Las 5 principales ciberamenazas en el sector financiero generan perdidas millonarias y el Perú no es ajeno. Para prevenir se debe realizar inteligencia sobre las ciberamenazas y fortalecer los controles existentes e implementar nuevos.
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
Esta presentación tiene como objetivo mostrar los riesgos de entornos móviles y las herramientas de hacking que existen baja la categoría de software libre.
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
La presentación describe el ecosistema de emprendimiento e innovación de ISRAEL, también describe los pasos metodológicos para crear una startup y las oportunidades de negocio en ciberseguridad.
Deteccion del fraude informático mediante tecnicas de computo forenseRaúl Díaz
La detección del fraude informático tienen como objetivo identificar evidencias digitales que muestren las actividades realizadas por el defraudador para esta razón el computo forense se hace vital para este proceso.
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
Las ciberamenazas como wannacry y mirai han alertado a todas las organizaciones a nivel mundial. En la presentación se explica la anatomía de wannacry y la propuesta de controles de ciberseguridad de la ISO/IEC 27032.
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
Esta presentación muestra los riesgos, tendencias y controles sobre los dispositivos móviles. Estadísticas del malware en móviles, BYOD y soluciones MDM
Esta presentación se realizo en e Congreso Nacional de Ingeniería Informática en Chimbote. El cual describe como se genera el portafolio de proyectos de seguridad informática mediante una evaluación costo beneficio.
Los ataques a organizaciones privadas y públicas a través de la red son cada vez más frecuentes y cualquier organización conectada a Internet puede ser víctima de ellos. Los términos ciberseguridad y ciberataques son cada vez más comunes y no deben ser ajenos a ninguna organización con presencia en Internet. Cuando sumamos la creciente complejidad y dependencia de los sistemas de información conectados, la continua evolución y crecimiento de las ciberamenazas y la
facilidad de acceso a herramientas que posibilitan la ejecución de ataques dirigidos o distribuidos, se hace imprescindible tener un control absoluto sobre lo que sucede en nuestras infraestructuras tecnológicas.
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
Esta presentación tiene como objetivo mostrar los riesgos de entornos móviles y las herramientas de hacking que existen baja la categoría de software libre.
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
La presentación describe el ecosistema de emprendimiento e innovación de ISRAEL, también describe los pasos metodológicos para crear una startup y las oportunidades de negocio en ciberseguridad.
Deteccion del fraude informático mediante tecnicas de computo forenseRaúl Díaz
La detección del fraude informático tienen como objetivo identificar evidencias digitales que muestren las actividades realizadas por el defraudador para esta razón el computo forense se hace vital para este proceso.
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
Las ciberamenazas como wannacry y mirai han alertado a todas las organizaciones a nivel mundial. En la presentación se explica la anatomía de wannacry y la propuesta de controles de ciberseguridad de la ISO/IEC 27032.
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
Esta presentación muestra los riesgos, tendencias y controles sobre los dispositivos móviles. Estadísticas del malware en móviles, BYOD y soluciones MDM
Esta presentación se realizo en e Congreso Nacional de Ingeniería Informática en Chimbote. El cual describe como se genera el portafolio de proyectos de seguridad informática mediante una evaluación costo beneficio.
Los ataques a organizaciones privadas y públicas a través de la red son cada vez más frecuentes y cualquier organización conectada a Internet puede ser víctima de ellos. Los términos ciberseguridad y ciberataques son cada vez más comunes y no deben ser ajenos a ninguna organización con presencia en Internet. Cuando sumamos la creciente complejidad y dependencia de los sistemas de información conectados, la continua evolución y crecimiento de las ciberamenazas y la
facilidad de acceso a herramientas que posibilitan la ejecución de ataques dirigidos o distribuidos, se hace imprescindible tener un control absoluto sobre lo que sucede en nuestras infraestructuras tecnológicas.
"Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS.". Ponencia de D. Boris Delgado Riss
Gerente de TIC de AENOR. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
http://www.uid0.com.ar
Breve descripción de la charla:
La fuga de información es una problemática que no es ninguna novedad para la industria de la seguridad de la información ya que a menudo ocurren casos que aquejan especialmente a las organizaciones, aunque también puede afectar a cualquier individuo en su ámbito personal. La pérdida de información puede ser un inconveniente muy grave para una empresa en caso de no implementar controles para minimizar el impacto y se deben tener en cuenta la implementacion de procesos para mitigar en el caso desafortunado que así ocurra.
"Cumplimiento como base de la ciberseguridad". Ponencia de D. Pablo López
Segundo jefe del Departamento de Ciberseguridad del CCN. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
OBJETIVOS
Desde hace años equipos dedicados a investigación generan nuevos tipos de ciberataques con el objetivo de afectar a las industrias críticas, los cuales son finalmente utilizados en épocas de conflicto. Estos ataques avanzados pueden tener un impacto importante en países no relacionados al conflicto, ya sea por el nivel de infección o porque se populariza su uso. Las empresas industriales cada día deben estar más protegidas ante estos riesgos inminentes. En este Webinar presentamos los riesgos generados por la guerra cibernética para el sector industrial y cómo generar una estrategia de fortalecimiento de ciberseguridad efectiva.
DIRIGIDO A
Gerentes y Staff de Operaciones, Planta, Riesgos y Seguridad de la Información, así como a consultores y profesionales vinculados al mundo industrial que tengan relación con el tema.
TEMARIO
Evolución de los ciberataques (AC)
Ejemplos de ciberataques a las empresas industriales (FG)
Potenciales riesgos para las industrias locales (AC)
Recomendaciones y mejores prácticas para prevenir ataques (FG)
Estrategias de protección antes estos nuevos riesgos – El modelo de madurez de la capacidad de ciberseguridad (C2M2) (AC)
El creciente aumento de las ciberamenazas a las que está expuesta cualquier compañía u organización hace que sea cada vez más necesaria la implantación de medidas adicionales de seguridad consistentes en la detección, prevención y mitigación de las mismas.
El incremento en los últimos años de ciberataques, robos de información, fraudes, usurpaciones de identidad, etc., ha ocasionado graves pérdidas económicas en muchas organizaciones
Presentación ofrecida en la jornada de charlas sobre seguridad organizada por el COPCA y Tertulia21.
Se analizan los aspectos principales de la seguridad de los sistemas, los puntos débiles más y menos conocidos y las consideraciones más básicas a tener en cuenta para incrementar la seguridad de nuestra red.
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
Como symantec puede ayudar cuando existe una brecha de seguridad
Be Aware Webinar - Siga la programacion en nuestra página de Facebook
31. january 20th 2016
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroXelere
Ya no alcanza con proteger el perímetro. Los ataques avanzados aprovechan servidores, pcs, notebooks, tabletas y teléfonos “débiles” para propagarse y conseguir sus objetivos. En esta presentación entenderás por qué los “endpoints” se consideran “el nuevo perímetro” y cómo hacer para mitigar los riesgos.
Presentación realizada en el congreso itSMF Vision15 donde se ve la seguridad existente en los dispositivos personales, el Internet de las cosas, y por ultimo la seguridad física dentro del entorno corporativo.
Red Team: Un cambio necesario para la visión holística de la ciberseguridadEduardo Arriols Nuñez
La mentalidad tradicional, es actualmente ineficaz. Las organizaciones realizan comprobaciones aisladas en seguridad que no les permiten conocer el verdadero riesgo al que están expuestas, provocando una falsa sensación de seguridad. Por ello es necesaria una evolución hacia el concepto y mentalidad Red Team.
Por ello, durante la presentación se expuso el concepto Red Team como servicio, como es posible aplicarlo en las organizaciones, así como casos de éxito realizados desde el Red Team de SIA.
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
Presentación realizada en XXI Jornadas del Instituto de Auditores Interno (IAI) donde se expuso en detalle en que consisten los ejercicios de intrusion avanzada o Red Team.
Mas información: http://jornadas.auditoresinternos.es/iai2016/es/event/57bdb647c0b65b521c8b4aef/agenda/57c40335c0b65b411c8b4f38
Los ataques de phishing, malware y cryptohacking aumentaron exponencialmente en los últimos 2 años y suelen llegar en forma de simples e-mails fraudulentos o al navegar en sitios de internet utilizando la cuenta de correo de la empresa. Si los usuarios aceptan cualquier tipo de correo o archivo o navegan libremente llegando a sitios sospechosos, se deja una ventana abierta para ser víctima de un ciberataque por lo que más allá de las estrategias que los técnicos puedan llevar a cabo a nivel infraestructura, se debe trabajar con políticas y lineamientos de entrenamiento en ciberseguridad para todos los integrantes de vuestra organización, en lenguaje sencillo y de fácil comprensión, que ayuden a identificar correos sospechosos, intentos de ingeniería social, adjuntos potencialmente infectados e incluso un links inciertos, debiendo poder usar un criterio común para inmediatamente reportar estos casos al departamento de seguridad informática.
Presentación de Vanesa Gil Laredo, Responsable de Consultoría y Qualified Security Assessor de S21SEC para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
En la presentación de José García González de Informática El Corte Inglés (IECI), nos mostró como el cumplimiento de PA DSS facilita, aunque no garantiza, el cumplimiento de PCI DSS.
"Modelo de Gobierno y Gestión de las TIC. La certificación de conformidad con el ENS.". Ponencia de D. Boris Delgado Riss
Gerente de TIC de AENOR. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
http://www.uid0.com.ar
Breve descripción de la charla:
La fuga de información es una problemática que no es ninguna novedad para la industria de la seguridad de la información ya que a menudo ocurren casos que aquejan especialmente a las organizaciones, aunque también puede afectar a cualquier individuo en su ámbito personal. La pérdida de información puede ser un inconveniente muy grave para una empresa en caso de no implementar controles para minimizar el impacto y se deben tener en cuenta la implementacion de procesos para mitigar en el caso desafortunado que así ocurra.
"Cumplimiento como base de la ciberseguridad". Ponencia de D. Pablo López
Segundo jefe del Departamento de Ciberseguridad del CCN. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
OBJETIVOS
Desde hace años equipos dedicados a investigación generan nuevos tipos de ciberataques con el objetivo de afectar a las industrias críticas, los cuales son finalmente utilizados en épocas de conflicto. Estos ataques avanzados pueden tener un impacto importante en países no relacionados al conflicto, ya sea por el nivel de infección o porque se populariza su uso. Las empresas industriales cada día deben estar más protegidas ante estos riesgos inminentes. En este Webinar presentamos los riesgos generados por la guerra cibernética para el sector industrial y cómo generar una estrategia de fortalecimiento de ciberseguridad efectiva.
DIRIGIDO A
Gerentes y Staff de Operaciones, Planta, Riesgos y Seguridad de la Información, así como a consultores y profesionales vinculados al mundo industrial que tengan relación con el tema.
TEMARIO
Evolución de los ciberataques (AC)
Ejemplos de ciberataques a las empresas industriales (FG)
Potenciales riesgos para las industrias locales (AC)
Recomendaciones y mejores prácticas para prevenir ataques (FG)
Estrategias de protección antes estos nuevos riesgos – El modelo de madurez de la capacidad de ciberseguridad (C2M2) (AC)
El creciente aumento de las ciberamenazas a las que está expuesta cualquier compañía u organización hace que sea cada vez más necesaria la implantación de medidas adicionales de seguridad consistentes en la detección, prevención y mitigación de las mismas.
El incremento en los últimos años de ciberataques, robos de información, fraudes, usurpaciones de identidad, etc., ha ocasionado graves pérdidas económicas en muchas organizaciones
Presentación ofrecida en la jornada de charlas sobre seguridad organizada por el COPCA y Tertulia21.
Se analizan los aspectos principales de la seguridad de los sistemas, los puntos débiles más y menos conocidos y las consideraciones más básicas a tener en cuenta para incrementar la seguridad de nuestra red.
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
Como symantec puede ayudar cuando existe una brecha de seguridad
Be Aware Webinar - Siga la programacion en nuestra página de Facebook
31. january 20th 2016
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroXelere
Ya no alcanza con proteger el perímetro. Los ataques avanzados aprovechan servidores, pcs, notebooks, tabletas y teléfonos “débiles” para propagarse y conseguir sus objetivos. En esta presentación entenderás por qué los “endpoints” se consideran “el nuevo perímetro” y cómo hacer para mitigar los riesgos.
Presentación realizada en el congreso itSMF Vision15 donde se ve la seguridad existente en los dispositivos personales, el Internet de las cosas, y por ultimo la seguridad física dentro del entorno corporativo.
Red Team: Un cambio necesario para la visión holística de la ciberseguridadEduardo Arriols Nuñez
La mentalidad tradicional, es actualmente ineficaz. Las organizaciones realizan comprobaciones aisladas en seguridad que no les permiten conocer el verdadero riesgo al que están expuestas, provocando una falsa sensación de seguridad. Por ello es necesaria una evolución hacia el concepto y mentalidad Red Team.
Por ello, durante la presentación se expuso el concepto Red Team como servicio, como es posible aplicarlo en las organizaciones, así como casos de éxito realizados desde el Red Team de SIA.
Red Team: Un nuevo enfoque para auditar controles de CiberseguridadEduardo Arriols Nuñez
Presentación realizada en XXI Jornadas del Instituto de Auditores Interno (IAI) donde se expuso en detalle en que consisten los ejercicios de intrusion avanzada o Red Team.
Mas información: http://jornadas.auditoresinternos.es/iai2016/es/event/57bdb647c0b65b521c8b4aef/agenda/57c40335c0b65b411c8b4f38
Los ataques de phishing, malware y cryptohacking aumentaron exponencialmente en los últimos 2 años y suelen llegar en forma de simples e-mails fraudulentos o al navegar en sitios de internet utilizando la cuenta de correo de la empresa. Si los usuarios aceptan cualquier tipo de correo o archivo o navegan libremente llegando a sitios sospechosos, se deja una ventana abierta para ser víctima de un ciberataque por lo que más allá de las estrategias que los técnicos puedan llevar a cabo a nivel infraestructura, se debe trabajar con políticas y lineamientos de entrenamiento en ciberseguridad para todos los integrantes de vuestra organización, en lenguaje sencillo y de fácil comprensión, que ayuden a identificar correos sospechosos, intentos de ingeniería social, adjuntos potencialmente infectados e incluso un links inciertos, debiendo poder usar un criterio común para inmediatamente reportar estos casos al departamento de seguridad informática.
Presentación de Vanesa Gil Laredo, Responsable de Consultoría y Qualified Security Assessor de S21SEC para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
En la presentación de José García González de Informática El Corte Inglés (IECI), nos mostró como el cumplimiento de PA DSS facilita, aunque no garantiza, el cumplimiento de PCI DSS.
El estándar de seguridad de la Industria de las tarjetas de pago, PCI DSS, fomenta y mejora la seguridad de los datos de los titulares de tarjetas y facilita la adopción de medidas de seguridad unificadas y consistentes a nivel mundial. Desde su inicio en 2006, esta y otras normas han sido desarrolladas por el PCI Security Standards Council, un foro mundial abierto, establecido en 2006 y compuesto de las cinco principales marcas de pago, que se encarga de la formulación, gestión, educación y divulgación de dichas normas.
Presentación de Zane Ryan de Dot Force España y Bruce Mac Nab de SafeNet sobre los requerimientos de PCI DSS y las soluciones que permiten ir un paso más allá en la pura implementación de PCI DSS.
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
El presente curso se enfoca en brindar una metodología teórica y práctica
para comprender la necesidad de implementar las PCI DSS, sus beneficios para el negocio
y el cumplimiento del "Reglamento de Tarjetas de Crédito y Debito" publicado por la
Superintendencia de Banca y Seguros bajo la Resolución SBS N° 6523-2013.
Presentación de Miguel Ángel Domínguez sobre cómo PCI DSS debe contemplarse como un proceso continuo y no un proyecto de seguridad dentro de un Sistema de Gestión de la Seguridad de la Información.
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
Presentación de Pedro Sánchez de ATCA sobre su caso de éxito en la implantación de PCI DSS dentro de su SGSI certificado sobre la norma ISO/IEC 27001:2005. En ella se tratan pros y contras en su implantación así como las dudas que se plantearon en ATCA sobre la implantación de la norma.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
Las 5 principales ciberamenazas en el sector financiero
1. Las 5 principales ciberamenazas del
sector financiero
MBA Ing. Raúl Díaz Parra | CRISC, CISM, CISA,
CEH, CHFI, ECSA, ECSP, ITIL, ISO/IEC 27002
2. Raul Díaz
2
Socio Líder de Consultoría
Strategos Consulting
Services
ESAN
◦ MBA con mención en finanzas
◦ PAE Gestión de Seguridad de la
Información
◦ PEE Gerencia de Tecnologías de la
Información
Youreka India
◦ Business & Entrepreneurship
Program
Tel Aviv University
◦ Inmersion Technology Program in
Entrepreneurship and Innovation
Ecosystem
Universidad de Lima
◦ Ingeniero de Sistemas
• Certificaciones Internacionales:
– CRISC, CISA, CISM, ECSA, CEH,
ECSP, CHFI, CPTE, ISF ISO/IEC
27002, ITIL(F)
• Consultoría de Gestión TI,
Riesgos, Seguridad de la
Información y Continuidad de
Negocio en:
– Perú, Argentina, Colombia, Honduras,
Ecuador, Chile, Brasil, Bolivia y
México.
• Instructor en ECCouncil
(Seguridad Informática) en:
– Perú, Venezuela, Chile, Argentina,
Honduras, México, Ecuador,
Colombia, Brasil.
3. Agenda
Crecimiento Global de ciberataques
Tendencias Globales de
ciberamenazas en el sector
financiero
Las 5 principales ciberamenazas
Cumplimiento PCI DSS
Conclusiones
3
10. 10
2. Personal malicioso (fuga
de información)
Personal que brinda información:
◦ Confidencial como:
Procesos
Tecnología
Datos de tarjeta
Información de personal
18. Raúl Díaz | ISO 27k, CISM,
CISA, CEH, CHFI, ECSA, ECSP,
ITIL(F), ISF ISO/IEC 27002 18
Reglamento de Tarjetas de
Débito y Crédito
El 30 de Octubre del
2013 aprueba por
resolución 6523-2013
el Reglamento de
Tarjetas de Debito y de
Crédito
19. Raúl Díaz | ISO 27k, CISM,
CISA, CEH, CHFI, ECSA, ECSP,
ITIL(F), ISF ISO/IEC 27002 19
Reglamento de Tarjetas de
Débito y Crédito
El Reglamento tiene un apartado de
medidas de seguridad sobre las tarjetas de
crédito y débito, esencialmente en los
artículos:
Artículo 15°.- Medidas de seguridad
incorporadas en las tarjetas
Artículo 16°.- Medidas de seguridad
respecto a los usuarios
Artículo 17°.- Medidas de seguridad
respecto al monitoreo y realización de las
operaciones
Artículo 18°.- Medidas en materia de
seguridad de la información (PCI DSS)
Artículo 19°.- Medidas de seguridad en los
negocios afiliados
Artículo 20°.- Requerimientos de seguridad
en caso de subcontratación
20. Raúl Díaz | ISO 27k, CISM,
CISA, CEH, CHFI, ECSA, ECSP,
ITIL(F), ISF ISO/IEC 27002 20
Fechas de Adecuación
◦ A partir del 31 de diciembre de 2015, las
empresas deberán asegurar que las redes de
cajeros automáticos, que brindan a sus
clientes para sus operaciones (ya sean redes
propias o redes contratadas con terceros en el
territorio nacional), puedan autenticar las
tarjetas emitidas, a través del uso del chip o
circuito integrado, incorporado en la tarjeta
para realizar las operaciones solicitadas por
los clientes.
◦ A partir del 31 de diciembre de 2015, las
empresas que permitan la realización de
operaciones, sin utilizar el circuito integrado o
chip incorporado en las tarjetas, deberán
asumir los riesgos y, por lo tanto, los costos
de dichas operaciones, en caso no
sean reconocidas por los usuarios.
◦ Para implementar lo requerido en el
artículo 18°, las empresas tendrán un
plazo de adecuación hasta el 31 de
diciembre de 2015
21. 21
Familia PCI DSS
PCI Security
& Compliance
Manufacturers
PCI PTS
PIN Entry
Device
Software
Developers
PCI PA -
DSS
Payment
Applications
P2PE
Merchants &
Service Providers
PCI DSS
Secure
Environments
• Protección de los Datos de Pago del Tarjetahabiente
• Ecosistema de los dispositivos de pago, aplicaciones,
infraestructura y usuarios
22. 22
Los 12 requisitos PCI DSS
Construir Y Mantener
Redes Seguras
1. Instalar y mantener configuraciones de firewall para proteger la
información
2. No usar contraseñas o parámetros de seguridad provistos por
suplidores
Proteger La Información
Del Tarjetahabiente
3. Proteger información almacenada
4. Cifrar datos de tarjetahabientes e información sensitiva al enviarla
por redes públicas
Establecer Programas De
Pruebas De
Vulnerabilidades
5. Usar y actualizar regularmente programas de antivirus
6. Desarrollar y mantener sistemas y aplicativos seguros
Implementar Medidas
Fuertes De Control De
Acceso
7. Restringir acceso a información de acuerdo a reglas del negocio
8. Asignar IDs únicos para cada persona con acceso a sistemas
9. Restringir acceso a la información de tarjetahabiente
Regularmente Monitorear Y
Probar Acceso A La Red
10. Rastrear y monitorear todos los accesos a la red e información del
tarjetahabiente
11. Regularmente probar sistemas y procedimientos de seguridad
Mantener Políticas De
Seguridad De La
Información
12. Establecer políticas dirigidas a la seguridad de la información
23. Raúl Díaz | ISO 27k, CISM,
CISA, CEH, CHFI, ECSA, ECSP,
ITIL(F), ISF ISO/IEC 27002 23
Aplicabilidad PCI DSS
El número de cuenta principal es el "dato
principal" de los datos del titular de la
tarjeta, que define si debemos asegurar
nuestro entorno de datos del titular de
tarjeta (CDE) según las PCI DSS.
24. 24
Conclusiones
Definir un portafolio de proyectos de
seguridad de cumplimiento y prevención
Realizar inteligencia de ciberamenazas
Revisión de controles tecnológicos con
pruebas de penetración.
Definir equipos de respuesta.
especializados en caso de incidente
tecnológico.
25. 25
Gracias
Ing. Raúl Díaz Parra
Socio Líder de Consultoría
CRISC, CISM, CISA, CEH, CHFI,
ECSA, ECSP, ITIL, ISO/IEC 27002
raul.diaz@strategoscs.com
www.strategoscs.com