enfoque del negocio vs seguridad en la banca digital christian ramos

1

EL ENFOQUE DEL NEGOCIO VS LA SEGURIDAD EN LA BANCA DIGITALSeguridad TI y Gestión del Riesgo

C O N F I D E N T I A L

[email protected]

Senior System Engineer - Bolivia, Chile y Perú

2

Algoritmo ?

1977 - 3 Profesores del MIT desarrollaron el algoritmo (RSA)

El algoritmo consta de tres pasos: generación de claves, cifrado y descifrado

Ron Rivest

AdiShamir

Leonard Adleman

–

https://es.wikipedia.org/wiki/RSA

3

PRIMERO ENTENDER EL PANORAMA ACTUAL

UNA MIRADA A LO QUE OCURRE EN ESTE MOMENTO


4

Donde estamos?

©Warner Bros. Entertainment Inc.

5

Era de la InformaciónEra de la INNOVACIÓN

6

EVOLUCIÓN DE LA BANCA DIGITAL

Banco Tradicional

Digital Banking

MobileBankingInternet

Banking

< 90’s 2010 2012 2017

Nuevo canal Transaccional

Nuevo canal Transaccional

Nuevo canal de

Relacionamiento

7

http://www.internetsociety.org/map/global-internet-report ` http://www.internetworldstats.com

8

UN MINUTO DE BIG DATA

• 80 horas de video son subidas a Youtube

• 3.000.000 de búsquedas en Google

• 150.000.000 de emails son enviados

• 20.000.000 mensajes enviadas en Whatsapp

• 51.000 descargas de aplicaciones de Itunes

• 38.0000 posts en Instagram

• 350.000 tweets son generados en Twitter

• 80 dominios nuevos son registrados

• 600 nuevos sitios son creados

• 702.000 logins en Facebook

9

Brontobyte???Nuestro Universo digital del mañana

1018

YottabyteNuestro Universo digital hoy

ZettabyteTrafico de red anual de 2016

Exabyte Es creado en internet todos los días

1021

1024

1027

BIG DATA EN NÚMEROS

10 F o n t e : C o m p u t e r w o r l d / G a r t n e r

millonesde smartphones “nacen” diariamente en el mundo

11 C O N F I D E N T I A L

DESAFIOS DEL NEGÓCIO DE LA BANCA DIGITAL

�Retener la nueva generación de consumidores

�Mantenernos delante de la competencia

�Ofrecer ofertas innovadoras

�Mantener toda la relación por el canal móvil

�Mejorar la experiencia del usuario

�Prevenir el fraude


LA SEGURIDAD ES UN ACTO DE EQUILIBRIO

Requisitos del Negocio

Requisitos del Usuario

Dispersión de información

Movilidad de Usuarios

Amenazas Crecientes

Reglamentos Crecientes

Desafíos de Negocio

AtenderCumplir

Reglamentos

Mitigar AmenazasEmergentes

Fraude

Movilidad

Acesso SeguroProtegerInformacion

Facilidad de Uso

Reducir Fraude

BigData (5 V)

Innovar

13 F o n t e : R S A “ 2 0 1 6 : C u r r e n t S t a t e o f C y b e r c r i m e ”h t t p s : / / w w w . r s a . c o m / c o n t e n t / d a m / r s a / P D F / 2 0 1 6 / 0 5 / 2 0 1 6 - c u r r e n t - s t a t e - o f - c y b e r c r i m e . p d f

de los intentos de fraude provienen del mobile

14

FRAUDE WEB VS. MOBILE : 2012 – 2015

3%

17%

40%

50%

62%

97%

83%

60%

50%

38%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Mobile Web

Más del 60% de los fraudes provenientes de móvil!

*Source RSA Adaptive Authentication Customer Base

15

Los intentos de fraude

desde el móvil aumentaron

170%*

*Source RSA Adaptive Authentication Customer Base

A MEDIDA QUE EL MUNDO SE HACE MÓVIL -TAMBIÉN LO HACE EL FRAUDE

16

de los profesionales de la seguridad no puede decir la diferencia entre un cliente o defraudador – Usted puede?

Sign-in

Homepage

My Account

Product Page

Add to CartPayment Method

Delivery Address

Checkout

My Orders

Order Status

74%

17

Atacados elaño pasado

El crecimiento de los incidentes a nivel mundial YoY

Poco probable para detectar un ataque

no están satisfechos con la velocidad de respuesta

NUEVO PANORAMA DE AMENAZAS

18

POPULACIÓN MUNDIAL7.3B

USUARIOS DE INTERNET3.4B

IDENTIDADES DIGITALES60B

La identidad es el más frecuente vector de ataque

DE LOS ATAQUES EN

WEB APP HAN

UTILIZADO

CREDENCIALES

ROBADAS *

*Verizon Data Breach Investigations Report 2015* IDC

95%

19

SHOPPING LIST DE LA CIBERDELINCUENCIA

E-commerce account

Cuentas en social media

Ataques DDoS

Cuentas E-wallet y transfers

Tarjetas en blancoCuenta en Banca y

tarjeta de debito

ID falsa

20

BrechaLa perpectiva de Tecnología La perspectiva de Negocio

PrevenirBloquear

Crecer

Respaldar

Responder

Prevenir

Cumplir

Anticipar

Reducir

Atender

Incrementar

Virtualizar

MejorarControlar

Diseñar

21

FW

A/V

IDS / IPS

SIEM

NGFW

Sandbox

GW

SECURITY EXCLUSION


POR QUE EXISTE ENTONCES ESTE GAP?

Falta de integración enlas soluciones y vendors

2FA

Accesmgmt

PAM

PROV

SSO

Federation

SECURITY INCLUSION

GRC

VULNMGMT

CMDB

Spreadsheets

BUSINESS / ITRISK MANAGEMENT

Falta de contexto &Cuantificar el riesgo

Fatiga poralertas, atencionde falsospositivos

22- VERIZON 2014 DATA BREACH INVESTIGATIONS REPORT

EL ENFOQUE DE LA SEGURIDAD TRADICIONAL PARA PREVENIR NO ESTÁ FUNCIONANDO

de los ataques con éxito no hansido descubiertos por solucionesde SIEM

99%

© Copyright 2015 EMC Corporation. Confidential and Proprietary. NDA Required

de los incidentes se llevó semanaso más por descubrir 83%

23

QUE DICEN LOS ENTENDIDOS

MODELOS DE DETECCION DEL FRAUDE Y DEFENSA PARA AMENAZAS AVANZADAS SEGÚN GARTNER


24© Copyright 2014 EMC Corporation. All rights reserved.© Copyright 2014 EMC Corporation. All rights reserved.

Que camino seguir?

©Warner Bros. Entertainment Inc.


GARTNER 5 CAPAS PARA DETECCION DEL FRAUDE

BigData Analytics

Layer 5

Multiple Channels

Layer 4

User & Account Centric

Layer 3

Navigation Centric

Layer 2

Endpoint Centric

Layer 1

26

METODOS TRADICIONES DE TI NO PROTEGEN!

“Traditional defense-in-depth components are still necessary, but are no longer sufficient in protecting against advanced targeted attacks and advanced malware” – Gartner

Source: Gartner’s “Five Styles of Advanced Threat Defense”

Network Traffic Analysis

Style 1

Payload Analysis

Style 3

Endpoint Behavior Analysis

Style 4

Network Forensics

Style 2

Endpoint Forensics

Style 5

Where to Look

Network

Payload

Endpoint

Time

27

QUE MODELO O MARCO DE REFERENCIA ESTAUSANDO O MEJOR AUNUIMPLEMENTANDO?

28

QUE MODELO DE CIBERSEGURIDAD ESTA USANDO?

29

Behavioral analyticsFraud Risk Intelligence Artificial intelligence

31

DEFINAMOS LASCAPACIDADES QUENECESITAMOS

CONSTRUYAMOS UN MODELO DE SEGURIDAD BASADO EN EL NEGOCIO


32

Brecha

Riesgo de tecnología

La perpectiva de Tecnología La perspectiva de Negocio

Riesgo de negocio

• Cuál es la información más importante?

• Dónde está la información más importante?

• Cuáles son las aplicaciones más críticas?

• Qué tan importante es esta parte de la

infraestructura?

• Cuál es el impacto de un evento de seguridad?

• Dónde somos vulnerables?

• Quiénes son los terceros en los que confía el

negocio?

• Qué pasa si se interrumpen los servicios de TI?

• Cuál es la parte más crítica de la estrategia del

negocio?

• Dónde están nuestras mayores áreas de

riesgo?

• Cuál es nuestro apetitio y tolerancia al riesgo?

• Cuáles son nuestras obligaciones regulatorias?

• Cuáles son las partes más valiosas de nuestro

negocio?

• Estamos gestionando los riesgos efectivamente

para alcanzar nuestros objetivos?

34

En línea con las prioridades del negocioVisibilidad Correcta

Respuesta eficiente Insight rápido

Contexto de negocios

1

2

3

4

5


VISIBILIDAD (MONITOREO)

� Conocer al cliente (Know Your Customer)

� Conocer, proteger y monitorear los dispositivos mobiles

� Comprender y monitorear la navegación mobile (APPs)

� Monitoreo de transacciones

� Monitoreo de la red

� Monitoreo del endpoint

Span Port or Network Tap

Network Traffic


IDENTIDAD (ACCESO)

� Autenticación con base en el riesgo y multi-factor

� Firma de transacciones

� Biometría

� Comportamiento

� Redes Sociales


Los criminales actuan

diferente a los usuarios


INTELIGENCIA

� Conocer las amenazas

� La anticipación de ataques

� Fuentes externas (Feeds, FraudAction Services)� Inteligencia del “underground” de la Ciberdelincuencia

� Detectar y Dar-de-Baja el phishing y ataques de troyanos

� Detectar y Dar-de-Baja Aplicaciones Móviles falsos


GESTION DEL RIESGO

� Identificación y evaluación de riesgos de la organización (Operacional, TI)

� Documentación de los elementos que conforman la organización (personas, procesos y tecnologías)

� Mejorar:� Controles� Que cada persona sea responsable de

su riesgo� Automatizar procesos� Reportes al día

� Cumplir con los objetivos corporativos de forma confiable, continua; abordando la incertidumbre y actuando con integridad


PRIORIZACIÓN

� Concéntrese en lo que es crítico

� Recursos limitados

� Bajo impacto para el usuario final

� Advanced Security Operation Center (ASOC)

41

EMPECEMOS!!!

CONSTRUYENDO UN MODELO DE SEGURIDAD BASADO EN EL NEGOCIO


42

BANCO DIGITAL

Baixarapp

Comun. app

5 2

2

VDI

4

8

9

10

11

12

13

14

15

16

17

3

3

1FAS

SDK AA/TXS

WTD

CAPTURA Y ANÁLISIS DE

CANAL

SECOPS

ANÁLISIS DE COMPROMETIMIENTO

7

OCR Y GESTIÓN DE

DOCUMENTOS

IAM

AML/KYC

MESA

RIESGO

ACCESOS

BCM

POLÍTICAS

TERCEROS

BUS DE SERVICIOS

18 TAXONOMÍA

SKD OCR

ANÁLISIS DE COMPROMETIMIENTO

CONTRATADOS

CONTROLDE ACESO

6

AATXS

45

B U S I N E S S D R I V E N S E C U R I T Y

GRC - RISK MONITORING IDENTITY

NETWITNESS®LOGS

PACKETSENDPOINT

SECOPS MANAGER

FRAUD & RISK INTELLIGENCEWEB THREAT DETECTION

ADAPTIVE AUTHENTICATION / eCOMMERCEFRAUD ACTION

SECURID®ACCESSIDENTITY

GOVERNANCE & LIFECYCLE

ARCHER®IT SECURITY & RISK MGMT

ENT & OPERATIONAL RISK MGMTTHRID PARTY GOVERNANCEBUSINESS RESILIENCYPUBLIC SECTORAUDIT MGMT

REGULATORY & CORP COMPLIANCE

46

SOLUCIONES

1. RSA FRAUD ACTION SERVICES

2. RSA ADAPTIVE AUTHENTICATION

3. EMC CAPTIVA

4. RSA NETWITNESS

5. RSA WEB THREAD DETECTION

6. RSA SECURID ACCESS

7. RSA SECOPS

8. VMWARE VDI HORIZON

9. RSA NETWITNESS ENDPOINT

10. RSA SECURID GOVERNANCE AND LYFECYCLE

11. RSA ARCHER – KYC / AML

12. RSA ARCHER – MESA

13. RSA ARCHER – RIESGOS

14. RSA ARCHER - ACCESOS

15. RSA ARCHER – BCM

16. RSA ARCHER – POLÍTICAS

17. RSA ARCHER – TERCEROS

18. RSA ARCHER – TAXONOMÍA

47

Netwitness For: (4)

Logs

Packets

Endpoint (9)

Secops Manager (7)

Access Management (6)

Identity

Governance & Lifecycle (10)

Web Threat Detection (5)

Adaptive Authentication (2)

Adaptive Authentication for Ecommerce

Fraud Action (1)

IT Security & Risk Mgmt

ENT & Operational Risk Mgmt

3rd Party Governance

Business Resiliency

Public Sector

Audit Mgmt

Reg & Corp Compliance

Proven Business Risk Management

Unified SecurityAnalytics

Secure Access, No Boundaries

Centralized, Omni-Channel Fraud


RSA PORTFOLIO

A D V A N C E D C O N S U L T I N G S E R V I C E S , I M P L I M E N TAT I O N S E R V I C E S , I N C I D E N T R E S P O N S E , S U P P O R T

48

QUIEN ENCIENDE UNA LUZ ES EL PRIMERO A BENEFICIARSE CON LA CLARIDAD.

GILBERT CHESTERTON

49

MUCHAS GRACIAS !!HASTA EL PRÓXIMO AÑO !!

[email protected]

Senior System Engineer - Bolivia, Chile y Perú

[email protected]

Territory Manager - Bolivia, Colombia y Perú

[email protected]

SecurID Account Manager - Bolivia, Colombia y Perú

enfoque del negocio vs seguridad en la banca digital christian ramos

Technology