PCI-DSS - USUARIA · 2019. 9. 12. · PCI-DSS. Pregliasco, Jonatan Gabriel . ... MFA – Req 8 RBAC...
Transcript of PCI-DSS - USUARIA · 2019. 9. 12. · PCI-DSS. Pregliasco, Jonatan Gabriel . ... MFA – Req 8 RBAC...
El Negocio y La Materialización del
Riesgo
PCI-DSS
Pregliasco, Jonatan Gabriel Gerente Regional de Auditoría, Insside Información Inteligente
Presentada por:
© Todos los derechos reservados. No está permitida la reproducción parcial o total
del material de esta sesión, ni su tratamiento informático, ni la transmisión de
ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por
fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de
los titulares de los derechos. Si bien este Congreso ha sido concebido para
difusión y promoción en el ámbito de la profesión a nivel internacional,
previamente deberá solicitarse una autorización por escrito y mediar la debida
aprobación para su uso.
ACLARACIÓN
AGENDA
[Vulnerabilidad x Amenaza]^Negocio = Riesgo
PCI y el factor “viejo conocido”
La cadena de valor, y la de controles?
Objetividad y Mejora Continua
01
02
03
04
05
La Materialización del Riesgo
[Vulnerabilidad x Amenaza]^Negocio = Riesgo
Un riesgo puede ser definido como la
probabilidad e intensidad (Amenaza) de que una
vulnerabilidad sea explotada generando un
prejuicio al activo.
SIN UN NEGOCIO INVOLUCRADO
Negocio involucrado = Producto/Servicio de
Valor a Clientes & Sinergia, aseguramiento y
bienestar interno.
CON UN NEGOCIO INVOLUCRADO
PCI Y EL FACTOR “VIEJO CONOCIDO”
Una certificación debe ser un desafío para las
organizaciones, un desafío a hacer mejores en
nuestros procesos.
¿COMODIDAD O CONFIANZA?
Aliado Cómplice
COMODIDAD CONFIANZA VIEJO CONOCIDO (aka Certificador)
AUDITOR NEGOCIO
AUDITOR
ALIADO ENEMIGO
LA MATERIALIZACIÓN DEL RIESGO
Fraudes bancarios mediante transferencias no autorizadas
Filtración de TC/TD Chilenas desde el Exterior
Incidentes de clonación de TC / TD
Incidentes con proveedores de servicios en entidades
Incidentes con Ransomware en entornos controlados
Filtración de TC/TD desde entidades bancarias
Chile – 2018 / 2019
US$ 10.000.000 Es la suma que llego a costar un incidente de seguridad en el mercado local.
250.000 Son al menos la cantidad de tarjetas que se vieron involucradas en incidentes de seguridad entre 2018 y 2019 en Chile.
3500 Son al menos las tarjetas que sufrieron incidentes relacionados a la clonación masiva en lo que va de 2019 en Chile.
23.000.000 Son la cantidad de tarjetas robadas y a la venta en el mercado negro o “darkweb“ en la 1° mitad del 2019.
LA CADENA DE VALOR, Y DE CONTROLES?
Margen
Infraestructura de la organización
Recursos humanos
Desarrollo de tecnología
Compras Activ
idad
es d
e So
port
e
Logística Interna Operación Logística
Externa Marketing Servicio
Actividades Primarias
Controles PCI
SEGURIDAD MFA – Req 8 RBAC – Req 7
SOC Auditoría de eventos – Req 10 Monitoreo de SIEM – Req 10
FIM – Req 10
RRHH Evaluación de
antecedentes – Req 12
CIBERSEGURIDAD Segmentación Test – Req 11
Ecosistema de Controles
Acciones fraudulentas
SEGURIDAD Y PROCESOS
Change Mgnt – Req 1 y 6 Monitoreo de proveedores –
Req 12 Revisión periódica de
controles – Req 12
SOC Aud. Eventos– Req 10
SIEM– Req 10 FIM – Req 10
CIBERSEGURIDAD Segmentación Test– Req 11 Revisión de reglas – Req 11 Penetration Test – Req 11
Ecosistema de Controles
Firewall o Routers manipulados
OPORTUNIDAD Y MEJORA CONTINUA
Visión Independiente. Conocimiento técnico. Valores Éticos. Realista.
OBJETIVIDAD MEJORA CONTINUA CRECIMIENTO
Mejora en identificación de alcance y entorno. Mejora en procesos de control y monitoreo. Madurez en la gestión de plataformas e información. Mejora en gestión de proveedores externos.
Certificación con valor para el Negocio. Reducción de la probabilidad de explotación de vulnerabilidades . Retorno económico por servicios confiables demostrados. Eficiencia en procesos de auditoria PCI y Cross (ISO, RAN 20-7/8/9, 4609,etc.)
GRACIAS por asistir a esta sesión!!
Preguntas y Respuestas…
Pregliasco, Jonatan Gabriel [email protected]
Para mayor información contactarse con:
Para descargar esta presentación
visite: www.segurinfo.org