Seguridad Cibernética - citibank.com · de ataques cibernéticos desde Febrero 20151 ......
Transcript of Seguridad Cibernética - citibank.com · de ataques cibernéticos desde Febrero 20151 ......
1
Seguridad
Cibernética
Citibanamex Foro de Aseguradoras
Ciudad de Mexico | 8 de junio del 2017
David Herrerías
Director, Experto en Seguridad, Citibanamex
Treasury and Trade Solutions
3
Impacto Económico de los Ataques Cibernéticos
Un ataque cibernético es un intento por parte de criminales a través de internet para obtener acceso a un
sistema o red de sistemas, brindándoles la oportunidad de robar dinero y datos confidenciales, utilizando
métodos ya sean técnicos o no
El costo global estimado
de ataques cibernéticos
desde Febrero 20151
$445
Billones $241 Billones
El costo combinado
de tres economías
mundiales2
EE.UU
$116BN
China
$71BN
Alemania
$54BN
EE.UU. Alemania Rusia
$12.7M
$6.8M
$1.8M
El costo anualizado de los
ataques cibernéticos a companias3
Otros Países
$204BN
Computer Weekly; “Cyber crime is
a threat to global economy, says
researcher”; February 2015
McAfee; “Net Losses: Estimating
the Global Cost of Cybercrime”;
June 2014
Ponemon Institute; “2014 Global
Report on the Cost of Cyber crime”;
October 2014
4
Evolución y Amenazas Actuales
El volumen y la complejidad de las amenazas cibernéticas son cada vez mayores
TENDENCIAS CLAVE
Ingeniería Social | Víctimas predeterminadas | Herramientas sofisticadas | Persistencia/Visión de largo plazo
Suplantación de Identidad | Piratería del Correo Electrónico
1980’s
1990’s
2000’s
- h
oy
El criminal era un individuo.
Sus acciones eran oportunas y casuales.
Su deseo era “demonstrar que sí podían”.
Típicamente, los criminales todavía eran
individuos.
Pero sus acciones eran premeditadas y
planificadas.
Y sus deseos eran obtener una ganancia
financiera.
Los criminales pertenecen a organizaciones bien
estructuradas.
Sus acciones no solo son coordinadas, sino
también financiadas.
Los criminales son impulsados por las
oportunidades geopolíticas y ganancias financieras.
5
Actores de la Amenaza Cibernética
Existen diferentes tipos de actores que generan amenazas cibernéticas
El Estado-Nación La Piratería Informática (Hacktivism) El Terrorism
La Delincuencia Cibernética Empleados Internos
• Actores sofisticados
• Su objetivo son secretos
comerciales y datos sensibles
• Apoyan los intereses nacionales
• En la mayoría de los casos, los
ataques son destructivos
• En la mayoría de los casos, los
ataques son destructivos
• Política o ideológicamente
motivados
• Su meta es causar miedo
• En la mayoría de los casos, los
ataques son destructivos
• Financieramente motivados
• Uso frecuente de la
ingeniería social
• Las motivaciones varían incluyendo
fraude, venganza, deseo de
destrucción
• El acceso normalmente está
autorizado, lo que hace que la
detección sea mas difícil
6
¿Por qué la Gente Comete Fraudes?
Existen muchas respuestas a esta pregunta, sin embargo la experiencia indica que las razones tienden a
entrar en tres categorías: motivación, oportunidad y racionalización
Oportunidad Racionalización
Motivación
Avaricia o necesidad
Deudas personales, necesidades
financieras repentinas, apuestas…
“Me lo deben”
Lo merezco, los pagaré después,
nadie saldrá lastimado…
No me descubrirán
¿Existen controles de auditoría
o procesos de reconciliación?
Triángulo
del fraude
8
Interacciones Internas y Externas
La prevención del fraude requiere controles a lo largo de todas las relaciones de la empresa
Flujos financieros
del Cliente
Bancos
Proveedor externo
contratado
para funciones
financieras
Otras partes de la
Empresa
Seguridad de
Información y
Tecnología
Proveedores
Interacciones externas
Interacciones internas
9
Caso: WannaCry
Ataque de dimensiones globales efectuado el 12 de Mayo
Tipo de ataque: Ransomware – Código malicioso que encripta el sistema de archivos de las
computadoras afectadas. Defraudadores exigen US $300 para liberar los archivos.
¿Cómo sucedió? – El código toma ventaja de una vulnerabilidad de Microsoft Windows en un
protocolo comunmente utilizado para compartir archivos.
¿Se pudo haber evitado? – Sí. Microsoft liberó un fix de seguridad en Marzo, pero los Clientes
(típicamente grandes corporaciones) no suelen ser tan ágiles para realizar actualizaciones en
sus equipos.
Alcance a
150
Países
200,000
computadoras
afectadas
Fuente: Infopol
10
Tendencias y Tipos de Fraude en Banca Electrónica
Los métodos que utilizan los defraudadores cambian con el paso del tiempo y principalmente explotan
vulnerabilidades mediante ingeniería social
Mediante engaños, el defraudador busca obtener en tiempo real las credenciales y códigos de acceso para un
canal financiero, robando la identidad de la víctima e ingresando en el mismo momento a la sesión bancaria.
PHISHING
VISHING
MALWARE
12
Mitos y Realidades
¿Cuáles son los bancos que utilizan los defraudadores?
MITO
Los defraudadores
atacan a usuarios del
banco más grande por
país o región…
REALIDAD
Loa ataques comienzan
utilizando a los bancos
principales y se mueven
hacia los más pequeños sin
olvidar a nadie…
13
Mitos y Realidades
MITO
Los defraudadores se
enfocan en sustraer
recursos directamente
de los bancos…
REALIDAD
Los defraudadores utilizan
métodos de ingeniería social
para robar datos sensitivos
de los usuarios…
Los defraudadores atacan al eslabón más débil
14
Mitos y Realidades
MITO
La seguridad es responsabilidad
del banco.
La seguridad es responsabilidad
de la empresa.
REALIDAD
¡La responsabilidad es
compartida!
¿Quién es responsable?
15
Mitos y Realidades
MITO
El banco y sus empleados tienen
acceso a mis claves
confidenciales…
REALIDAD
El banco almacena
información sensible de
forma encriptada…
Almacenamiento de datos sensibles
16
Mitos y Realidades
MITO
Los usuarios necesitan ser
expertos en temas de seguridad
cibernética…
REALIDAD
Únicamente se necesitan
aplicar mejores prácticas en
manejo de información y
equipos de cómputo…
¿Necesito una maestría en seguridad?
17
Mitos y Realidades
MITO
Internet es un ambiente inseguro
y todo es peligroso…
REALIDAD
¡Nuestras prácticas de
seguridad son peligrosas!
Internet… ¡cuidado!
19
Defensa Estratégica
La creación de una defensa que utiliza las mejores prácticas de seguridad de la industria es clave para
proteger los activos de las empresas
PREVENCIÓN DETECCIÓN RESPUESTA
Personas/Procesos/Tecnología
20
Defensa Estratégica - Prevención
Las medidas preventivas y las mejores prácticas para ayudar a mitigar el riesgo y agregar valor
PERSONAS PROCESOS TECNOLOGÍA
Segregación de deberes
El personal dedicado a tareas altamente
sensibles debe rotar periódicamente
El personal con responsabilidades
financieras debe de tomar ausencias
obligatorias
Una única persona no puede controlar una
transacción de principio a fin
Verificación de antecedentes
Los procedimientos de contratación deben
incluir la verificación de referencias e
investigación de antecedentes
La misma verificación ha de realizarse
cuando se contrata a terceras entidades
Identidad y gestión de acceso
La gestión del acceso privilegiado del
usuario requiere un proceso de control
El Dispositivo/Control de Software
Protección Anti-Malware y Anti-Virus
Actualizaciones del sistema y desarrollo
de un software seguro incluyendo la
revisión del Source Code
Acceso y gestión de derechos y licencias
Perímetro/Seguridad de la Red
Cortafuegos
Denegación de Servicio de Protección
Conectividad Segura/Autorizada
Autenticación de múltiples factores
Conectividad segura entre terceros con
contrafuegos y codificación
Gestión de proveedores
Revisión de procesos de pago de principio
a fin
Requisitos/procesos internos para la
gestión del Riesgo y la Seguridad de la
información de terceros
Evaluación de la Seguridad de la
información de terceros
Protección de datos
Limitar el acceso a datos sensibles o
confidenciales
Retención de datos, almacenaje y política
de la privacidad
Control y Segregación de Cuentas
21
Defensa Estratégica - Detección
Las medidas proactivas para detectar actividades fraudulentas ayudaran a mitigar riesgos nivel transaccional
PERSONAS PROCESOS TECNOLOGÍA
Entrenamiento de Personal
Promover entrenamientos periódicos
sobre amenazas cibernéticas y
reconocimiento de fraude
Pruebas periódicas y aleatorias basadas
en la habilidad para reconocer amenazas
comunes de los miembros de sus equipos
Monitoreo de la Red
La detección de intrusiones (ej. monitoreo
24/7 del trafico de la red para detectar
anormalidades)
Controles de anti-phishing (ej. la filtración
de correos electrónicos y falsos enlaces)
Protección de perdida de data importante
(ej. Monitoreo de correspondencia
electrónica que sale de la empresa)
Evaluación de Vulnerabilidad
“Hackeo” ético para identificar/remediar
debilidades
Auditorias
Revisiones periódicas y auditorías
Reconciliaciones
Reconciliación de cuenta diaria e
intradiaria utilizando múltiples medios
Revisión periódica de los informes de
transacciones e indicadores de actividad
22
Defensa Estratégica - Respuesta
PERSONAS PROCESOS TECNOLOGÍA
Reacción y Escalamiento
Emitir alertas y recordatorios al personal
para que sepan exactamente qué hacer en
el caso de un riesgo potencial o real
Garantizar el desarrollo de personal
especializado en la gestión de crisis
Medidas de Contingencia
La contingencia de infraestructura
Pruebas
Prueba de la capacidad de respuesta ante
un fallo de datos o sistemas ya sea
internos o de terceras entidades
Gestión de la Seguridad del Incidente
Proceso de extracción de la incidencia del
sistema
Pruebas periódicas del plan de defensa en
caso de un ataque cibernético
Comunicación Externa e Interna
Investigación y Seguros
Investigación de la causa principal
Informes puntuales de incidentes
Cobertura apropiada de seguros
La reacción adecuada y los mecanismos de recuperación son necesarios para poder mitigar el riesgo de
manera eficaz y oportuna
IRS Circular 230 Disclosure: Citigroup Inc. and its affiliates do not provide tax or legal advice. Any discussion of tax matters in these materials (i) is not intended or written to be used, and cannot be used or
relied upon, by you for the purpose of avoiding any tax penalties and (ii) may have been written in connection with the "promotion or marketing" of any transaction contemplated hereby ("Transaction").
Accordingly, you should seek advice based on your particular circumstances from an independent tax advisor.
Any terms set forth herein are intended for discussion purposes only and are subject to the final terms as set forth in separate definitive written agreements. This presentation is not a commitment or firm offer and does not
obligate us to enter into such a commitment, nor are we acting as a fiduciary to you. By accepting this presentation, subject to applicable law or regulation, you agree to keep confidential the information contained herein and
the existence of and proposed terms for any Transaction.
We are required to obtain, verify and record certain information that identifies each entity that enters into a formal business relationship with us. We will ask for your complete name, street address, and taxpayer ID number.
We may also request corporate formation documents, or other forms of identification, to verify information provided.
[TRADEMARK SIGNOFF: add the appropriate signoff for the relevant legal vehicle]
© 2017 Citibank, N.A. All rights reserved. Citi and Citi and Arc Design are trademarks and service marks of Citigroup Inc. or its affiliates and are used and registered throughout the world.
© 2017 Citibank, N.A. London. Authorised and regulated by the Office of the Comptroller of the Currency (USA) and authorised by the Prudential Regulation Authority. Subject to regulation by the Financial Conduct Authority
and limited regulation by the Prudential Regulation Authority. Details about the extent of our regulation by the Prudential Regulation Authority are available from us on request. All rights reserved. Citi and Citi and Arc Design
are trademarks and service marks of Citigroup Inc. or its affiliates and are used and registered throughout the world