Bogotá D.C, agosto de 2012
-
Upload
candice-forbes -
Category
Documents
-
view
36 -
download
0
description
Transcript of Bogotá D.C, agosto de 2012
1Superfinanciera, Primera en Transparencia
2Superfinanciera, Primera en Transparencia 2Bogotá D.C, agosto de 2012
Seguridad en Operaciones Financieras
Francisco Espinosa RodríguezDirector de Riesgo Operativo
3Superfinanciera, Primera en Transparencia
Agenda
1. Estadísticas de operaciones.
2. Quejas.
3. Algunas modalidades de fraude.
4. Normatividad RO.
5. Seguridad y calidad en las operaciones (CE-052 / CE022).
Superfinanciera, Primera en Transparencia
1. Operaciones vs montos
2008 2009 2010 20111,640
1,840
2,040
2,240
2,440
2,640
2,840
2,000
2,500
3,000
3,500
4,000
4,500
5,000
5,500
2,214 2,273
2,451
2,655
$ 3,838
$ 4,304
$ 4,877
$ 5,067
Monto y número de operaciones
No. Total de Operaciones (millones) Monto Operaciones (billones $)
Billones $Millones
MontoNúmero
4
Superfinanciera, Primera en Transparencia
1. Operaciones por canales
2008 2009 2010 20110%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
22%27% 30% 31%
30% 28% 26% 25%
26% 24% 22% 22%
9% 9% 10% 10%
Participación en Número Total de Operaciones – millones
Telefonía Móvil Corresponsales Bancarios Pagos Automáticos ACH Audio Respuesta Datáfonos Cajeros automáticos Oficinas Internet
2.273 2.451 2.6552.214
5
Superfinanciera, Primera en Transparencia
1. Montos por canal
2008 2009 2010 20110.0%
2.0%
4.0%
6.0%
8.0%
10.0%
12.0%
5.6% 4.3% 3.5% 3.4%
2.6%
3.0% 2.8% 2.7%
2.9%
2.6%
2.5% 2.4%
0.4%
0.7%
1.2% 1.6%
0.2%
0.4%0.6% 0.7%
Participación por Número Total de Operaciones
Telefonía Móvil Corresponsales Bancarios Pagos Automáticos ACH Audio Respuesta
6
Superfinanciera, Primera en Transparencia
1. Montos por canal
2008 2009 2010 20110%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
69% 63% 58% 56%
14% 20% 25% 26%
11% 11% 12% 12%
2% 2% 2% 2%
Participación en Monto de Operaciones – billones $
Telefonía Móvil Audio Respuesta Corresponsales Bancarios Pagos Automáticos Datáfonos Cajeros automáticos ACH Internet Oficinas
3,838 4,304 4,877 5,067
7
Superfinanciera, Primera en Transparencia
1. Montos por canal
2008 2009 2010 20110.0%
0.2%
0.4%
0.6%
0.8%
1.0%
1.2%
1.4%
1.6%
1.8%
2.0%
1.25%
0.86% 0.90%1.05%
0.51%
0.50%0.55%
0.56%
0.04%
0.07%
0.11%
0.18%
0.11%
0.08%
0.06%
0.06%
0.0010%
0.0010%
0.0010%
0.0015%
Participación en Monto de Operaciones
Telefonía Móvil Audio Respuesta Corresponsales Bancarios Pagos Automáticos Datáfonos
9Superfinanciera, Primera en Transparencia
1. Canales
Canal Cantidad - 2012 (junio)
Datafonos 197.906Cajeros automáticos 11.400Corresponsales bancarios 26.311Oficinas 5.807Conexiones a Internet 6 millonesMunicipios con banda ancha (fibra óptica) 325Teléfonos celulares en Col. 47.8 millones
Canal Cantidad proyectada - 2014
Conexiones a Internet 8.8 millones
Municipios con banda ancha 700
Tarjetas Cantidad
Débito 17.3 millones
Crédito 9.7 millones
Chip 10.8 millones
10Superfinanciera, Primera en Transparencia
Bancos
Cias de Financia
miento
Seguros V
ida
Institu
ciones O
ficiales
Fondos Pensio
nes
Fiduciaria
s
Seguros G
enerales
Capitaliz
adoras
Cooperativas 0
2,000
4,000
6,000
8,000
10,000
12,000
14,000
16,000
18,000
20,000 330,802
15,050
7,337
2,471 2,295 1,894
2,950
1,065 956
Quejas Reportadas por las Entidades
2008200920102011
410.742339.850
352.492 365.231
2. Estadísticas de Quejas
Superfinanciera, Primera en Transparencia
2. Estadísticas de Quejas
11
MOTIVO QUEJA 2007 2008 2009 2010 2011
Fallas en Cajero Automático 2.785 2.654 2.896 3.570 3.551
Reporte Centrales de Riesgos 1.136 967 2.004 2.188 3.016
Fallas en Internet 440 622 882 1.144 1.462
Fallas en Datafono 39 205 385 505 705
Descuentos Injustificados 535 533 330 535 574
No se Remite Información al Cliente 623 429 416 351 336
Pago de Cheque Falsificado o Irregular 120 180 265 195 249
Consignación Errónea 300 78 50 130 205
Suplantación Presunta de Persona 314 302 277 239 204
Billetes Falsos 82 91 130 113 149
Quejas Recibidas por la Delegatura para Riesgo Operativo
2007 2008 2009 2010 2011
7.243 6.602 8.101 9.453 10.806
Superfinanciera, Primera en Transparencia
2. Operaciones vs quejas por canales
2007 2008 2009 2010 20111,900
2,000
2,100
2,200
2,300
2,400
2,500
2,600
2,700
40,000
60,000
80,000
100,000
120,000
2,2142,273
2,451
2,654
128,233113,322
102,819 95,288
98,380
Número de operaciones vs quejas
No Total de Operaciones (millones) Quejas (unidades)
Millones
Número Quejas
Unidades
Año 2008 2009 2010 2011
Operaciones x c/queja recibida 19,539 22,107 25,722 26,977
12
Superfinanciera, Primera en Transparencia
3. Modalidades de fraude
13
Fraudes Presenciales
• Fleteo (retiro robo fuera oficina).• Suplantación (robo de identidad HD). • Fraudes Internos (empleados se
aprovechan las deficiencias en la gestión de los riesgos, en particular, la adecuada segregación de funciones y controles ineficaces e inoportunos).
• Taquillazo (atraco en ventanillas).• Robo de cajeros automáticos y
oficinas.• Paseo millonario.• Cambiazo (sustitución de tarjetas).• Adulteración de datafonos.• Clonación de tarjetas débito y crédito
(skimmers + cámaras).
Fraudes Electrónicos
• Phishing (e-mail + Web fraudulentos).• Vishing (llamadas telefónicas).• Smshing (mensajes de texto).• Pharming ( Suplantar DNS). • Software Maliciosoo Keyloggerso Screen Loggerso Viruso Gusanoso Otros
Redes sociales + Ingeniería Social =compromiso
14Superfinanciera, Primera en Transparencia
Clonación de tarjetas débito y crédito.• Skimmer: dispositivo electrónico que permite capturar la información de la
banda magnética.• En cajeros automáticos se usa en compañía de cámaras o teclados falsos para
capturar la clave.• Antes: se instalaban por días. Ahora, por minutos.
3. Fraudes presenciales
15Superfinanciera, Primera en Transparencia
Phishing – 2011
• Los bancos han contratado firmas especializadas para identificar mensajes de phishing y sitios Web fraudulentos.
• Aproximadamente 5.500 millones de ataques bloqueados en el año.
• En promedio 4.596 ataques de sitios Web bloqueados por día.
• Sitios fraudulentos en otras partes del mundo.
• Tiempo estimado para bloquear un sitio fraudulento: 4 – 24 horas.
• Mover la página fraudulenta a otro sitio Web tarda minutos.
3. Fraudes electrónicos
16Superfinanciera, Primera en Transparencia
Phishing
3. Fraudes electrónicos
Industrias atacadas
Symantec Intelligence Report: July 2012
Posición Sectores Porcentaje
1 Servicios de Información 36,3%
2 Banca 33%
3 Comercio Electrónico 28%
4 Telecomunicaciones 1,4%
5 Comunicaciones 0,46%
6 Consumo 0,44%
7 Gobierno 0,37%
8 Seguros 0,021%
17Superfinanciera, Primera en Transparencia
3. Comportamiento del Phishing
De mayo a junio de 2012 se incrementaron en un 7% el número de ataques de Phishing identificados.
*Tomado del reporte mensual de RSA : Junio 2012: http://www.rsa.com/solutions/consumer_authentication/intelreport/11733_Online_Fraud_report_0612.pdf
May-1
1Jun-11
Jul-11
Aug-11
Sep-11
Oct-11
Nov-11
Dec-11
Jan-12
Feb-12
Mar-1
2
Apr-12
May-1
20
5000
10000
15000
20000
25000
30000
35000
40000
23097 22516
2519126907
38970
24019
28365
21119
29974
2103019141
3555837878
18Superfinanciera, Primera en Transparencia
Software malicioso (malware) – 2011
• Antivirus y software de seguridad.
• 4.989 nuevas vulnerabilidades en elementos tecnológicos identificadas en 2011, aproximadamente 95 por semana.
• Más de 403 millones de variantes de malware.
• Los ataques se siguen moviendo hacia los dispositivos móviles:
- 93% más vulnerabilidades.- 1.116% más malware respecto a 2010.
Symantec Internet Security Threat Report – Abril de 2011
Tipos de malware total en dispositivos móviles
3. Fraudes electrónicos
19Superfinanciera, Primera en Transparencia
Posición Sectores Porcentaje
1 Blog/Comunicaciones Web 19,8%
2 Hosting/Sitios Personales 15,6%
3 Negocios/Economía 10,0%
4 Compras 7,7%
5 Educación 6,9%
6 Tecnología: Computadores e Internet 6,9%
7 Entretenimiento y música 3,8%
8 Autos 3,8%
9 Medicina y salud 2,7%
10 Pornografía 2,4%
Categorías de sitios Web más riesgosos - 2011
Symantec Internet Security Threat Report – Abril de 2011
3. Fraudes electrónicos
20Superfinanciera, Primera en Transparencia
3. Estadísticas de fraudes - Banca mundial
¿Qué tipo de fraude afectó a las entidades
en 2011?
*Tomado del reporte generado del análisis de expertos del ISMG (International Security Management Group) de la encuesta realizada en 2012 sobre fraude en entidades bancarias: http://www.bankinfosecurity.com/handbooks.php?hb_id=36
21Superfinanciera, Primera en Transparencia
3. Países con más ataques de Phishing
Aunque los servidores desde donde se realizan los ataques se encuentran en otros países, Colombia se destaca en el reporte presentado de junio de 2012 por RSA, como uno de los países con mayor número de ataques identificados.
*Tomado del reporte mensual de RSA : Junio 2012: http://www.rsa.com/solutions/consumer_authentication/intelreport/11733_Online_Fraud_report_0612.pdf
Top mundial de países por número de ataques
22Superfinanciera, Primera en Transparencia
4. Normatividad
Riesgo Operativo
Circular Externa 041 de 2007 – Reglas relativas a la administración del riesgo operativo SARO (incluye BCP).
Circular Externa 052 de 2007 – Requerimientos de seguridad y calidad para la realización de operaciones (preciso requerimientos con CE022 de 2010).
Carta Circular 093 de 2010 - Medidas para prevenir el fleteo.
Circular Externa 038 de 2009 – Instrucciones relativas a la revisión y adecuación del sistema de Control Interno.
Circular Externa 026 de 2011 – Instrucciones sobre los servicios financieros prestados por los establecimientos de crédito, las SCB, y las sociedades de intermediación cambiaria.
Circular Externa 029 de 2012 - Instrucciones relacionadas con la inspección y vigilancia de la actividad de los Operadores de Información de la PILA.
23Superfinanciera, Primera en Transparencia
5. CE 052
Requerimientos de seguridad y calidad para la realización de operaciones
Objetivos:• Complementar el SARO.• Actualizar la normatividad existente.• Fijar los requerimientos mínimos de seguridad y calidad para la
realización de operaciones.• Proteger al consumidor financiero y a las mismas entidades.• Incrementar la confianza del público en el sector financiero.
Implementación:
Etapa Requerimientos Vigencia1 84 Julio de 20082 17 Abril de 20093 7 Enero de 2010
Total 108
24Superfinanciera, Primera en Transparencia
Estructura de la Circular
• Definiciones. • Obligaciones Generales
Seguridad y Calidad. Terceros Documentación. Divulgación.
• Obligaciones adicionales por tipo de canal. • Reglas de actualización del software.• Obligaciones por tipo de medio – Tarjetas.• Análisis de Vulnerabilidades.
5. CE 052
25Superfinanciera, Primera en Transparencia
Ámbito de aplicación
• Aplica para todas las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC), con excepción de algunas en consideración de su tamaño y tipo de negocio.
• Todas las entidades, exceptuadas o no, deben manejar su información en condiciones de seguridad y calidad.
5. CE 052
26Superfinanciera, Primera en Transparencia
• Gestionar la seguridad de la información (ISO 27000).
• Informar el costo de la operación por el respectivo canal antes de su realización.
• Generar un soporte al momento de la realización de cada operación monetaria. Tratándose de pagos inferiores a dos salarios mínimos, no será obligatorio la generación de este soporte.
• Informar a los clientes sobre medidas de seguridad.
• Enviar la información confidencial cifrada.
5. Seguridad en las operaciones
27Superfinanciera, Primera en Transparencia
• Emplear los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus clientes y de sus operaciones.
• Utilizar datáfonos que cumplan el estándar EMV.
• Permitir a los clientes personalizar las condiciones bajo las cuales realizarán las operaciones por los diferentes canales.
• Elaborar el perfil de las costumbres transaccionales de los clientes y confirmar operaciones inusuales.
• Sincronizar los relojes de los equipos con la hora oficial de la SIC.
5. Seguridad en las operaciones
28Superfinanciera, Primera en Transparencia
• Llevar registro de las consultas realizadas por los funcionarios sobre la información confidencial de los clientes.
• Grabar las llamadas realizadas por los clientes a los centros de atención, cuando consulten o actualicen su información.
• Contar con sistemas de video grabación en oficinas y cajeros automáticos. Mantener la información al menos por 8 meses.
• Establecer las condiciones bajo las cuales los clientes podrán ser informados en línea acerca de las operaciones realizadas con sus productos.
• Expedir paz y salvo por todo concepto, dentro del procedimiento de cancelación de un producto o servicio.
5. Seguridad en las operaciones
29Superfinanciera, Primera en Transparencia
• Evitar que personas no autorizadas atiendan a clientes de la entidad en su nombre.
• Emitir tarjetas personalizadas y que manejen internamente mecanismos fuertes de autenticación.
• Implementar los algoritmos y protocolos necesarios para brindar una comunicación segura.
• Promover y poner a disposición mecanismos que reduzcan la posibilidad de capturar información.
• Ofrecer mecanismos para evitar la captura de la información de las operaciones en Internet.
• Realizar pruebas semestrales de vulnerabilidad.
5. Seguridad en las operaciones
30Superfinanciera, Primera en Transparencia
• Mantener tres ambientes independientes.
• Cuando las entidades necesiten tomar copias de la información de sus clientes para la realización de pruebas, se deberán establecer los controles necesarios para garantizar su destrucción, una vez concluidas las mismas.
• Contar con procedimientos y controles para llevar el software a producción.
En total son 108 requerimientos…
5. Seguridad en las operaciones
… La seguridad es asunto de todos ...
31Superfinanciera, Primera en Transparencia
Superfinanciera, Primera en Transparencia
Gracias