Las 5 principales ciberamenazas del

sector financiero

MBA Ing. Raúl Díaz Parra | CRISC, CISM, CISA,

CEH, CHFI, ECSA, ECSP, ITIL, ISO/IEC 27002

Raul Díaz

2

Socio Líder de Consultoría Strategos Consulting Services

ESAN ◦ MBA con mención en finanzas

◦ PAE Gestión de Seguridad de la Información

◦ PEE Gerencia de Tecnologías de la Información

Youreka India ◦ Business & Entrepreneurship

Program

Tel Aviv University ◦ Inmersion Technology Program in

Entrepreneurship and Innovation Ecosystem

Universidad de Lima ◦ Ingeniero de Sistemas

• Certificaciones Internacionales: – CRISC, CISA, CISM, ECSA, CEH,

ECSP, CHFI, CPTE, ISF ISO/IEC

27002, ITIL(F)

• Consultoría de Gestión TI,

Riesgos, Seguridad de la

Información y Continuidad de

Negocio en: – Perú, Argentina, Colombia, Honduras,

Ecuador, Chile, Brasil, Bolivia y

México.

• Instructor en ECCouncil

(Seguridad Informática) en:

– Perú, Venezuela, Chile, Argentina,

Honduras, México, Ecuador,

Colombia, Brasil.

Agenda

Crecimiento Global de ciberataques

Tendencias Globales de ciberamenazas en el sector financiero

Las 5 principales ciberamenazas

Cumplimiento PCI DSS

Conclusiones

3

4

Crecimiento global de ciberataques

Tendencias globales de ciber amenazas en el sector financiero

Ciber activismo

(12%)

Ciber crimen (61%)

Ciber espionaje

(23%)

5 Fuente: BID

6

Canales de atención

7

1. Grupos de ataque dirigido

Ataques globales que se originan en:

USA

China

Rusia

Ucrania

8

9

SWIFT Hack

Fuente: BAE Systems

10

2. Personal malicioso (fuga de información)

Personal que brinda información: ◦ Confidencial como:

Procesos

Tecnología

Datos de tarjeta

Información de personal

Incidentes del sistema financiero

11

12

Fraude 7 millones de soles

13

3. Ransomware

14

Ransomware as a service

15

4. Fraude cibernético inducido

16

5. Troyanos Bancarios

17

¿Qué realizar contra estas ciberamenazas?

Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 18

Reglamento de Tarjetas de Débito y Crédito

El 30 de Octubre del 2013 aprueba por resolución 6523-2013 el Reglamento de Tarjetas de Debito y de Crédito

Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 19

Reglamento de Tarjetas de Débito y Crédito

El Reglamento tiene un apartado de medidas de seguridad sobre las tarjetas de crédito y débito, esencialmente en los artículos: Artículo 15°.- Medidas de seguridad incorporadas en las tarjetas Artículo 16°.- Medidas de seguridad respecto a los usuarios Artículo 17°.- Medidas de seguridad respecto al monitoreo y realización de las operaciones Artículo 18°.- Medidas en materia de seguridad de la información (PCI DSS) Artículo 19°.- Medidas de seguridad en los negocios afiliados Artículo 20°.- Requerimientos de seguridad en caso de subcontratación

Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 20

Fechas de Adecuación

◦ A partir del 31 de diciembre de 2015, las empresas deberán asegurar que las redes de cajeros automáticos, que brindan a sus clientes para sus operaciones (ya sean redes propias o redes contratadas con terceros en el territorio nacional), puedan autenticar las tarjetas emitidas, a través del uso del chip o circuito integrado, incorporado en la tarjeta para realizar las operaciones solicitadas por los clientes.

◦ A partir del 31 de diciembre de 2015, las

empresas que permitan la realización de operaciones, sin utilizar el circuito integrado o chip incorporado en las tarjetas, deberán asumir los riesgos y, por lo tanto, los costos de dichas operaciones, en caso no sean reconocidas por los usuarios.

◦ Para implementar lo requerido en el

artículo 18°, las empresas tendrán un plazo de adecuación hasta el 31 de diciembre de 2015

21

Familia PCI DSS

PCI Security

& Compliance

Manufacturers

PCI PTS

PIN Entry Device

Software

Developers

PCI PA -DSS

Payment

Applications

P2PE

Merchants & Service Providers

PCI DSS

Secure Environments

• Protección de los Datos de Pago del Tarjetahabiente

• Ecosistema de los dispositivos de pago, aplicaciones, infraestructura y usuarios

22

Los 12 requisitos PCI DSS

Construir Y Mantener Redes Seguras

1. Instalar y mantener configuraciones de firewall para proteger la información

2. No usar contraseñas o parámetros de seguridad provistos por suplidores

Proteger La Información Del Tarjetahabiente

3. Proteger información almacenada 4. Cifrar datos de tarjetahabientes e información sensitiva al enviarla

por redes públicas

Establecer Programas De Pruebas De Vulnerabilidades

5. Usar y actualizar regularmente programas de antivirus 6. Desarrollar y mantener sistemas y aplicativos seguros

Implementar Medidas Fuertes De Control De Acceso

7. Restringir acceso a información de acuerdo a reglas del negocio 8. Asignar IDs únicos para cada persona con acceso a sistemas 9. Restringir acceso a la información de tarjetahabiente

Regularmente Monitorear Y Probar Acceso A La Red

10. Rastrear y monitorear todos los accesos a la red e información del tarjetahabiente

11. Regularmente probar sistemas y procedimientos de seguridad

Mantener Políticas De Seguridad De La Información

12. Establecer políticas dirigidas a la seguridad de la información

Raúl Díaz | ISO 27k, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL(F), ISF ISO/IEC 27002 23

Aplicabilidad PCI DSS

El número de cuenta principal es el "dato principal" de los datos del titular de la tarjeta, que define si debemos asegurar nuestro entorno de datos del titular de tarjeta (CDE) según las PCI DSS.

24

Conclusiones

Definir un portafolio de proyectos de seguridad de cumplimiento y prevención

Realizar inteligencia de ciberamenazas

Revisión de controles tecnológicos con pruebas de penetración.

Definir equipos de respuesta. especializados en caso de incidente tecnológico.

25

Gracias

Ing. Raúl Díaz Parra Socio Líder de Consultoría CRISC, CISM, CISA, CEH, CHFI, ECSA, ECSP, ITIL, ISO/IEC 27002 raul.diaz@strategoscs.com www.strategoscs.com