarjeta (CDE) según las PCI DSS.
24. 24
Conclusiones
Definir un portafolio de proyectos de
seguridad de cumplimiento y prevención
Realizar inteligencia de ciberamenazas
Revisión de controles tecnológicos con
pruebas de penetración.
Definir equipos de respuesta.
especializados en caso de incidente
tecnológico.
25. 25
Gracias
Ing. Raúl Díaz Parra
Socio Líder de Consultoría
CRISC, CISM, CISA, CEH, CHFI,
ECSA, ECSP, ITIL, ISO/IEC 27002
raul.diaz@strategoscs.com
www.strategoscs.com