Seguridad Cibernética

Transcripción

1 Seguridad Cibernética Citibanamex Foro de Aseguradoras Ciudad de Mexico 8 de junio del 2017 David Herrerías Director, Experto en Seguridad, Citibanamex david.herreriascorzo@citibanamex.com 1 Treasury and Trade Solutions

2 1. Panorama de amenazas

3 Impacto Económico de los Ataques Cibernéticos Un ataque cibernético es un intento por parte de criminales a través de internet para obtener acceso a un sistema o red de sistemas, brindándoles la oportunidad de robar dinero y datos confidenciales, utilizando métodos ya sean técnicos o no El costo anualizado de los ataques cibernéticos a companias 3 $445 Billones El costo global estimado de ataques cibernéticos desde Febrero Alemania $54BN EE.UU $116BN $241 Billones El costo combinado de tres economías mundiales 2 China $71BN $6.8M $1.8M $12.7M Otros Países $204BN EE.UU. Alemania Rusia Computer Weekly; Cyber crime is a threat to global economy, says researcher ; February 2015 McAfee; Net Losses: Estimating the Global Cost of Cybercrime ; June 2014 Ponemon Institute; 2014 Global Report on the Cost of Cyber crime ; October

4 Evolución y Amenazas Actuales 1980 s 1990 s 2000 s - hoy El volumen y la complejidad de las amenazas cibernéticas son cada vez mayores TENDENCIAS CLAVE Ingeniería Social Víctimas predeterminadas Herramientas sofisticadas Persistencia/Visión de largo plazo Suplantación de Identidad Piratería del Correo Electrónico El criminal era un individuo. Sus acciones eran oportunas y casuales. Su deseo era demonstrar que sí podían. Típicamente, los criminales todavía eran individuos. Pero sus acciones eran premeditadas y planificadas. Y sus deseos eran obtener una ganancia financiera. Los criminales pertenecen a organizaciones bien estructuradas. Sus acciones no solo son coordinadas, sino también financiadas. Los criminales son impulsados por las oportunidades geopolíticas y ganancias financieras. 4

5 Actores de la Amenaza Cibernética Existen diferentes tipos de actores que generan amenazas cibernéticas El Estado-Nación La Piratería Informática (Hacktivism) El Terrorism Actores sofisticados Su objetivo son secretos comerciales y datos sensibles Apoyan los intereses nacionales En la mayoría de los casos, los ataques son destructivos En la mayoría de los casos, los ataques son destructivos Política o ideológicamente motivados Su meta es causar miedo En la mayoría de los casos, los ataques son destructivos La Delincuencia Cibernética Financieramente motivados Uso frecuente de la ingeniería social Empleados Internos Las motivaciones varían incluyendo fraude, venganza, deseo de destrucción El acceso normalmente está autorizado, lo que hace que la detección sea mas difícil 5

6 Por qué la Gente Comete Fraudes? Existen muchas respuestas a esta pregunta, sin embargo la experiencia indica que las razones tienden a entrar en tres categorías: motivación, oportunidad y racionalización Motivación Avaricia o necesidad Deudas personales, necesidades financieras repentinas, apuestas No me descubrirán Existen controles de auditoría o procesos de reconciliación? Triángulo del fraude Me lo deben Lo merezco, los pagaré después, nadie saldrá lastimado Oportunidad Racionalización 6

7 2. El Ecosistema de Seguridad

8 Interacciones Internas y Externas La prevención del fraude requiere controles a lo largo de todas las relaciones de la empresa Bancos Interacciones externas Proveedores Proveedor externo contratado para funciones financieras Seguridad de Información y Tecnología Flujos financieros del Cliente Otras partes de la Empresa Interacciones internas 8

9 Caso: WannaCry Ataque de dimensiones globales efectuado el 12 de Mayo Tipo de ataque: Ransomware Código malicioso que encripta el sistema de archivos de las computadoras afectadas. Defraudadores exigen US $300 para liberar los archivos. Cómo sucedió? El código toma ventaja de una vulnerabilidad de Microsoft Windows en un protocolo comunmente utilizado para compartir archivos. Se pudo haber evitado? Sí. Microsoft liberó un fix de seguridad en Marzo, pero los Clientes (típicamente grandes corporaciones) no suelen ser tan ágiles para realizar actualizaciones en sus equipos. Alcance a 150 Países 200,000 computadoras afectadas 9 Fuente: Infopol

10 Tendencias y Tipos de Fraude en Banca Electrónica Los métodos que utilizan los defraudadores cambian con el paso del tiempo y principalmente explotan vulnerabilidades mediante ingeniería social Mediante engaños, el defraudador busca obtener en tiempo real las credenciales y códigos de acceso para un canal financiero, robando la identidad de la víctima e ingresando en el mismo momento a la sesión bancaria. PHISHING VISHING MALWARE 10

11 Lo Más Común 11

12 Mitos y Realidades Cuáles son los bancos que utilizan los defraudadores? MITO Los defraudadores atacan a usuarios del banco más grande por país o región REALIDAD Loa ataques comienzan utilizando a los bancos principales y se mueven hacia los más pequeños sin olvidar a nadie 12

13 Mitos y Realidades Los defraudadores atacan al eslabón más débil MITO Los defraudadores se enfocan en sustraer recursos directamente de los bancos REALIDAD Los defraudadores utilizan métodos de ingeniería social para robar datos sensitivos de los usuarios 13

14 Mitos y Realidades Quién es responsable? MITO La seguridad es responsabilidad del banco. La seguridad es responsabilidad de la empresa. REALIDAD La responsabilidad es compartida! 14

15 Mitos y Realidades Almacenamiento de datos sensibles MITO El banco y sus empleados tienen acceso a mis claves confidenciales REALIDAD El banco almacena información sensible de forma encriptada 15

16 Mitos y Realidades Necesito una maestría en seguridad? MITO Los usuarios necesitan ser expertos en temas de seguridad cibernética REALIDAD Únicamente se necesitan aplicar mejores prácticas en manejo de información y equipos de cómputo 16

17 Mitos y Realidades Internet cuidado! MITO Internet es un ambiente inseguro y todo es peligroso REALIDAD Nuestras prácticas de seguridad son peligrosas! 17

18 3. Mejores Prácticas

19 Defensa Estratégica La creación de una defensa que utiliza las mejores prácticas de seguridad de la industria es clave para proteger los activos de las empresas PREVENCIÓN DETECCIÓN RESPUESTA Personas/Procesos/Tecnología 19

20 Defensa Estratégica - Prevención Las medidas preventivas y las mejores prácticas para ayudar a mitigar el riesgo y agregar valor PERSONAS PROCESOS TECNOLOGÍA Segregación de deberes El personal dedicado a tareas altamente sensibles debe rotar periódicamente El personal con responsabilidades financieras debe de tomar ausencias obligatorias Una única persona no puede controlar una transacción de principio a fin Verificación de antecedentes Los procedimientos de contratación deben incluir la verificación de referencias e investigación de antecedentes La misma verificación ha de realizarse cuando se contrata a terceras entidades Identidad y gestión de acceso La gestión del acceso privilegiado del usuario requiere un proceso de control Gestión de proveedores Revisión de procesos de pago de principio a fin Requisitos/procesos internos para la gestión del Riesgo y la Seguridad de la información de terceros Evaluación de la Seguridad de la información de terceros Protección de datos Limitar el acceso a datos sensibles o confidenciales Retención de datos, almacenaje y política de la privacidad Control y Segregación de Cuentas El Dispositivo/Control de Software Protección Anti-Malware y Anti-Virus Actualizaciones del sistema y desarrollo de un software seguro incluyendo la revisión del Source Code Acceso y gestión de derechos y licencias Perímetro/Seguridad de la Red Cortafuegos Denegación de Servicio de Protección Conectividad Segura/Autorizada Autenticación de múltiples factores Conectividad segura entre terceros con contrafuegos y codificación 20

21 Defensa Estratégica - Detección Las medidas proactivas para detectar actividades fraudulentas ayudaran a mitigar riesgos nivel transaccional PERSONAS PROCESOS TECNOLOGÍA Entrenamiento de Personal Promover entrenamientos periódicos sobre amenazas cibernéticas y reconocimiento de fraude Pruebas periódicas y aleatorias basadas en la habilidad para reconocer amenazas comunes de los miembros de sus equipos Auditorias Revisiones periódicas y auditorías Reconciliaciones Reconciliación de cuenta diaria e intradiaria utilizando múltiples medios Revisión periódica de los informes de transacciones e indicadores de actividad Monitoreo de la Red La detección de intrusiones (ej. monitoreo 24/7 del trafico de la red para detectar anormalidades) Controles de anti-phishing (ej. la filtración de correos electrónicos y falsos enlaces) Protección de perdida de data importante (ej. Monitoreo de correspondencia electrónica que sale de la empresa) Evaluación de Vulnerabilidad Hackeo ético para identificar/remediar debilidades 21

22 Defensa Estratégica - Respuesta La reacción adecuada y los mecanismos de recuperación son necesarios para poder mitigar el riesgo de manera eficaz y oportuna PERSONAS PROCESOS TECNOLOGÍA Reacción y Escalamiento Emitir alertas y recordatorios al personal para que sepan exactamente qué hacer en el caso de un riesgo potencial o real Garantizar el desarrollo de personal especializado en la gestión de crisis Gestión de la Seguridad del Incidente Proceso de extracción de la incidencia del sistema Pruebas periódicas del plan de defensa en caso de un ataque cibernético Comunicación Externa e Interna Investigación y Seguros Investigación de la causa principal Informes puntuales de incidentes Cobertura apropiada de seguros Medidas de Contingencia La contingencia de infraestructura Pruebas Prueba de la capacidad de respuesta ante un fallo de datos o sistemas ya sea internos o de terceras entidades 22

23 Recuerda DETENTE, PIENSA DA CLIC 23

24 PREGUNTAS

25 IRS Circular 230 Disclosure: Citigroup Inc. and its affiliates do not provide tax or legal advice. Any discussion of tax matters in these materials (i) is not intended or written to be used, and cannot be used or relied upon, by you for the purpose of avoiding any tax penalties and (ii) may have been written in connection with the "promotion or marketing" of any transaction contemplated hereby ("Transaction"). Accordingly, you should seek advice based on your particular circumstances from an independent tax advisor. Any terms set forth herein are intended for discussion purposes only and are subject to the final terms as set forth in separate definitive written agreements. This presentation is not a commitment or firm offer and does not obligate us to enter into such a commitment, nor are we acting as a fiduciary to you. By accepting this presentation, subject to applicable law or regulation, you agree to keep confidential the information contained herein and the existence of and proposed terms for any Transaction. We are required to obtain, verify and record certain information that identifies each entity that enters into a formal business relationship with us. We will ask for your complete name, street address, and taxpayer ID number. We may also request corporate formation documents, or other forms of identification, to verify information provided. [TRADEMARK SIGNOFF: add the appropriate signoff for the relevant legal vehicle] 2017 Citibank, N.A. All rights reserved. Citi and Citi and Arc Design are trademarks and service marks of Citigroup Inc. or its affiliates and are used and registered throughout the world Citibank, N.A. London. Authorised and regulated by the Office of the Comptroller of the Currency (USA) and authorised by the Prudential Regulation Authority. Subject to regulation by the Financial Conduct Authority and limited regulation by the Prudential Regulation Authority. Details about the extent of our regulation by the Prudential Regulation Authority are available from us on request. All rights reserved. Citi and Citi and Arc Design are trademarks and service marks of Citigroup Inc. or its affiliates and are used and registered throughout the world