View
2
Download
0
Category
Preview:
Citation preview
Mejores prácticas de
Seguridad de la Información
aplicadas a la Banca Móvil
Oscar Tzorín
Superintendencia de
Bancos de Guatemala
1
Panorama del acceso de alta velocidad a Internet, para América Central
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil
Panorama actual de la seguridad
Anatomía de ataques a los sistemas operativos iOS y Android
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
1
2
3
4
5
Panorama del acceso de alta velocidad a Internet, para América Central 1
Panorama del acceso de alta velocidad a Internet, para América Central 1
Ref. 4gamericas.org
Panorama del acceso de alta velocidad a Internet, para América Central
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil
Panorama actual de la seguridad
Anatomía de ataques a los sistemas operativos iOS y Android
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
1
2
3
5
4
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2
• Modelos Aditivos: Dirigidos principalmente a clientes de la banca y
se suma al servicio que poseen. Mejora la fidelidad de los clientes y
eficiencia del servicio.
• Modelos Transformacionales: Buscan llegar a segmentos no
bancarizados a través de productos que se orientan a cubrir
necesidades específicas.
Seleccionar el aplicativo con base al modelo de servicio financiero
móvil.
Modelos para prestar servicios financieros móviles:
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2
Uso del teléfono móvil como terminal de acceso remoto a servicios
financieros:
• La versatilidad del teléfono móvil permite ofrecer servicios que van
más allá de la voz.
• El teléfono móvil ofrece un canal que permite acceder a información
personal importante en cualquier momento y lugar.
• Es una clara alternativa frente a la inversión en infraestructuras para
acceder al dinero como cajeros y tarjetas de crédito.
• El teléfono móvil puede ofrecer acceso tanto a servicios financieros
de consulta como transaccionales.
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2
Ref. Mobile Marketing Association Spain MMA/Seeketing
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil 2
Ref. Mobile Marketing Association Spain MMA/Seeketing
Panorama del acceso de alta velocidad a Internet, para América Central
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil
Panorama actual de la seguridad
Anatomía de ataques a los sistemas operativos iOS y Android
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
1
2
3
5
4
Panorama actual de la seguridad 3
Panorama actual de la seguridad 3
Aplicaciones falsas detectadas en Google Play (muestra de 50 aplicaciones)
Ref. Trend Micro
Panorama actual de la seguridad 3
Ref. Trend Micro
Código malicioso detectado en Google Play (muestra de 50 aplicaciones)
Panorama actual de la seguridad 3
Eventos de fraude en Google Play
Ref. Trend Micro
Panorama actual de la seguridad 3
Eventos que han impactado a la seguridad de los aplicativos móviles de Bancos
Ref. Pcmagazine.com
Panorama actual de la seguridad 3
Ref. Intego.com
Panorama del acceso de alta velocidad a Internet, para América Central
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil
Panorama actual de la seguridad
Anatomía de ataques a los sistemas operativos iOS y Android
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
1
2
3
5
4
Anatomía de ataques a los sistemas operativos iOS y Android 4
Acceso Físico
Ingeniería Social
Puntos de Acceso WiFi Inseguros
1 2 3 Google Play Market
4
Anatomía de ataques a los sistemas operativos iOS y Android 4
Acceso físico Ingeniería social Puntos de acceso WiFi inseguros
Realizar Jailbreak e
incorporar Troyano
para acceder
remotamente.
Perfiles maliciosos (LinkedIn
Intros). Certificados falsos
(FinSpy).
Crear puntos de accesos sin
contraseña, con el objeto de escuchar
tráfico para robar información.
iOS
Acceso físico Ingeniería social Google Play Puntos de acceso
WiFi inseguros
Realizar Root e
incorporar
Troyano para
acceder
remotamente
Engaño a través de
correos y sitios web,
para instalar nuevas
aplicaciones o
actualizaciones de las
mismas, con código
malicioso.
Repackaged Apps
(aplicaciones falsas).
Aplicaciones con falsos
comentarios positivos y
calificaciones de 5
estrellas.
Crear puntos de
accesos sin
contraseña, con el
objeto de escuchar
tráfico
Android
Anatomía de ataques a los sistemas operativos IOS y Android 4
LinkedIn Intros
Anatomía de ataques a los sistemas operativos IOS y Android 4
Ref. Wikileaks
FinSpy
Panorama del acceso de alta velocidad a Internet, para América Central
Las APP como soporte tecnológico del modelo de negocio de Banca Móvil
Panorama actual de la seguridad
Anatomía de ataques a los sistemas operativos iOS y Android
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil
1
2
3
5
4
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5
Comprender nuestro entorno
• ¿Qué metodología de desarrollo seguimos?
• ¿Qué lenguajes de programación utilizamos?
• ¿Qué marcos de riesgos/seguridad seguimos?
• ¿Qué bibliotecas de terceros utilizamos?
• ¿Qué etapas en el proceso de desarrollo requieren la aprobación del
equipo de seguridad?
• ¿Qué normativa debemos cumplir? JM-102-2011 y JM-120-2011
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5
Comprender las plataformas que utilizamos
• iOS, Android, Windows, BlackBerry
Cuatro controles de seguridad clave
• Requisitos de seguridad definidos: Plan del proyecto, contrato con el
proveedor, entre otros.
• Revisiones de seguridad del código fuente: revisiones manuales.
• Pruebas de seguridad en el control de calidad: casos de prueba
positivos y negativos.
• Análisis del aplicativo que fue implementado: escaneos
automatizados, análisis manuales, entre otros.
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5
OWASP Top 10 Mobile Risks
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5
OWASP iOS AppSec Cheat Sheet
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5
iOS: Archivos objetivo Android: Archivos objetivo
Mejores prácticas para la gestión de la seguridad del servicio de la Banca Móvil 5
Estándares de seguridad
• ISO 27000, Information Security Management Systems
• NIST -National Institute of Standards and Technology- Cybersecurity
Framework
• OWASP -Open Web Application Security Project-
Dudas o comentarios?
Oscar Tzorín Superintendencia de Bancos de Guatemala.
9 avenida 22-00 zona 1, Ciudad de Guatemala, Guatemala.
Guatemala, Julio de 2015.
Recommended