Ricardo Matte E.Asociación de BancosEnero 2018
Ciberseguridad:
Antecedentes y Desafíos
Marco General
Ø Ciberseguridadnosoloesuntemadetecnologías(“maquinasatacandomaquinas”),involucrademaneraimportanteapersonas,políticasinternasycomolasempresasestánorganizadas.
Ø Elobjetivoesmitigarlosriesgosasociadosaciberseguridadyposiblesinterrupcionesenlosserviciosprovistosporlasempresas,ademásdelaproteccióndelossistemasylainformacióndelosclientes.
Ø Eventosdeciberseguridadinvolucranyafectantantoalasempresascomoasusclientes,siendosuprevenciónresponsabilidaddedistintosactores.
Ø Elniveldeinterconexiónenlosserviciosfinancieros,ybancariosenparticular,implicaqueexisteunimportanteespacioparaaccionesanivelindustria.
Eventosclimáticosextremos
Desastresnaturales
Fallaenmitigacióndecambioclimático
Pérdidadebiodiversidadycolapsoenecosistema
Desastresambientalescausadosporel…
Crisisdeagua
CrisisdecomidaMigracióninvoluntariaagranescala
Propagacióndeenfermedadesinfecciosas
Profundainestabilidad
social
Fallaenplanificaciónurbana
Armasdedestrucciónmasiva
Conflictosinterestatales
Falladegobernabilidadnacional Ataquesterroristas
Falladegobernabilidadregionaloglobal Colapsodeestado
Ciberataques
Quiebreeninfraestructuradeinformacióncrítica
Fraudeohurtoendatos
Consecuenciasadversasdeavancestecnológicos
Desempleoosubempleo
CrisisfiscalesBurbujasdeactivosenmayoríadeeconomíasFalladeinfraestructuracrítica
Shockdepreciodelaenergía Fallade
institucionesfinancieras
ComercioilícitoDeflación
Inflacióndescontrolada
2,80
3,00
3,20
3,40
3,60
3,80
4,00
4,20
2,40 2,70 3,00 3,30 3,60 3,90 4,20 4,50
Medioambiental Social Geopolítico Tecnológico Económico
Impacto(1
-5)
Probabilidad(1- 5)
Fuente: World Economic Forum, The Global Risks Report 2018.[1] Encuestados evalúan la probabilidad de ocurrencia en una escala de 1 a 5: 1 representa un riesgo muy improbable y 5 muy probable. Tambiénevalúan el impacto en una escala: 1: impacto mínimo, 2: impacto menor, 3: impacto moderado, 4: impacto severo, 5: impacto catastrófico.
MapadeRiesgos2018Impactoyprobabilidaddeocurrenciaderiesgosenelmundo [1]
Ciberseguridad:preocupaciónanivelglobal…
Industriasafectadasporciberataquesanivelmundialenlosúltimos12meses[1](Porcentajedeempresasporquehansufridociberataques)
…atravésdediversossectores,incluyendoelfinanciero
Fuente:Marsh&McLennanCompanies,GlobalRiskCenter(2018):“MMCCyberHandbook2018”.[1]Encuestaacercade1.000altosejecutivosendiferentesindustrias(MicrosoftGlobalCyberRiskPerceptionSurvey)
17%
0% 5% 10% 15% 20% 25% 30%
Energía
Salud
Comercio
Maufactura
Infraestructura
Institucionesfinancieras
Automotriz
Serviciosprofesionales
Electricidadyserviciosbásicos
Industrianaval
Comunicaciones,mediosytecnología
Navegaciónaereayespacial
Fuente:KasperskyLab(2017):“KasperskyLabReport2017– NewTechnologies,NewCyberthreads.AnalyzingthestateofITSecurityinfinancialsector”.[1]EncuestarealizadaporKasperskyLabyB2BInternationala841representantesdeempresasfinancierasen15países.
Principalespreocupacionesdebancosenmateriadeseguridaddebancaonline/bancamóvil[1]
(Porcentajedelosencuestados,2017)
Ciberseguridad:implicanciasparalosbancosysusclientes
46%
41%
38%
37%
31%
24%
22%
21%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
Clientesfrecuentementesonobjetivodeataquestipophishing /ingenieríasocial
Clientessondemasiadodespreocupadosensucomportamientoonline
Dificultaddeequilibrarcomodidadparaclientesconprevencióndedelitos
Clientesusanconexionesdeinternetinseguras
Clientesusandispositivosinfectadosconmalware
Dificultadparaverificarlaidentidaddequienesusanlogin debancaonline
Desarrollodesitioswebyaplicacionesbancarioseslentodebidoanecesidaddeconsiderarseguridad
AtaquesDDoS dificultanmanteneraltadisponibilidaddeservicios
Fuente:KasperskyLab(2017):“KasperskyLabReport2017– NewTechnologies,NewCyberthreads.AnalyzingthestateofITSecurityinfinancialsector”.
EstrategiaCiberseguridad:multiplicidadycomplementariedad
61%
52%
37%
35%
32%
32%
0% 10% 20% 30% 40% 50% 60% 70%
Mejorarlaseguridaddeaplicacionesysitioswebusadosporlosclientes
Requerirautenticaciónmáscompleja/verificacióndedetallesdelogin
Enviarmásmensajesalosclientesparamejorarlaconcienciadelpeligrodefraudes
Recomendaralosclientesqueusensoftwaredeseguridadensusdispositivos
Evaluarelriesgodelosclientesydesuniveldeaccesoaserviciosonline
Mejorarsistemasback-end quepermitanidentificaractividadesfraudulentas
Estrategiasparacombatirelfraudeonlinequeadoptaríanlosbancosenlospróximostresaños
(Porcentajedebancos)
Ejemplosdeaccionesrealizadasporlosbancosparaprotegerlaseguridaddesusoperaciones:Ø Infraestructurabasedeseguridadbasadasenconfiguración,actualizacióny
uso:Ø Firewalls,Antivirus,Antispam
Ø Cifradodedatosymejorasenlosrespaldosdeinformación
Ø Actualizacióncontinuadeparchesdeseguridaddesistemasyaplicaciones
Ø Usoeimplementacióndeherramientasasociadasacomportamiento:registro,chequeo,análisisdetráficosyusodeaplicacionesØ SistemasdeDetecciónyPrevencióndeataques:IDSeIPS
Ø Herramientasparadetectarycontrarrestarataquesdedenegacióndeservicios:DDoSØ Herramientasdeanálisisdecomportamientosdeclientesypersonaldelosbancos
Ø Herramientasparadetectarybloquearmalwareophishing
Ø Mejorasenlascondicionesdeautenticación:Ø Accesodeclientesypersonaldelosbancosaaplicacionestecnológicas
Ø Gestiónycontroldeaccesodepersonaltécnicoadatoscríticos
Ø Educaciónparaelpersonaldelosbancossobrelaseguridadcomounatareadetodos
Usodepáginawebpordispositivodeacceso[1](Porcentajedecuentacorrentistas)
Elsitiowebeselcanaldeatenciónmásusadoporlosclientes y,porende,laciberseguridadescadavezmásrelevante
Fuente:GfKAdimark,IndicedeSatisfacciónIndustriaBancos,TrimestreOctubre– Diciembre2017.[1]Cifrasbasadasenentrevistastelefónicasa1.110clientescuentacorrentistasresidentesenlasprincipalesciudadesdelpaísypertenecientesalosnivelessocioeconómicosC1,C2yC3.¿Enlosúltimostresmeses,¿cuáldeestoscanaleshautilizadoensubanco?
27,8%Ambos
33,7%Sólo Desktop
10,8%Sólo Mobile
72,3% Utilizó la página web de su banco
27,7% No utilizó la
página web de su banco
Fuente:VisaInc.(2017).[1]Tasadefraude:MontoFraude/MontoVentas*10.000.
Tasasdefraudeentransaccionescontarjetas[1](Puntosbase,4° Trimestre2016)
23,4
21,0
15,8
14,9
12,2
9,5
9,1
4,6
16,2
13,9
9,8
0,0 5,0 10,0 15,0 20,0 25,0
Rep.Dominicana
México
Brasil
Colombia
PuertoRico
Argentina
Perú
Chile
EE.UU.
Latinoamérica
Mundial
TasadefraudeenChile:baja,peroesundesafíopermanente
Evaluaciónatributosdeaplicacionesdebancamóvil[1](Porcentajenetodecuentacorrentistassatisfechos)
Fuente:IPSOS,ServitestPersonas.[1]Encuestaanuala3.800cuentacorrentistasaproximadamentedelaindustriabancariaconalmenos1añodeantigüedad.Lasentrevistasserealizaronentreabrilyjuliodecadaaño.Lasatisfacciónnetaequivalealaproporcióndeclientessatisfechosmenoslosclientesinsatisfechos.
62
46
6371
59
7672
62
78
0
10
20
30
40
50
60
70
80
90
100
Amigableyfácildeusar Atractivo(diseñodelaaplicación,estética)
Seguridadalrealizaroperaciones
2015 2016 2017
Esfuerzosdelabancatambiénseplasmanenunacrecientevalorizacióndesusclientes
Puntos Centrales
Ø LaciberseguridadesundesafíopermanenteyclaveeneldesarrollodelossistemasdepagosØ ConfianzaØ Roldelosdistintosactores:clientes,emisores,comercio,etc.
Ø Labancainvierteconstantementeenseguridad,lascifrasyevaluacióndelosclientesloavalanØ MonitorearØ CompartirinformaciónymejorareducaciónfinancieraØ Propuestaspro-activasanivelindustria
Ø Losesfuerzosenestaáreadebenmantenerse,tantoporelsectorprivadocomoelsectorpúblico,conregulaciónacordealostiemposØ DinamismoØ ModernizacióndeleyesynormativaØ Mayorcoordinaciónycooperación
Puntos Centrales
Ø Ejemplosdealgunasmedidasadoptadasporlabanca:
Ø Campañasdeciberseguridad
Ø CoordinacióndetemasindustriaatravésdeComitésyGruposdeTrabajoABIF
Ø Reddealertatemprana
Ø Sistemasmáseficientesparaladeteccióndefraudes
Ø Tecnologíasdereconocimientobiométricodelosclientes
Campaña “No más cuentos”
Campaña preventiva para evitar fraudes en tarjetas de crédito y débito
Asociación de BancosEnero 2018
Ciberseguridad
Antecedentes y Desafíos