Seminario Riesgo en Banca Electrónica y Canales … ASBANC/RBECA-26-de-abril-Lima.pdf · • PCI...
12
Asociación de Bancos del Perú Miércoles 26 Abril 2017, Lima - Perú 1 v 111 000 0010111101101100 0001001100110001 000101001011110110110000 0000010 100100101010100010 00011100101010010010101010001000111000101010100000011111010010101011 0001111011100101111000011100010110000 001010010111101101100000010000001101 0001010010111101101100000010000001101000000010 11000000100110011000110 00011100010110000110111 1011010110111001100100001000100011000011000000 0001111011100101111000011100010110000 110010000100010001100001100000011110111011110011011011 Seminario Riesgo en Banca Electrónica y Canales Alternos [RBECA 2017 Lima] Miércoles 26 Abril 2017, Lima - Perú 011011111000100000100000001010010111101101100000010000001101000000010 11000000100110011000110 1010001111011100101111000011100010110000110111 1011010110111001100100001000100011000011000000 11110111011110011011011 011011111000100000100000001010010111101101100000010000001101000000010 1100000010011001100011 01010001111011100101111000011100010110000110111 10110101101110011001000010001000110000110000 0011110111011110011011011 0001111011100101111000011100010110000 01010 11 10110101101110011001000010001000110000110000 100100101010100010 0001110010101001001010101000100011100010101010000001111 0001111011100101111000011100010110000 11100101010001000011100 010110000 0110111110001000001000000010100101111011011000000100000011 01010 11 101101011011100110 0110111110001000001000000010
Transcript of Seminario Riesgo en Banca Electrónica y Canales … ASBANC/RBECA-26-de-abril-Lima.pdf · • PCI...
Asociación de Bancos del Perú
Miércoles 26 Abril 2017, Lima - Perú
1
v
11100101010001000011100010110000
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001
01101111100010000010000000101001011110110110000000000010
100100101010100010000111001010100100101010100010001110001010101000000111110100101010110001111011100101111000011100010110000
011011111000100000100000001010010111101101100000010000001101011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011 0001111011100101111000011100010110000
110010000100010001100001100000011110111011110011011011
Seminario Riesgo en Banca Electrónica y Canales Alternos [RBECA 2017 Lima]
Miércoles 26 Abril 2017, Lima - Perú
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
0001111011100101111000011100010110000
01010 11 10110101101110011001000010001000110000110000
10010010101010001000011100101010010010101010001000111000101010100000011110001111011100101111000011100010110000
11100101010001000011100010110000
0110111110001000001000000010100101111011011000000100000011
01010 11 101101011011100110
0110111110001000001000000010
LiquidNexxus | www.liquid-nexxus.com/es
Riesgo en Banca Electrónica y Canales Alternos [RBECA 2017]
2
La rápida evolución de la tecnología en nuestra sociedad ha resultado (y resulta) en cambios en los hábitos de consumidores, los cuales requieren que los sistemas bancarios se adapten a sus necesidades. El éxito de las instituciones financieras se afuera cada vez mas a sus capacidad de adaptación, comunicación así como las opciones que ofrecen a sus clientes, todos estos factores son dependientes de una infraestructura electrónica en constante evolución.Muchos sistemas bancarios modernos se han tenido que adaptar rápidamente, en ocasiones esta necesidad de cambio se ha llevado a cabo sin considerar los posibles riesgos que conllevan, a menudo la seguridad de estos sistemas pasa a un segundo en frente a prioridades comerciales. Existen variedad de intervinientes y la multitud de puntos de interacción en el sistema bancario; desde servicios de Banca Online pasando por Puntos de Venta, Cajeros Automáticos, o bien, Banca Móvil conllevan riesgos de distinta intensidad y repercusión.
Estos sistemas son actualmente el objetivo de constantes ataques por parte de actores externos e internos. Estos ataques, variantes en su complejidad y vectores de ataque, resultan en pérdidas las cuales negativamente afectan la liquidez de y la confianza en el sistema bancario.
Por estas razones, es preciso diseñar sistemas que aseguren la confidencialidad e integridad de cualquier transacción y garanticen la privacidad de la información al igual que no olvidar asegurarnos de la continua asimilación de las ultimas tendencias, riesgos y nuevas tecnologías por el personal responsable de su protección.
El “Seminario Riesgo en Banca Electrónica y Canales Alternos [RBECA]” ofrece un análisis exhaustivo de las ultimas (y posibles futuras) tendencias y ataques sobre medios de banca electrónica. Incluimos tanto ejemplos teóricos como prácticos (mediante laboratorios y demos) de ataques así como estrategias y controles específicos para prevenirlos.
Contexto
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
0001111011100101111000011100010110000
01010 11 10110101101110011001000010001000110000110000
100100101010100010
0110111110001000001000000010100101111011011000000100000011
Asociación de Bancos del Perú
Miércoles 26 Abril 2017, Lima - Perú
3
• Descubra las ultimas tendencias en fraude bancario electrónico incluyendo ataques sobre todos los sistemas de interacción (TPV, ATM, Banca Móvil, Banca Online, eCommerce, Banca Telefónica, Redes Sociales, etc).
• Descubra las metodologías de ataques que se avecinan y aprenda a prevenirlos.
• Aprenda como los ataques ocurren mediante ejemplos reales y prácticos
• Una ocasión única para entender las fallas y los riesgos (conocidos y desconocidos) en sus sistemas así como productos y servicios de terceros.
Objetivos y Ventajas
0001111011100101111000011100010110000
01010 11 10110101101110011001000010001000110000110000
01010 11 101101011011100110
0110111110001000001000000010011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
0001111011100101111000011100010110000
01010 11 10110101101110011001000010001000110000110000
100100101010100010
0001110010101001001010101000100011100010101010000001111
0110111110001000001000000010100101111011011000000100000011
LiquidNexxus | www.liquid-nexxus.com/es
Riesgo en Banca Electrónica y Canales Alternos [RBECA 2017]
4
•
• Introducción y Contexto • Introducción de los especialistas y
asistentes, contexto y agenda de la formación.
• Estadísticas y Tendencias de Fraude en Banca Electrónica• En esta sección se reflejan los parámetros
y tendencias estudiadas sobre el fraude en banca online y se analiza el volumen de los intentos fraudulentos, su tipología, su origen e incidencia.
• Introducción a cyberataques en Banca Electrónica y el estado de la tecnología bancaria actual
• Entendiendo a los atacantes• Misticismo del “Hacker”
• Ataques sobre Canales Alternos• eWallets, Banca Móvil, Errores de
Código, Procesamiento de Credenciales, Errores en Configuración de Aplicaciones y Servidores
• Banca Online• Vulnerabilidades en Tokens y otros
sistemas de autenticacion, Spoofing, Aplicaciones Web
• Injection• Broken Authentication and Session
Management• Cross-Site Scripting (XSS)• Insecure Direct Object References• Security Misconfiguration• Sensitive Data Exposure• Missing Function Level Access Control• Cross-Site Request Forgery (CSRF)• Using Components with Known
Vulnerabilities• Unvalidated Redirects and Forwards
• Cajeros Automáticos• Malware de Cajeros Indetectables, Ataques
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
0001111011100101111000011100010110000
01010 11 10110101101110011001000010001000110000110000
1001001010101000100001110010101001001010101000100011100010101010000001111
0110111110001000001000000010100101111011011000000100000011
Temario del Seminario
Asociación de Bancos del Perú
Miércoles 26 Abril 2017, Lima - Perú
5
físicos, EPP, Dispensador, Red de Cajeros, Comunicaciones, Middleware, Aplicaciones de Fabricantes y Terceros, Sistema Operativo
• Puntos de Venta (POS/TPV)• Malware POS, Ataques Físicos, Red POS,
el Pin Pad, Comunicaciones Cifradas y Sin Cifrar, Middleware, Aplicaciones POS, SO
• Ataques sobre Proveedores de Servicios de Transacciones, Liquidación y Tecnología conectada a la Red Bancaria
• Ataques sobre usuarios empleando:• PC/Mobil/Cellular, Sistemas Operativos:
Windows, Android, OSX• Antivirus, Browser, Aplicaciones• Ingeniería Social, Robo de Identidad
y Recolección de Información (Footprinting)
• LAN, WAN, Redes Wifi, Ataques empleando credenciales privilegiadas, Phishing avanzado, Pharming, Malware
• Estrategia de Seguridad y Cumplimiento Estándares, Buenas Practicas y Normas
• PCI DSS y el PCI Security Standards Council• Funcionamiento y Organización del PCI
SSC• Actualidades del PCI DSS 3.1• PTS, PA DSS y otros estándares
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
0001111011100101111000011100010110000
01010 11 10110101101110011001000010001000110000110000
0110111110001000001000000010100101111011011000000100000011
01010 11 101101011011100110
0110111110001000001000000010
LiquidNexxus | www.liquid-nexxus.com/es
Riesgo en Banca Electrónica y Canales Alternos [RBECA 2017]
6
Los cursos de LiquidNexxus se han impartido a miles de profesionales alrededor del mundo. Aquí se listan algunos testimonios relacionados con este curso/evento.
Interesante combinación de tema, practica, gente capacitadaGerencia Investigación y Desarrollo, PayTrue solutions Chile
Muy interesante todos los temas revisados, muy claro, buenos ejemplos.Sugerente Análisis & Inteligencia, Banco Santander-Chile
Buen seminario, aporto ideas y seguridad.Encargado de Soporte de ATM, Bepsa
Excelente curso súper claro, los expositores se noto que son expertos en la materia.Analista Unidad de Pagos en Moneda Nacional, Banco de Crédito e Inversiones
Me pareció interesante la forma en que se explico el nivel de exposición al fraude o que vulnerabilidades se encuentran la industria, utilizando casos o ejercicios prácticos.
Product Manager Medios de Pago, Coopeuch
Es un excelente seminario que permite estar actualizado en este tema.Ingeniero de Procesos Sistemas y Tecnología, Banco Estado
El seminario nos brindo una amplia perspectiva de todos los ámbitos a considerar en lo que respecta a banca electrónica y seguridad.
Encargado de Seguridad, Bepsa
Testimonios
Asociación de Bancos del Perú
Miércoles 26 Abril 2017, Lima - Perú
7
Cada sesión de LiquidNexxus cuenta con la asistencia de instructores y expositores especializados con años de experiencia en seguridad y gestión de cajeros automáticos.
Lucas Allen, CEO/ Director General, LiquidNexxus
Lucas ha estado involucrado activamente en el mundo del las tecnologías de la información, la seguridad y el riesgo desde el 2004. Lucas lidero uno de los primeros programas regionales de concienciación sobre PCI en colaboración con VISA Internacional. Lucas tiene amplia experiencia en una variedad de cargos incluyendo gestión, marketing, desarrollo de negocios y la investigación tecnológica. Desde que fundo LiquidNexxus Lucas ha creado, editado e impartido capacitaciones a más de 500 organizaciones a nivel global. Su amplia red internacional de expertos y pasión por la investigación y el desarrollo le han convertido en un referente en la industria. Lucas es el principal autor de la Capacitación Internacional de Seguridad de Cajeros, el coordinador de ATM Forensic Investigations, entre otras capacitaciones de LiquidNexxus. Como CEO de LiquidNexxus se concentra en el desarrollo de desarrollo estratégico, relaciones institucionales, la investigación de nuevas tecnologías, sus riesgos y soluciones.
Conferencistas
Ademas de formar parte del equipo LiquidNexxus como entrenador estratégico en materias de ciber seguridad, actualmente se desempeña como CEO de una empresa de Hacking Ético. En el 2014 fundo una empresa dedicada a servicios y consultoría en Seguridad de Cajeros Automáticos donde se desarrollan soluciones de alta seguridad para mas de 70 bancos internacionales en el diseño de Software y Hardware de Seguridad para cajeros ATMs y servicios especializados de forense en ATMs. Lleva 14 años dedicado a la Seguridad informática e informática Forense y desde hace 10 años en materia de Derecho Informático, como consultor en varias organizaciones gubernamentales como privadas en Bolivia, Brasil, Ecuador, México, Costa Rica, Puerto Rico y Panamá.
Hacker Ético, Experto en Cyber Seguridad y Cajeros Automáticos
Consultor en seguridad bancaria y instructor para LiquidNexxus. CLM también es director de una empresa dedicada a soluciones de prevención de fraude y control de malware. Jefe de la Unidad de Información y Análisis. Presidencia de la República 1994 -1997; Presidente de Latinoamérica para Hauri Inc. Marzo 2003 Noviembre 2005.; Director General y fundador de Damage Control S.A. de C.V. a la fecha..; Consultor para Planeación e implementación de programas de seguridad para grupos empresariales como: Banamex Citibank, Banorte, Santander México, Merryll Lynch, Televisa, etc; Miembro del Grupo Interinstitucional de Combate al Delito Cibernético de la Policía Federal Preventiva, DC México 2003. • Vicepresidente de Seguridad de la Asociación Mexicana de Internet AMIPCI A.C. 2005-2006 • Instructor para el Servicio Secreto de los Estados Unidos, Homeland Security para corporaciones de Seguridad Pública en México. 2004; Profesor del Diplomado de Seguridad del Instituto Tecnológico de Estudios Superiores de Monterrey en “Control de Acceso” y “Seguridad de Aplicaciones”.; Consejero Editorial para CNN Expansión; Miembro de la Asociación Internacional de Investigadores de Fraude Financiero IAFCI.
CLM, Experto en Seguridad Bancaria
LiquidNexxus | www.liquid-nexxus.com/es
Riesgo en Banca Electrónica y Canales Alternos [RBECA 2017]
8
Asistentes
Servicios de Gestión y Mantenimiento de Canales Alternos
Redes de Cajeros Automáticos/Procesadores de Transacciones
Bancos e Instituciones Financieras Gestión y Administración de Canales Electrónicos o Canales Alternos
Administración de Sistemas y Redes
Seguridad Corporativa y de la Información
Prevención de Fraude
Gestión de Canales de Pago
Instituciones Responsables de
Asociación de Bancos del Perú
Miércoles 26 Abril 2017, Lima - Perú
9
Las plazas son limitadas para y disponibles en base a reservas completadas, recomendamos reserve con antelación. La inscripción incluye:
• Acceso al seminario completo• Refrescos, Almuerzo Buffet & Café• Certificado de asistencia• Costo: Gratuito para Responsables de como se indica
en la pagina anterior
Registros
La capacitación se lleva a cabo por consultores y formadores LiquidNexxus. Para inscribirse hagan clic en el botón de eventos: http://www.asbanc.com.pe/, dirigiéndose al evento y llenando el formulario de inscripción.
ASBANC (Consultas en Perú)Nombre: Jairo VillanuevaTeléfono Directo: 6123315Correo: [email protected]
LiquidNexxus (Consultas de Fuera de Perú)Telf UK: + 44 20 3322 9095 Telf México: +52 8141 707 161 Telf Brazil: +55 313 95 60606E: [email protected]
Consultas
La empresa líder a nivel global especializada en la educación y consultoría en medios de pago y transacciones electrónicas, así como temas específicos incluyendo riesgo, seguridad y prevención de fraude. Desde su fundación en Julio del 2009 LiquidNexxus ha entrenado a más de 3000 profesionales de más de 800 empresas. Más información acerca de LiquidNexxus adjunta y en nuestro sitio web: www.liquid-nexxus.com/es
AGENDA 2017> Riesgo en Banca Electrónica y Canales Alternos (RBECA) - Santiago de Chile - Mi. 15 Marzo 2017
> PCI DSS v3.2: Implementación y Gestión - Santiago de Chile - Ju. 16 - Vi. 17 Marzo 2017
> PCI ISA (Asesor de Seguridad Interno Certificado) - Ciudad de Panamá - Ju. 20 - Vi. 21 Abril 2017
> PCI DSS v3.2: Implementación y Gestión - Lima - Lu. 24 - Ma. 25 Abril 2017
> Riesgo en Banca Electrónica y Canales Alternos (RBECA) - Lima - Mi. 26 Abril 2017
> Seguridad de Cajeros Automáticos - Lima - Ju. 27 - Vi. 28 Abril 2017
> Seguridad de Cajeros Automáticos - México D.F. - Lu. 15 - Ma. 16 Mayo 2017
> Riesgo en Banca Electrónica y Canales Alternos (RBECA) - Mexico D.F. - Mi. 17 Mayo 2017
> PCI DSS v3.2: Implementación y Gestión - México DF - Ju. 18 - Vi. 19 Mayo 2017
> Seguridad de Cajeros Automáticos - Medellín - Ma. 23 - Mi. 24 Mayo 2017
> Seguridad de Aplicaciones de Pago - Lima - Ma.12 - Mi.13 Septiembre 2017
> Prevención de Fraude de Tarjeta no Presente - Lima - Ju.14 - Vi.15 Septiembre 2017
> PCI ISA (Asesor de Seguridad Interno Certificado) - Ciudad de Panamá - Ju. 07 - Vi. 08 Septiembre 2017
> Foro Latinoamericano de Seguridad en Medios de Pago - TBD, Mi. 22 - Ju. 23 Noviembre 2017
Acerca de LiquidNexxus
LiquidNexxus | www.liquid-nexxus.com/es
Riesgo en Banca Electrónica y Canales Alternos [RBECA 2017]
10
Algunos Clientes de LNX
Europa Rusia-CIS/EE Middle East & Africa South América Asia
Asociación de Bancos del Perú
Miércoles 26 Abril 2017, Lima - Perú
11
LiquidNexxus research team is focused on developing the largest choice of independent content-led training in the payment card industry including:
Electronic Payments
- Conducting Covert Internet Operations- Recognising and Dealing with eEvidence- Core Investigation Skills Training- Introductory IT Forensics- Forensic Auditing and Accounting- Acquiring Online Information Training- Advanced Interview Techniques- Conducting Fraud Investigations Training- Conducting and Managing a Complex Fraud Investigation
- Merchant Fraud Prevention for Acquirers- Acquiring Online Payments - Card Fraud Management - Chargebacks & Settlements Best Practices- PCI DSS Implementation Training- Payment Application DSS- PIN Security Requirements- Card Fraud Prevention Training - ATM Security Training- ATM Servicing & Maintenance Training- Card Vendor Security Requirements- POS Security Best Practices
- Web Application Security - Banking Cyber-Security- Ethical Hacking - Professional Security Analyst Accreditations- Understanding OWASP vulnerabilities- Software Development Life Cycle (SDLC)
- BCM Program Development & Implementation - BCM Program Methodology- Exercising the Business Continuity Plan- BCM Executive Workshop- Comprehensive Business Impact Analysis Process - Methodology- Auditing a Business Continuity Management Program
- Anti Money Laundering - Countering Terrorist Financing - SCADA & NCI Security- Integrity Risk Assessment- Spotting the Red Flags of Fraud and Corruption. - Advanced Fraud Detection
- Holistic Information Security Practitioner (HISP) - IT Risk Management- Standards ISMS (ISO 27001, ISO 27005)- ISO 27001 Lead Auditor- ISO 27001 Lead Implementer- COBIT; SOx; ITIL- Data Privacy Regulations
Expertise & Training Courses
- Mobile Payments- Prepaid Cards- EMV/Chip Migration for Issuers/Acquirers- ATM Channel Management- Bank Card 101- Advanced Card Marketing - Core Banking, Clearing & Settlement
Card Payments - Compliance & Security
Investigations & Digital Forensics
Secure Testing & Coding
IT Risk & Controls
Fraud & Financial Crime Prevention
Business Continuity Management
All courses are available as standard or can be customised based on location
LiquidNexxus | www.liquid-nexxus.com/es
Riesgo en Banca Electrónica y Canales Alternos [RBECA 2017]
12
110111 10110101101110
11100101010001000011100010110000
110111
01101111100010000010000000101001011110110110000000000010
011011111000100000100000001010010111101101100000010000001101011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011 0001111011100101111000011100010110000
110010000100010001100001100000011110111011110011011011
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
011011111000100000100000001010010111101101100000010000001101000000010 110000001001100110001101010001111011100101111000011100010110000110111 101101011011100110010000100010001100001100000011110111011110011011011
01010 11 10110101101110011001000010001000110000110000
00011100101010010010101010001000111000101010100000011110001111011100101111000011100010110000
11100101010001000011100010110000
0110111110001000001000000010100101111011011000000100000011
01010 11 101101011011100110
0110111110001000001000000010
100100101010100010000111001010100100101010100010001110001010101000000111110100101010110001111011100101111000011100010110000
011011111000100000100000001010010111101101100000010000001101000000010 11000000100110011
