Bogotá D.C, agosto de 2012

1Superfinanciera, Primera en Transparencia

2Superfinanciera, Primera en Transparencia 2Bogotá D.C, agosto de 2012

Seguridad en Operaciones Financieras

Francisco Espinosa RodríguezDirector de Riesgo Operativo


Agenda

1. Estadísticas de operaciones.

2. Quejas.

3. Algunas modalidades de fraude.

4. Normatividad RO.

5. Seguridad y calidad en las operaciones (CE-052 / CE022).

Superfinanciera, Primera en Transparencia

1. Operaciones vs montos

2008 2009 2010 20111,640

1,840

2,040

2,240

2,440

2,640

2,840

2,000

2,500

3,000

3,500

4,000

4,500

5,000

5,500

2,214 2,273

2,451

2,655

$ 3,838

$ 4,304

$ 4,877

$ 5,067

Monto y número de operaciones

No. Total de Operaciones (millones) Monto Operaciones (billones $)

Billones $Millones

MontoNúmero

4


1. Operaciones por canales

2008 2009 2010 20110%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

22%27% 30% 31%

30% 28% 26% 25%

26% 24% 22% 22%

9% 9% 10% 10%

Participación en Número Total de Operaciones – millones

Telefonía Móvil Corresponsales Bancarios Pagos Automáticos ACH Audio Respuesta Datáfonos Cajeros automáticos Oficinas Internet

2.273 2.451 2.6552.214

5


1. Montos por canal

2008 2009 2010 20110.0%

2.0%

4.0%

6.0%

8.0%

10.0%

12.0%

5.6% 4.3% 3.5% 3.4%

2.6%

3.0% 2.8% 2.7%

2.9%

2.6%

2.5% 2.4%

0.4%

0.7%

1.2% 1.6%

0.2%

0.4%0.6% 0.7%

Participación por Número Total de Operaciones

Telefonía Móvil Corresponsales Bancarios Pagos Automáticos ACH Audio Respuesta

6


1. Montos por canal

2008 2009 2010 20110%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

69% 63% 58% 56%

14% 20% 25% 26%

11% 11% 12% 12%

2% 2% 2% 2%

Participación en Monto de Operaciones – billones $

Telefonía Móvil Audio Respuesta Corresponsales Bancarios Pagos Automáticos Datáfonos Cajeros automáticos ACH Internet Oficinas

3,838 4,304 4,877 5,067

7


1. Montos por canal

2008 2009 2010 20110.0%

0.2%

0.4%

0.6%

0.8%

1.0%

1.2%

1.4%

1.6%

1.8%

2.0%

1.25%

0.86% 0.90%1.05%

0.51%

0.50%0.55%

0.56%

0.04%

0.07%

0.11%

0.18%

0.11%

0.08%

0.06%

0.06%

0.0010%

0.0010%

0.0010%

0.0015%

Participación en Monto de Operaciones

Telefonía Móvil Audio Respuesta Corresponsales Bancarios Pagos Automáticos Datáfonos


1. Canales

Canal Cantidad - 2012 (junio)

Datafonos 197.906Cajeros automáticos 11.400Corresponsales bancarios 26.311Oficinas 5.807Conexiones a Internet 6 millonesMunicipios con banda ancha (fibra óptica) 325Teléfonos celulares en Col. 47.8 millones

Canal Cantidad proyectada - 2014

Conexiones a Internet 8.8 millones

Municipios con banda ancha 700

Tarjetas Cantidad

Débito 17.3 millones

Crédito 9.7 millones

Chip 10.8 millones


Bancos

Cias de Financia

miento

Seguros V

ida

Institu

ciones O

ficiales

Fondos Pensio

nes

Fiduciaria

s

Seguros G

enerales

Capitaliz

adoras

Cooperativas 0

2,000

4,000

6,000

8,000

10,000

12,000

14,000

16,000

18,000

20,000 330,802

15,050

7,337

2,471 2,295 1,894

2,950

1,065 956

Quejas Reportadas por las Entidades

2008200920102011

410.742339.850

352.492 365.231

2. Estadísticas de Quejas


2. Estadísticas de Quejas

11

MOTIVO QUEJA 2007 2008 2009 2010 2011

Fallas en Cajero Automático 2.785 2.654 2.896 3.570 3.551

Reporte Centrales de Riesgos 1.136 967 2.004 2.188 3.016

Fallas en Internet 440 622 882 1.144 1.462

Fallas en Datafono 39 205 385 505 705

Descuentos Injustificados 535 533 330 535 574

No se Remite Información al Cliente 623 429 416 351 336

Pago de Cheque Falsificado o Irregular 120 180 265 195 249

Consignación Errónea 300 78 50 130 205

Suplantación Presunta de Persona 314 302 277 239 204

Billetes Falsos 82 91 130 113 149

Quejas Recibidas por la Delegatura para Riesgo Operativo

2007 2008 2009 2010 2011

7.243 6.602 8.101 9.453 10.806


2. Operaciones vs quejas por canales

2007 2008 2009 2010 20111,900

2,000

2,100

2,200

2,300

2,400

2,500

2,600

2,700

40,000

60,000

80,000

100,000

120,000

2,2142,273

2,451

2,654

128,233113,322

102,819 95,288

98,380

Número de operaciones vs quejas

No Total de Operaciones (millones) Quejas (unidades)

Millones

Número Quejas

Unidades

Año 2008 2009 2010 2011

Operaciones x c/queja recibida 19,539 22,107 25,722 26,977

12


3. Modalidades de fraude

13

Fraudes Presenciales

• Fleteo (retiro robo fuera oficina).• Suplantación (robo de identidad HD). • Fraudes Internos (empleados se

aprovechan las deficiencias en la gestión de los riesgos, en particular, la adecuada segregación de funciones y controles ineficaces e inoportunos).

• Taquillazo (atraco en ventanillas).• Robo de cajeros automáticos y

oficinas.• Paseo millonario.• Cambiazo (sustitución de tarjetas).• Adulteración de datafonos.• Clonación de tarjetas débito y crédito

(skimmers + cámaras).

Fraudes Electrónicos

• Phishing (e-mail + Web fraudulentos).• Vishing (llamadas telefónicas).• Smshing (mensajes de texto).• Pharming ( Suplantar DNS). • Software Maliciosoo Keyloggerso Screen Loggerso Viruso Gusanoso Otros

Redes sociales + Ingeniería Social =compromiso


Clonación de tarjetas débito y crédito.• Skimmer: dispositivo electrónico que permite capturar la información de la

banda magnética.• En cajeros automáticos se usa en compañía de cámaras o teclados falsos para

capturar la clave.• Antes: se instalaban por días. Ahora, por minutos.

3. Fraudes presenciales


Phishing – 2011

• Los bancos han contratado firmas especializadas para identificar mensajes de phishing y sitios Web fraudulentos.

• Aproximadamente 5.500 millones de ataques bloqueados en el año.

• En promedio 4.596 ataques de sitios Web bloqueados por día.

• Sitios fraudulentos en otras partes del mundo.

• Tiempo estimado para bloquear un sitio fraudulento: 4 – 24 horas.

• Mover la página fraudulenta a otro sitio Web tarda minutos.

3. Fraudes electrónicos


Phishing


Industrias atacadas

Symantec Intelligence Report: July 2012

Posición Sectores Porcentaje

1 Servicios de Información 36,3%

2 Banca 33%

3 Comercio Electrónico 28%

4 Telecomunicaciones 1,4%

5 Comunicaciones 0,46%

6 Consumo 0,44%

7 Gobierno 0,37%

8 Seguros 0,021%


3. Comportamiento del Phishing

De mayo a junio de 2012 se incrementaron en un 7% el número de ataques de Phishing identificados.

*Tomado del reporte mensual de RSA : Junio 2012: http://www.rsa.com/solutions/consumer_authentication/intelreport/11733_Online_Fraud_report_0612.pdf

May-1

1Jun-11

Jul-11

Aug-11

Sep-11

Oct-11

Nov-11

Dec-11

Jan-12

Feb-12

Mar-1

2

Apr-12

May-1

20

5000

10000

15000

20000

25000

30000

35000

40000

23097 22516

2519126907

38970

24019

28365

21119

29974

2103019141

3555837878

http://www.rsa.com/solutions/consumer_authentication/intelreport/11733_Online_Fraud_report_0612.pdf



Software malicioso (malware) – 2011

• Antivirus y software de seguridad.

• 4.989 nuevas vulnerabilidades en elementos tecnológicos identificadas en 2011, aproximadamente 95 por semana.

• Más de 403 millones de variantes de malware.

• Los ataques se siguen moviendo hacia los dispositivos móviles:

- 93% más vulnerabilidades.- 1.116% más malware respecto a 2010.

Symantec Internet Security Threat Report – Abril de 2011

Tipos de malware total en dispositivos móviles



Posición Sectores Porcentaje

1 Blog/Comunicaciones Web 19,8%

2 Hosting/Sitios Personales 15,6%

3 Negocios/Economía 10,0%

4 Compras 7,7%

5 Educación 6,9%

6 Tecnología: Computadores e Internet 6,9%

7 Entretenimiento y música 3,8%

8 Autos 3,8%

9 Medicina y salud 2,7%

10 Pornografía 2,4%

Categorías de sitios Web más riesgosos - 2011

Symantec Internet Security Threat Report – Abril de 2011



3. Estadísticas de fraudes - Banca mundial

¿Qué tipo de fraude afectó a las entidades

en 2011?

*Tomado del reporte generado del análisis de expertos del ISMG (International Security Management Group) de la encuesta realizada en 2012 sobre fraude en entidades bancarias: http://www.bankinfosecurity.com/handbooks.php?hb_id=36

http://www.bankinfosecurity.com/handbooks.php?hb_id=36




3. Países con más ataques de Phishing

Aunque los servidores desde donde se realizan los ataques se encuentran en otros países, Colombia se destaca en el reporte presentado de junio de 2012 por RSA, como uno de los países con mayor número de ataques identificados.

*Tomado del reporte mensual de RSA : Junio 2012: http://www.rsa.com/solutions/consumer_authentication/intelreport/11733_Online_Fraud_report_0612.pdf

Top mundial de países por número de ataques




4. Normatividad

Riesgo Operativo

Circular Externa 041 de 2007 – Reglas relativas a la administración del riesgo operativo SARO (incluye BCP).

Circular Externa 052 de 2007 – Requerimientos de seguridad y calidad para la realización de operaciones (preciso requerimientos con CE022 de 2010).

Carta Circular 093 de 2010 - Medidas para prevenir el fleteo.

Circular Externa 038 de 2009 – Instrucciones relativas a la revisión y adecuación del sistema de Control Interno.

Circular Externa 026 de 2011 – Instrucciones sobre los servicios financieros prestados por los establecimientos de crédito, las SCB, y las sociedades de intermediación cambiaria.

Circular Externa 029 de 2012 - Instrucciones relacionadas con la inspección y vigilancia de la actividad de los Operadores de Información de la PILA.


5. CE 052

Requerimientos de seguridad y calidad para la realización de operaciones

Objetivos:• Complementar el SARO.• Actualizar la normatividad existente.• Fijar los requerimientos mínimos de seguridad y calidad para la

realización de operaciones.• Proteger al consumidor financiero y a las mismas entidades.• Incrementar la confianza del público en el sector financiero.

Implementación:

Etapa Requerimientos Vigencia1 84 Julio de 20082 17 Abril de 20093 7 Enero de 2010

Total 108


Estructura de la Circular

• Definiciones. • Obligaciones Generales

Seguridad y Calidad. Terceros Documentación. Divulgación.

• Obligaciones adicionales por tipo de canal. • Reglas de actualización del software.• Obligaciones por tipo de medio – Tarjetas.• Análisis de Vulnerabilidades.

5. CE 052


Ámbito de aplicación

• Aplica para todas las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC), con excepción de algunas en consideración de su tamaño y tipo de negocio.

• Todas las entidades, exceptuadas o no, deben manejar su información en condiciones de seguridad y calidad.

5. CE 052


• Gestionar la seguridad de la información (ISO 27000).

• Informar el costo de la operación por el respectivo canal antes de su realización.

• Generar un soporte al momento de la realización de cada operación monetaria. Tratándose de pagos inferiores a dos salarios mínimos, no será obligatorio la generación de este soporte.

• Informar a los clientes sobre medidas de seguridad.

• Enviar la información confidencial cifrada.

5. Seguridad en las operaciones


• Emplear los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus clientes y de sus operaciones.

• Utilizar datáfonos que cumplan el estándar EMV.

• Permitir a los clientes personalizar las condiciones bajo las cuales realizarán las operaciones por los diferentes canales.

• Elaborar el perfil de las costumbres transaccionales de los clientes y confirmar operaciones inusuales.

• Sincronizar los relojes de los equipos con la hora oficial de la SIC.



• Llevar registro de las consultas realizadas por los funcionarios sobre la información confidencial de los clientes.

• Grabar las llamadas realizadas por los clientes a los centros de atención, cuando consulten o actualicen su información.

• Contar con sistemas de video grabación en oficinas y cajeros automáticos. Mantener la información al menos por 8 meses.

• Establecer las condiciones bajo las cuales los clientes podrán ser informados en línea acerca de las operaciones realizadas con sus productos.

• Expedir paz y salvo por todo concepto, dentro del procedimiento de cancelación de un producto o servicio.



• Evitar que personas no autorizadas atiendan a clientes de la entidad en su nombre.

• Emitir tarjetas personalizadas y que manejen internamente mecanismos fuertes de autenticación.

• Implementar los algoritmos y protocolos necesarios para brindar una comunicación segura.

• Promover y poner a disposición mecanismos que reduzcan la posibilidad de capturar información.

• Ofrecer mecanismos para evitar la captura de la información de las operaciones en Internet.

• Realizar pruebas semestrales de vulnerabilidad.



• Mantener tres ambientes independientes.

• Cuando las entidades necesiten tomar copias de la información de sus clientes para la realización de pruebas, se deberán establecer los controles necesarios para garantizar su destrucción, una vez concluidas las mismas.

• Contar con procedimientos y controles para llevar el software a producción.

En total son 108 requerimientos…


… La seguridad es asunto de todos ...



Gracias

Bogotá D.C, agosto de 2012

Documents

Transcript of Bogotá D.C, agosto de 2012