Mejores prácticas de Seguridad de la Información aplicadas a la Banca Móvil Oscar Tzorín Superintendencia de Bancos de Guatemala 1
1 Panorama del acceso de alta velocidad a Internet, para América Central 2 Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 3 Panorama actual de la seguridad 4 Anatomía de ataques a los sistemas operativos ios y Android 5 Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
1 Panorama del acceso de alta velocidad a Internet, para América Central
1 Panorama del acceso de alta velocidad a Internet, para América Central Ref. 4gamericas.org
1 Panorama del acceso de alta velocidad a Internet, para América Central 2 Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 3 Panorama actual de la seguridad 4 Anatomía de ataques a los sistemas operativos ios y Android 5 Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
2 Las APP como soporte tecnológico del modelo de negocio de Banca Móvil
2 Las APP como soporte tecnológico del modelo de negocio de Banca Móvil Modelos para prestar servicios financieros móviles: Modelos Aditivos: Dirigidos principalmente a clientes de la banca y se suma al servicio que poseen. Mejora la fidelidad de los clientes y eficiencia del servicio. Modelos Transformacionales: Buscan llegar a segmentos no bancarizados a través de productos que se orientan a cubrir necesidades específicas. Seleccionar el aplicativo con base al modelo de servicio financiero móvil.
2 Las APP como soporte tecnológico del modelo de negocio de Banca Móvil Uso del teléfono móvil como terminal de acceso remoto a servicios financieros: La versatilidad del teléfono móvil permite ofrecer servicios que van más allá de la voz. El teléfono móvil ofrece un canal que permite acceder a información personal importante en cualquier momento y lugar. Es una clara alternativa frente a la inversión en infraestructuras para acceder al dinero como cajeros y tarjetas de crédito. El teléfono móvil puede ofrecer acceso tanto a servicios financieros de consulta como transaccionales.
2 Las APP como soporte tecnológico del modelo de negocio de Banca Móvil Ref. Mobile Marketing Association Spain MMA/Seeketing
2 Las APP como soporte tecnológico del modelo de negocio de Banca Móvil Ref. Mobile Marketing Association Spain MMA/Seeketing
1 Panorama del acceso de alta velocidad a Internet, para América Central 2 Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 3 Panorama actual de la seguridad 4 Anatomía de ataques a los sistemas operativos ios y Android 5 Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
3 Panorama actual de la seguridad
3 Panorama actual de la seguridad Aplicaciones falsas detectadas en Google Play (muestra de 50 aplicaciones) Ref. Trend Micro
3 Panorama actual de la seguridad Código malicioso detectado en Google Play (muestra de 50 aplicaciones) Ref. Trend Micro
3 Panorama actual de la seguridad Eventos de fraude en Google Play Ref. Trend Micro
3 Panorama actual de la seguridad Eventos que han impactado a la seguridad de los aplicativos móviles de Bancos Ref. Pcmagazine.com
3 Panorama actual de la seguridad Ref. Intego.com
1 Panorama del acceso de alta velocidad a Internet, para América Central 2 Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 3 Panorama actual de la seguridad 4 Anatomía de ataques a los sistemas operativos ios y Android 5 Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
4 Anatomía de ataques a los sistemas operativos ios y Android Acceso Físico Ingeniería Social Puntos de Acceso WiFi Inseguros 1 2 3 Google Play 4 Market
4 Anatomía de ataques a los sistemas operativos ios y Android ios Acceso físico Ingeniería social Puntos de acceso WiFi inseguros Realizar Jailbreak e incorporar Troyano para acceder remotamente. Perfiles maliciosos (LinkedIn Intros). Certificados falsos (FinSpy). Crear puntos de accesos sin contraseña, con el objeto de escuchar tráfico para robar información. Android Acceso físico Ingeniería social Google Play Puntos de acceso WiFi inseguros Realizar Root e incorporar Troyano para acceder remotamente Engaño a través de correos y sitios web, para instalar nuevas aplicaciones o actualizaciones de las mismas, con código malicioso. Repackaged Apps (aplicaciones falsas). Aplicaciones con falsos comentarios positivos y calificaciones de 5 estrellas. Crear puntos de accesos sin contraseña, con el objeto de escuchar tráfico
4 Anatomía de ataques a los sistemas operativos IOS y Android LinkedIn Intros
4 Anatomía de ataques a los sistemas operativos IOS y Android FinSpy Ref. Wikileaks
1 Panorama del acceso de alta velocidad a Internet, para América Central 2 Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 3 Panorama actual de la seguridad 4 Anatomía de ataques a los sistemas operativos ios y Android 5 Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
5 Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil Comprender nuestro entorno Qué metodología de desarrollo seguimos? Qué lenguajes de programación utilizamos? Qué marcos de riesgos/seguridad seguimos? Qué bibliotecas de terceros utilizamos? Qué etapas en el proceso de desarrollo requieren la aprobación del equipo de seguridad? Qué normativa debemos cumplir? JM-102-2011 y JM-120-2011
5 Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil Comprender las plataformas que utilizamos ios, Android, Windows, BlackBerry Cuatro controles de seguridad clave Requisitos de seguridad definidos: Plan del proyecto, contrato con el proveedor, entre otros. Revisiones de seguridad del código fuente: revisiones manuales. Pruebas de seguridad en el control de calidad: casos de prueba positivos y negativos. Análisis del aplicativo que fue implementado: escaneos automatizados, análisis manuales, entre otros.
5 Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil OWASP Top 10 Mobile Risks
5 Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil OWASP ios AppSec Cheat Sheet
5 Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil ios: Archivos objetivo Android: Archivos objetivo
5 Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil Estándares de seguridad ISO 27000, Information Security Management Systems NIST -National Institute of Standards and Technology- Cybersecurity Framework OWASP -Open Web Application Security Project-
Dudas o comentarios? Oscar Tzorín Superintendencia de Bancos de Guatemala. 9 avenida 22-00 zona 1, Ciudad de Guatemala, Guatemala. Guatemala, Julio de 2015.