jueves, 15 de agosto de 2013

Conferencia Cyber Security Bank-Perú importantes mensajes


Por Jorge Contreras
Este 14 de agosto, ISSA, con el auspicio de diversas firmas, llevó a cabo la conferencia sobre Cybercrimen 2013, en los ambientes del Swiss hotel en el distrito de San Isidro, en Lima, en el que se analizó la situación actual y tendencias futuras de los ciber delitos y la banca.

Entre sus importantes conclusiones un repunte en los próximos años en la banca, requiere prestar atención al desarrollo de tecnología de servicios, acorde a los beneficios y educación de sus usuarios (clientes). El espectro de la inseguridad se mueve en los campos de seguridad informática y la seguridad de las informaciones. Entre los riesgos, la “identidad” y el “hurto de datos” constituyen uno de los más importantes riesgos. Felicitaciones a todos los que tuvimos la oportunidad de ver.
Los invitamos a leer este artículo, con algunas pinceladas de las presentaciones.

Utilizando el teléfono móvil para hacer transacciones bancarias...


El caso del banco BCI en Chile”. Esta presentación a cargo de Héctor Contreras  nos mostró la necesidad de compatibilizar las necesidades del usuario, con las capacidades de la tecnología y las ofertas que la banca puede ofrecer. El caso del banco BCI en Chile ha llegado a una solución para acceder a la banca a través del teléfono celular inteligente fijando una solución efectiva contra el fraude electrónico, el hurto de cuentas y el hurto de celulares, lo que ha colocado al BCI entre los primeros bancos de su mercado. 

La “solución del BCI” la suite de seguridad desarrollada por la firma Safe Designer fue presentada por Mauricio Palma, en ella Mauricio mostró como se puede hacer transacciones seguras a través de un programa desarrollado con creatividad y seguridad, sin duda una experiencia de avanzada.

Asegurando la empresa de la siguiente generación
En esta presentación, Francisco Robayo de la firma Check Point evidenció las necesidades de emplear programas de seguridad y resaltó las tendencias de riesgo en los próximos tres años. Entre los riesgos clasificó como número uno: “El aumento de las redes infecciosas (botnet)”, número dos: “El alto promedio de riesgo en la navegación personal y su incremento futuro (un alto porcentaje, aún sin quererlo  accede o recibe imágenes maliciosas, pornografía y sexo) ” y número tres: “ El software ilegal es el más vulnerable del mundo (programas y películas piratas), y entre los legales los que requieren más actualizaciones son: Windows, el Adobe y el Androide. 

Francisco cerró su presentación con una frase que concita atención: “Twitter y Facebook han triunfado porque le han dado la oportunidad al pueblo de expresarse”, “Se espera que dada su popularidad Twitter y Facebook tengan más riesgo de ataques.” 
  
Como gestionan los Bancos la Seguridad en conjunto
En esta presentación Roberto Puyó, representante de ISSA llevó a cabo las preguntas referentes a la estrategia conjunta que han adoptando los bancos y recibió las respuestas y comentarios de Carlos Morales (Banca Saga Falabella), Claudia Vásquez (Mi Banco),  Javier Ríos (Interbank) y  de Denis Cabrejos (Interbank). 

La conclusión positiva, las firmas en la banca están afrontando procesos críticos en conjunto, los incidentes y la información fluye en todos, se busca fortalecer la parte más vulnerable de su sistema, los recursos humanos. Se reconoce a la “identidad como el problema más grave” y al acercamiento entre organizaciones como una de las maneras más efectivas de respuesta.

Banca móvil, riesgos de seguridad
La presentación estuvo a cargo de José Díaz de la firma Thales E-Seguridad . José explicó claramente que “el conocimiento y posesión de datos,  es tan peligroso como el conocimiento y posesión de plutonio”, su valor lo conocen solo algunos.  La amenaza en los dispositivos móviles es global, las industrias son las más afectadas.

 Los dispositivos móviles cuentan con escasa seguridad, las amenazas son desconocidas y proporcionan datos de valor.  En la banca móvil  intervienen como elementos representativos las tarjetas, los teléfonos móviles, el banco y el comercio. Explicó que existen riesgos que no se pueden eliminar pero si controlar, y que se requiere protección acorde a los costos.

Ciber seguridad, un nuevo paradigma
Marcos Ferrari de la firma Access Data presentó estadísticas sobre las victimas de Ciber crimen en America Latina (fuente de reportes de Pablo Ramos y Karspersky), donde aseguró el mercado de datos es grande, los orígenes del riesgo provienen del contenido malicioso, de imágenes, del hurto de datos, del delito cibernético y del fraude y “la seguridad que requieren es como una cebolla”, con múltiples capas. 

Los principales problemas en las empresas aseguró son los delincuentes y los accesos no autorizados (de identidad)  de los propios empleados o de hasta familiares. Resaltó la necesidad de seguir los ISO, entre ellos el ISO 27035. Explicó que la respuesta a incidentes requiere capacitación, tecnología y procedimiento.
Finalizó asentando que si el riesgo se origina en una identidad, los contratos iniciales deben determinar las responsabilidades. 

Ataques DDoS y técnicas de protección
Cesar Farro auditor y analista reconocido remarcó de manera muy amena y agradable que los ataques de DDoS son una nueva amenaza cuya gravedad depende del tiempo que demoran para dañar la marca (empresas) o la imagen (gobiernos), y encarecer la credibilidad y confianza del público, muy aparte de interrumpir el servicio.

Añadió que es tanta su rentabilidad que están surgiendo empresas que ofrecen sus servicios para llevarlos a cabo. Resaltó que se requiere experiencia para enfrentar estos problemas y que hay nuevas herramientas en la nube que aperturan la posibilidad de soluciones creativas. Una de sus frases nos hizo ver la necesidad de estar actualizado con la tecnología “Si no sabes que es Ping o que es DDoS, careces de seguridad para el ciber crimen y te has equivocado de conferencia”.

¿Por qué tanto Ciber crimen y Fraude en Internet?
Tony Grey, ingeniero y experto de la firma Guidance Software (software EnCase, DLP) a cargo de esta presentación resaltó que el ciber crimen es un negocio tanto más lucrativo que el de las drogas, que el hurto de información privada y del espionaje industrial tiene un valor comercial. Sus palabras ”un correo electrónico  que vale 25 centavos de dólar puede proveer información personal, financiera, servir para vender y distribuir spam, tener información cosechada (información que se tiene bajo control hasta que se decida emplear) e información de trabajo (información de contenidos) con mucho mayor valor.

Añade Tony, “Lo mas grave son las estadísticas de los tiempos de reacción.  Si bien pocas amenazas son detectadas, en el caso de los fraudes descubiertos,  se llegan a conocer 5 años después de cometidos y por lo general demoran 3 años más de investigación. En el caso de los virus, una vez aparecida la amenaza, demora unos 10 meses el implementar una solución antivirus.  Así que es mejor estar actuar con seguridad y estar preparado acorde a las necesidades de cada uno. 

Técnicas de Análisis de Seguridad de Aplicaciones
Juan Carlos Herrera de la firma Ushiro Security, resaltó las circunstancias por las que se cae un programa 1) Por Acceso no autorizado, 2) Por Denegación de servicio y 3) Por ejecución arbitraria de código. La solución esta en el recurrir a las pruebas estáticas, dinámicas, de ingeniería reversa (cuya legislación estaría en revisión en otros países) y  a través del Pentest o hacking etico.   En si un análisis de seguridad completamente técnico en las aplicaciones que consideran los  aspecto preventivo y reactivo.

No hay comentarios:

Publicar un comentario