1 / 31

Bogotá D.C, agosto de 2012

Seguridad en Operaciones Financieras Francisco Espinosa Rodríguez Director de Riesgo Operativo. Bogotá D.C, agosto de 2012. Agenda. Estadísticas de operaciones. Quejas. Algunas modalidades de fraude. Normatividad RO. Seguridad y calidad en las operaciones (CE-052 / CE022).

Download Presentation

Bogotá D.C, agosto de 2012

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Seguridad en Operaciones Financieras Francisco Espinosa RodríguezDirector de Riesgo Operativo Bogotá D.C, agosto de 2012

  2. Agenda Estadísticas de operaciones. Quejas. Algunas modalidades de fraude. Normatividad RO. Seguridad y calidad en las operaciones (CE-052 / CE022).

  3. 1. Operaciones vs montos

  4. 1. Operaciones por canales

  5. 1. Montos por canal

  6. 1. Montos por canal

  7. 1. Montospor canal

  8. 1. Canales

  9. 2. Estadísticas de Quejas

  10. 2. Estadísticas de Quejas

  11. 2. Operaciones vs quejas por canales

  12. 3. Modalidades de fraude

  13. 3. Fraudes presenciales Clonación de tarjetas débito y crédito. Skimmer: dispositivo electrónico que permite capturar la información de la banda magnética. En cajeros automáticos se usa en compañía de cámaras o teclados falsos para capturar la clave. Antes: se instalaban por días. Ahora, por minutos.

  14. 3. Fraudes electrónicos Phishing – 2011 Los bancos han contratado firmas especializadas para identificar mensajes de phishing y sitios Web fraudulentos. Aproximadamente 5.500 millones de ataques bloqueados en el año. En promedio 4.596 ataques de sitios Web bloqueados por día. Sitios fraudulentos en otras partes del mundo. Tiempo estimado para bloquear un sitio fraudulento: 4 – 24 horas. Mover la página fraudulenta a otro sitio Web tarda minutos.

  15. 3. Fraudes electrónicos Industrias atacadas Phishing Symantec Intelligence Report: July 2012

  16. 3. Comportamiento del Phishing De mayo a junio de 2012 se incrementaron en un 7% el número de ataques de Phishing identificados. *Tomado del reporte mensual de RSA : Junio 2012: http://www.rsa.com/solutions/consumer_authentication/intelreport/11733_Online_Fraud_report_0612.pdf

  17. 3. Fraudes electrónicos Tipos de malware total en dispositivos móviles Software malicioso (malware) – 2011 Antivirus y software de seguridad. 4.989 nuevas vulnerabilidades en elementos tecnológicos identificadas en 2011, aproximadamente 95 por semana. Más de 403 millones de variantes de malware. Los ataques se siguen moviendo hacia los dispositivos móviles: - 93% más vulnerabilidades.- 1.116% más malware respecto a 2010. Symantec Internet Security Threat Report – Abril de 2011

  18. 3. Fraudes electrónicos Categorías de sitios Web más riesgosos - 2011 Symantec Internet Security Threat Report – Abril de 2011

  19. 3. Estadísticas de fraudes - Banca mundial ¿Qué tipo de fraude afectó a las entidades en 2011? *Tomado del reporte generado del análisis de expertos del ISMG (International Security Management Group) de la encuestarealizada en 2012 sobrefraude en entidadesbancarias: http://www.bankinfosecurity.com/handbooks.php?hb_id=36

  20. 3. Países con más ataques de Phishing Top mundial de países por número de ataques Aunque los servidores desde donde se realizan los ataques se encuentran en otros países, Colombia se destaca en el reporte presentado de junio de 2012 por RSA, como uno de los países con mayor número de ataques identificados. *Tomado del reporte mensual de RSA : Junio 2012: http://www.rsa.com/solutions/consumer_authentication/intelreport/11733_Online_Fraud_report_0612.pdf

  21. 4. Normatividad Riesgo Operativo • Circular Externa 041 de 2007 – Reglas relativas a la administración del riesgo operativo SARO (incluye BCP). • Circular Externa 052 de 2007 – Requerimientos de seguridad y calidad para la realización de operaciones (preciso requerimientos con CE022 de 2010). • Carta Circular 093 de 2010 - Medidas para prevenir el fleteo. • Circular Externa 038 de 2009 – Instrucciones relativas a la revisión y adecuación del sistema de Control Interno. • Circular Externa 026 de 2011 – Instrucciones sobre los servicios financieros prestados por los establecimientos de crédito, las SCB, y las sociedades de intermediación cambiaria. • Circular Externa 029 de 2012 - Instrucciones relacionadas con la inspección y vigilancia de la actividad de los Operadores de Información de la PILA.

  22. 5. CE 052 • Requerimientos de seguridad y calidad para la realización de operaciones Objetivos: • Complementar el SARO. • Actualizar la normatividad existente. • Fijar los requerimientos mínimos de seguridad y calidad para la realización de operaciones. • Proteger al consumidor financiero y a las mismas entidades. • Incrementar la confianza del público en el sector financiero. • Implementación:

  23. 5. CE 052 Estructura de la Circular • Definiciones. • Obligaciones Generales • Seguridad y Calidad. • Terceros • Documentación. • Divulgación. • Obligaciones adicionales por tipo de canal. • Reglas de actualización del software. • Obligaciones por tipo de medio – Tarjetas. • Análisis de Vulnerabilidades.

  24. 5. CE 052 Ámbito de aplicación • Aplica para todas las entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC), con excepción de algunas en consideración de su tamaño y tipo de negocio. • Todas las entidades, exceptuadas o no, deben manejar su información en condiciones de seguridad y calidad.

  25. 5. Seguridad en las operaciones Gestionar la seguridad de la información (ISO 27000). Informar el costo de la operación por el respectivo canal antes de su realización. Generar un soporte al momento de la realización de cada operación monetaria. Tratándose de pagos inferiores a dos salarios mínimos, no será obligatorio la generación de este soporte. Informar a los clientes sobre medidas de seguridad. Enviar la información confidencial cifrada.

  26. 5. Seguridad en las operaciones Emplear los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus clientes y de sus operaciones. Utilizar datáfonos que cumplan el estándar EMV. Permitir a los clientes personalizar las condiciones bajo las cuales realizarán las operaciones por los diferentes canales. Elaborar el perfil de las costumbres transaccionales de los clientes y confirmar operaciones inusuales. Sincronizar los relojes de los equipos con la hora oficial de la SIC.

  27. 5. Seguridad en las operaciones Llevar registro de las consultas realizadas por los funcionarios sobre la información confidencial de los clientes. Grabar las llamadas realizadas por los clientes a los centros de atención, cuando consulten o actualicen su información. Contar con sistemas de video grabación en oficinas y cajeros automáticos. Mantener la información al menos por 8 meses. Establecer las condiciones bajo las cuales los clientes podrán ser informados en línea acerca de las operaciones realizadas con sus productos. Expedir paz y salvo por todo concepto, dentro del procedimiento de cancelación de un producto o servicio.

  28. 5. Seguridad en las operaciones Evitar que personas no autorizadas atiendan a clientes de la entidad en su nombre. Emitir tarjetas personalizadas y que manejen internamente mecanismos fuertes de autenticación. Implementar los algoritmos y protocolos necesarios para brindar una comunicación segura. Promover y poner a disposición mecanismos que reduzcan la posibilidad de capturar información. Ofrecer mecanismos para evitar la captura de la información de las operaciones en Internet. Realizar pruebas semestrales de vulnerabilidad.

  29. 5. Seguridad en las operaciones Mantener tres ambientes independientes. Cuando las entidades necesiten tomar copias de la información de sus clientes para la realización de pruebas, se deberán establecer los controles necesarios para garantizar su destrucción, una vez concluidas las mismas. Contar con procedimientos y controles para llevar el software a producción. En total son 108 requerimientos… … La seguridadesasunto de todos ...

  30. Gracias Superfinanciera, Primera en Transparencia

More Related