Seguridad en Home Banking. Tendencias de la Tecnología en Seguridad Informática Argentina 2010

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Seguridad en Home Banking. Tendencias de la Tecnología en Seguridad Informática Argentina 2010"

1 Seguridad en Home Banking Tendencias de la Tecnología en Seguridad Informática Argentina

2 Agenda 1. Proyecto Home Banking 2. Confección de equipos de trabajo 3. Arquitectura integral de seguridad 4. Qué vemos hacia delante? 5. Consultas 2

3 1.- Proyecto Home Banking 3

4 Requerimientos 4

5 2.- Confección de los equipo de trabajos 5

de la Aplicación Clustering del Servicio Seguridad de la Infraestructura y red Ethical Hacking

6 3.- Arquitectura de Seguridad Integral Solución Home Banking Empresa Segregación de funciones y generación de roles Seguridad en la Configuración de la Aplicación Seguridad en el Desarrollo de la Aplicación Clustering del Servicio Seguridad de la Infraestructura y red Ethical Hacking (Test Intrusión) Adhesión al servicio CSIRT Banelco (Computer Security Incident Response Team) 6

3.- Seguridad en la Aplicación e Infraestructura Durante el análisis de requerimientos y diseño del sistema: Reducción de Puntos de Ataque Ley del mínimo privilegio Segregación de funciones En el

7 3.- Seguridad en la Aplicación e Infraestructura Durante el análisis de requerimientos y diseño del sistema: Reducción de Puntos de Ataque Ley del mínimo privilegio Segregación de funciones En el desarrollo se tuvo en cuenta para evitar vulnerabilidades: Validación de datos de entrada y salida Prevención de Buffer Overflow DoS Denegación de Servicio Hardening Infraestructura Capa Presentación (S.O App Web) Infraestructura Capa Aplicación (S.O App Web) Infraestructura Capa Datos (S.O - BD) FireWall Se aplicó alta seguridad en la configuración del sistema: Almacenamiento de contraseña de usuario con algoritmo Hash SHA-256. APS Strings de conexión encriptados con algoritmo RSA. Autorización y administración basado en roles. Autenticación robusta y Teclado Virtual. Conexiones Seguras, protocolo https mediante certificado emitido por Verisign Internet IPS WAF APS Red Interna CBD DMZ WS BD BD WS BD Base Sesiones Externas Base Sesiones Internas y Datos 7

(S.O App Web) Infraestructura Capa Aplicación (S.O App Web) Infraestructura Capa Datos (S.

8 3.- Resumen del Proyecto Caso de Éxito Equipo de trabajo: - Usuario con poder de decisión Know how del negocio - Formación de un equipo de trabajo multidisciplinario - Armado de un equipo de testing - Administración de Versiones - Metodología de Desarrollo de Software - Selección de proveedores altamente calificados Proyecto: - Se cumplió con la puesta en producción para el 1er Piloto - Gastos del proyecto fueron los esperados - Usuario Satisfecho - Metodología de Administración de proyecto 8

Desarrollo de Software - Selección de proveedores altamente calificados Proyecto: - Se cumplió con la puesta en producción

9 4.- Tendencias: Evolución de Transacciones Evolución de Consultas y Transacciones de Clientes En miles de trx 9

10 4.- Ataques Prevenidos WAF Estadistica de Incidentes Command Injection Command injection attacks attempt to execute system commands on the host server to discover data or compromise the server itself % Top 10 Most Critical Web Application Security Risks File System File system attacks attempt to gain access to files that are not typically exposed through HTTP interface LDAP Injection LDAP injection attacks attempt to discover sensitive data from an LDAP directory connected to a web application. Restricted Characters Non-printable characters that are inadvertently or intentionally included in messages can compromise or overburden backend applications, and can be used in HTTP response splitting (CRLF injection) attacks. SQL Injection SQL injection attacks attempt to reveal, modify or destroy data in a database by sending requests containing standard or proprietary SQL commands. Cross-Site Scripting (XSS) Cross-site scripting attacks attempt to redirect data from a legitimate web site to a malicious one by sending requests that are crafted to take advantage of normal web browser behavior to divert data. Credit Card Account Number Masking Detects and masks credit card numbers in messages % 1 0.0% % % % % Total % 10

8% Top 10 Most Critical Web Application Security Risks File System File system attacks attempt to gain access to files that are not typically exposed through HTTP interface LDAP Injection LDAP

11 4.- Que vemos hacia delante...? Aumento de Incidentes de Seguridad - Registro de incidentes de seguridad - Formación de un equipo de respuesta ante incidentes - Definición de corresponsales en cada área - Único canal de ingreso - Procedimientos para los primeros pasos - Formación del Personal - Capacitación - Nuevas necesidades de Herramientas, Ambientes de pruebas 11

un equipo de respuesta ante incidentes - Definición de corresponsales en cada área - Único

12 5.- Consultas Fabian Romero Gerente de Seguridad de la información Gustavo Blanco Líder de Infraestructura de seguridad Rodrigo Tissera Analista Sr. Infraestructura de seguridad 12

Documentos relacionados

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información" No nos va a pasar nosotros Riesgo en Aplicaciones y Sistemas de Información Malas prácticas de