Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows,...
Transcript of Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows,...
![Page 1: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/1.jpg)
Mejores prácticas de
Seguridad de la Información
aplicadas a la Banca Móvil
Oscar Tzorín
Superintendencia de
Bancos de Guatemala
1
![Page 2: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/2.jpg)
Panorama del acceso de alta velocidad a Internet, para América Central
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil
Panorama actual de la seguridad
Anatomía de ataques a los sistemas operativos iOS y Android
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
1
2
3
4
5
![Page 3: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/3.jpg)
Panorama del acceso de alta velocidad a Internet, para América Central 1
![Page 4: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/4.jpg)
Panorama del acceso de alta velocidad a Internet, para América Central 1
Ref. 4gamericas.org
![Page 5: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/5.jpg)
Panorama del acceso de alta velocidad a Internet, para América Central
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil
Panorama actual de la seguridad
Anatomía de ataques a los sistemas operativos iOS y Android
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
1
2
3
5
4
![Page 6: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/6.jpg)
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2
![Page 7: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/7.jpg)
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2
• Modelos Aditivos: Dirigidos principalmente a clientes de la banca y
se suma al servicio que poseen. Mejora la fidelidad de los clientes y
eficiencia del servicio.
• Modelos Transformacionales: Buscan llegar a segmentos no
bancarizados a través de productos que se orientan a cubrir
necesidades específicas.
Seleccionar el aplicativo con base al modelo de servicio financiero
móvil.
Modelos para prestar servicios financieros móviles:
![Page 8: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/8.jpg)
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2
Uso del teléfono móvil como terminal de acceso remoto a servicios
financieros:
• La versatilidad del teléfono móvil permite ofrecer servicios que van
más allá de la voz.
• El teléfono móvil ofrece un canal que permite acceder a información
personal importante en cualquier momento y lugar.
• Es una clara alternativa frente a la inversión en infraestructuras para
acceder al dinero como cajeros y tarjetas de crédito.
• El teléfono móvil puede ofrecer acceso tanto a servicios financieros
de consulta como transaccionales.
![Page 9: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/9.jpg)
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2
Ref. Mobile Marketing Association Spain MMA/Seeketing
![Page 10: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/10.jpg)
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2
Ref. Mobile Marketing Association Spain MMA/Seeketing
![Page 11: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/11.jpg)
Panorama del acceso de alta velocidad a Internet, para América Central
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil
Panorama actual de la seguridad
Anatomía de ataques a los sistemas operativos iOS y Android
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
1
2
3
5
4
![Page 12: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/12.jpg)
Panorama actual de la seguridad 3
![Page 13: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/13.jpg)
Panorama actual de la seguridad 3
Aplicaciones falsas detectadas en Google Play (muestra de 50 aplicaciones)
Ref. Trend Micro
![Page 14: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/14.jpg)
Panorama actual de la seguridad 3
Ref. Trend Micro
Código malicioso detectado en Google Play (muestra de 50 aplicaciones)
![Page 15: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/15.jpg)
Panorama actual de la seguridad 3
Eventos de fraude en Google Play
Ref. Trend Micro
![Page 16: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/16.jpg)
Panorama actual de la seguridad 3
Eventos que han impactado a la seguridad de los aplicativos móviles de Bancos
Ref. Pcmagazine.com
![Page 17: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/17.jpg)
Panorama actual de la seguridad 3
Ref. Intego.com
![Page 18: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/18.jpg)
Panorama del acceso de alta velocidad a Internet, para América Central
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil
Panorama actual de la seguridad
Anatomía de ataques a los sistemas operativos iOS y Android
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
1
2
3
5
4
![Page 19: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/19.jpg)
Anatomía de ataques a los sistemas operativos iOS y Android 4
Acceso Físico
Ingeniería Social
Puntos de Acceso WiFi Inseguros
1 2 3 Google Play Market
4
![Page 20: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/20.jpg)
Anatomía de ataques a los sistemas operativos iOS y Android 4
Acceso físico Ingeniería social Puntos de acceso WiFi inseguros
Realizar Jailbreak e
incorporar Troyano
para acceder
remotamente.
Perfiles maliciosos (LinkedIn
Intros). Certificados falsos
(FinSpy).
Crear puntos de accesos sin
contraseña, con el objeto de escuchar
tráfico para robar información.
iOS
Acceso físico Ingeniería social Google Play Puntos de acceso
WiFi inseguros
Realizar Root e
incorporar
Troyano para
acceder
remotamente
Engaño a través de
correos y sitios web,
para instalar nuevas
aplicaciones o
actualizaciones de las
mismas, con código
malicioso.
Repackaged Apps
(aplicaciones falsas).
Aplicaciones con falsos
comentarios positivos y
calificaciones de 5
estrellas.
Crear puntos de
accesos sin
contraseña, con el
objeto de escuchar
tráfico
Android
![Page 21: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/21.jpg)
Anatomía de ataques a los sistemas operativos IOS y Android 4
LinkedIn Intros
![Page 22: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/22.jpg)
Anatomía de ataques a los sistemas operativos IOS y Android 4
Ref. Wikileaks
FinSpy
![Page 23: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/23.jpg)
Panorama del acceso de alta velocidad a Internet, para América Central
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil
Panorama actual de la seguridad
Anatomía de ataques a los sistemas operativos iOS y Android
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
1
2
3
5
4
![Page 24: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/24.jpg)
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5
Comprender nuestro entorno
• ¿Qué metodología de desarrollo seguimos?
• ¿Qué lenguajes de programación utilizamos?
• ¿Qué marcos de riesgos/seguridad seguimos?
• ¿Qué bibliotecas de terceros utilizamos?
• ¿Qué etapas en el proceso de desarrollo requieren la aprobación del
equipo de seguridad?
• ¿Qué normativa debemos cumplir? JM-102-2011 y JM-120-2011
![Page 25: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/25.jpg)
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5
Comprender las plataformas que utilizamos
• iOS, Android, Windows, BlackBerry
Cuatro controles de seguridad clave
• Requisitos de seguridad definidos: Plan del proyecto, contrato con el
proveedor, entre otros.
• Revisiones de seguridad del código fuente: revisiones manuales.
• Pruebas de seguridad en el control de calidad: casos de prueba
positivos y negativos.
• Análisis del aplicativo que fue implementado: escaneos
automatizados, análisis manuales, entre otros.
![Page 26: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/26.jpg)
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5
OWASP Top 10 Mobile Risks
![Page 27: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/27.jpg)
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5
OWASP iOS AppSec Cheat Sheet
![Page 28: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/28.jpg)
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5
iOS: Archivos objetivo Android: Archivos objetivo
![Page 29: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/29.jpg)
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5
Estándares de seguridad
• ISO 27000, Information Security Management Systems
• NIST -National Institute of Standards and Technology- Cybersecurity
Framework
• OWASP -Open Web Application Security Project-
![Page 30: Mejores prácticas de Seguridad de la Información aplicadas ... · • iOS, Android, Windows, BlackBerry Cuatro controles de seguridad clave • Requisitos de seguridad definidos:](https://reader034.fdocumento.com/reader034/viewer/2022042914/5f4d972c68593756d475e4a4/html5/thumbnails/30.jpg)
Dudas o comentarios?
Oscar Tzorín Superintendencia de Bancos de Guatemala.
9 avenida 22-00 zona 1, Ciudad de Guatemala, Guatemala.
Guatemala, Julio de 2015.