La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

- Agosto 23 de 2007 Expositores:

Publicada porTecla Alamillo Modificado hace 10 años

Presentaciones similares

Presentación del tema: "- Agosto 23 de 2007 Expositores:"— Transcripción de la presentación:

1 La autenticación robusta en el Discount Bank – el inicio de una realidad en América Latina?
- Agosto 23 de 2007 Expositores: Sr. José Pedro Ferrer - Gerente de IT de Discount Bank Latin America Ing. Leonardo Berro - CISSP - Director de Security Advisor

2 Implementacion Doble Autenticación
Discount Bank L.A. MultiDiscount.NET Implementacion Doble Autenticación

3 Nuestra Misión Desarrollar con cada uno de nuestros clientes una relación a largo plazo, brindándoles los múltiples productos y servicios financieros que necesiten en las distintas etapas de su vida. Para ello, nos basaremos en nuestra gente, a la que apoyaremos en su desarrollo profesional y personal, en un ambiente de trabajo en equipo que reconoce el valor de cada una de las personas involucradas. Nuestra adhesión a la misión nos permitirá maximizar el valor para nuestros accionistas, clientes y la sociedad en su conjunto, lo que permitirá el contínuo desarrollo del Discount Bank LA.

4 Nuestra Visión Ser reconocido como el banco que mejor satisface las necesidades de sus clientes, por la calidad de sus servicios, su atención profesional y personalizada, por su capacidad de innovación y aprovechamiento del rápido desarrollo tecnológico.

5 Breve Historia Fundado como una sucursal del Discount Bank (Overseas) Limited. Pasa a ser subsidiario de IDB New York y cambia el nombre a Discount Bank (Latin America) – “DBLA” “AA” establecido por S&P (Apr/06) As a result of the overall management and perception of the Bank within Uruguay, the Bank slowly recaptured all lost deposits and now are more than US$ 410 million surpassing the previous high prior the crisis in December 31, As a result, most of the deposits are now from local instead of from non-residents. The ratio has inverted.

6 Conformación 232 Empleados
12 sucursales estratégicamente ubicadas en Montevideo y Maldonado Al servicio de más de clientes Accounts statistics : 17% (0 – 34 Yrs. old) 53% (35 – 54 Yrs. old) 30% (55+ Yrs. old)

7 Conformación Personal Banking (Residentes & No Residentes)
Características: Segmento Medio - Alto (Colectividad Judía, Profesionales, Jóvenes, Empresarios, etc.) Corporate Banking (Residentes & No Residentes) Características: Pequeñas y Medianas Empresas (Importaciones & Exportaciones, Empresas: Comerciales, Industriales y de Servicios) Servicios a empresas Argentinas, Brasileras y Chilenas principalmente. Private Banking (Residentes & No Residentes) Se ofrecen instrumentos de inversión, brindando asesoramiento integral al cliente.

8 MultiDiscount.NET 1er. Servicio de Windows Home Banking de Uruguay (1997) 26% de la cartera de Clientes activos en el servicio. El 5% de esta cartera accede por día a su información por este medio. +2000 Accesos Diarios de Clientes mas de Transacciones Mensuales Sistema MultiCuenta ( 1 Usuario – N Cuentas habilitadas ) Multi-Idioma Administración de Sub-Usuarios y Permisos

9 Seguridad Pre Autenticación Robusta
Seguridad basada en Niveles de Usuarios Administración de Permisos por parte del Banco Falta de seguridad de algunos Clientes para operativas que afectan movimientos de fondos

10 Ayer en Home Banking Doble autenticación Capa de Windows
Gran cantidad de usuarios en Active Directory Imposibilidad de que el usuario cambiara su clave Capa de la Aplicación Mantenimiento de usuarios en Bases de Datos Encripción de claves en Base de datos

11 Ayer en Home Banking Problemas Doble juego de Usuario/password
Usuario memorizaba password en cache Problemas al borrar el cache Almacenamiento de usuario y passwords en PC públicos Alto costo de administración de usuarios Olvido de password Generación de nuevas claves Verificación de usuario válido ante bloqueos por errores Gran cantidad de llamadas al Call Center

12 Solución con Autenticación Robusta (TOKEN)
Flexibilidad para el Cliente Auto-Administración por parte del Cliente de sus permisos y perfiles de usuarios dependientes Mecanismos de Seguridad adicional no tradicional (basado en conocimiento de una clave conocida) Sin acceso al Token no se puede confirmar una operativa

13 MultiDiscount con TOKEN
La implementación de la tecnología Token requirió los siguientes puntos: En el BackEnd La Integración de los Tokens en la Administración de Usuarios del Sistema En el FrontEnd Integración del mecanismo de autenticación mediante Token en las operativas seleccionadas

14 Perfil de Usuarios Nivel Limitado Consultas, Solicitud de Chequeras y Compra Venta de Moneda Nivel Básico Nivel Limitado más Traspasos de fondos entre cuentas del usuario, Traspasos a terceros dentro del Discount Bank Nivel Básico c/Transferencias Nivel Básico más Transferencias a Bancos de Uruguay o del Exterior limitado por un tope máximo diario Nivel Avanzado Consultas, Solicitud de Chequeras, Compra Venta de Moneda, Traspasos de fondos entre cuentas del usuario, Traspasos a terceros dentro del Discount Bank, Transferencias sin límite

15 NOMBRE DE USUARIO + CUENTA HABILITADA + NRO. DE SERIE DEL TOKEN
MultiDiscount BackEnd Se integró al sistema de administración de usuarios, la gestión del stock de Tokens del Banco. Con ello se permite al momento de afiliar un cliente o cambiar su perfil, preguntarle con qué cuentas de su grupo desea operar con el Token. Se almacena una tupla que identifica para cada cuenta del cliente: NOMBRE DE USUARIO + CUENTA HABILITADA + NRO. DE SERIE DEL TOKEN Seguidamente se corre un proceso de inicialización de Token que lo deja operativo.

16 Hoy en Home Banking Autenticación con Usuario y password sólo para consultas básicas (igual a otros servicios) Requerimiento de Token sólo para transacciones críticas (manejo de fondos) Ventajas Claves dinámicas, únicas e irrepetibles Mínimo período de validez del código generado Fácil de usar (solo oprimir un botón) No es necesario recordar códigos ni claves Fácil y rápida implementación e integración a aplicaciones ya existentes Permite autenticar desde la propia aplicación mediante el llamado de rutinas encapsuladas Integrable a distintas plataformas Elimina posibilidades de PHISHING

17 Pantalla de bienvenida a MultiDiscount
Pantalla de bienvenida a MultiDiscount.NET una vez autenticado el cliente

18

19 Ejemplo de Operativa de Transferencias al Exterior mediante uso de TOKEN

20 MultiDiscount.NET FrontEnd Cuando un cliente accede a una operativa definida por el banco, para que requiera autenticación adicional mediante Token, se le presenta una pantalla similar a la siguiente :

21 MultiDiscount.NET En caso de no ingresar un código válido, se puede reintentar hasta un máximo de 3 veces. Seguidamente luego del 3er. reintento , se bloquea administrativamente el usuario, el cual debe contactar al Banco para su reactivación.

22 Problemas Lectura 342601 Lectura 1092hE Posición correcta
Posición errónea

23 Transacciones via Fax La operativa
Los clientes envían faxes, los mismos son digitalizados automáticamente y de la misma forma ingresan a un Workflow. El problema Los niveles de autenticación e integridad, se degradan, como consecuencia de los cambios tecnológicos La Solución El Token es la solución, que permitirá autenticar al usuario y garantizará la integridad del contenido del documento enviado.

24 La Operativa: El problema
El cliente envía por fax, una carta orden. A la misma le agrega una clave que autentique el origen del mismo. CLIENTE El problema El nivel de autenticación es muy bajo, ya que es una clave creada a partir de una tabla fija y tampoco garantiza que el contenido no fue modificado. Ingreso WorkFlow VERIFICA OFFICER

25 Token con Firma Electrónica
Autenticación robusta. Teclado reducido. Fácil de utilizar. Generador de Firma Electrónica a partir de múltiples campos. El dispositivo consta de un teclado numérico, en el cual se pueden ingresar como parámetro del hash, los campos involucrados en la transacción, que pueden ser por ejemplo: número de cuenta que se debita, número de cuenta a ser acreditada, importe de la operación, fecha o fecha valor y un número fijo o PIN.

26 ¿ Consultas ?

27 Presentación de Security Advisor
Creada en el año 2000: foco exclusivo en Seguridad Informática. Unico Partner Certificado de VASCO en Uruguay. Base instalada: Uruguay, Argentina, Chile, Paraguay y México. Clientes en Uruguay: 80% de los Bancos de plaza. Las más importantes entidades financieras. Multinacionales en Zonamerica (parque tecnológico líder en Sudamérica) Empresas exportadoras y de servicios. Sector Estatal. Presentación de Security Advisor

28 Areas de Especialización y Productos representados
Antivirus, antispam, antispyware, antiphishing Control de contenidos (Web, Mail) Sistemas de firma digital y encriptación Análisis de Vulnerabilidades Sistemas de Detección y Prevención de intrusos (IDS, IPS) Firewalls, VPN, QOS Dispositivos para autenticación robusta (Tokens USB, OTP) Diseño e implementación de políticas de seguridad según ISO 27001 Presentación de Security Advisor

29 Temas a tratar: Definiciones Problemática actual Ataques frecuentes
Autenticación robusta Definición Factores Tecnologías: OTP Event Based Implementación en Discount Bank Conclusiones Finales Presentación de Security Advisor

30 Definiciones Autenticación Autorización
El acceso a los sistemas(aplicaciones) involucra 3 instancias: Identificación Autenticación Autorización Identificación: digo quien soy (Ej: logon id) Autenticación: pruebo quien soy para un sistema dado (ej: password) Autorización: se dan los permisos al usuario Presentación de Security Advisor

31 Problemática Actual Método tradicional de autenticación: usuario y password Debilidades de usuario y password: Presentación de Security Advisor El usuario las elije sencillas El usuario las anota en papel (30% las escribe y guarda bajo el teclado) El usuario elije la misma para TODOS los sistemas

32 Problemática Actual “Los Passwords siguen siendo fundamentalmente una debilidad en seguridad, a pesar de la fortaleza en las políticas del password.” Presentación de Security Advisor Source: Gartner, “Assess Authentication Methods for Strong System Security”, August 2004

33 Problemática Actual Dos recomendaciones para reducir el problema de los passwords: Autenticación Robusta: “Use passwords o PINs en conjunto con otro método de autenticación, tal como hardware Tokens.” Administración de Passwords: “Implemente sistemas de administración de passwords para mitigar vulnerabilidades tanto técnicas como de procedimiento.” Presentación de Security Advisor Source: Gartner, “Assess Authentication Methods for Strong System Security”, August 2004

34 Ataques Frecuentes Robo de passwords
Presentación de Security Advisor Ataques de phishing: pronunciado "fishing" es el acto de enviar a usuarios, falsamente indicando que pertenece a una empresa legítimamente establecida, en un intento de que el usuario envíe información privada que será utilizada para el robo de su identidad.

35 Ataques Frecuentes AUTENTICACIÓN ROBUSTA Preguntas:
¿ Qué hacer para mitigar los efectos del robo de passwords ? ¿ Qué hacer para mitigar los efectos del phising? Respuesta: AUTENTICACIÓN ROBUSTA Presentación de Security Advisor

36 Un sistema utiliza AUTENTICACIÓN ROBUSTA cuando:
Autenticación Robusta - Definición Un sistema utiliza AUTENTICACIÓN ROBUSTA cuando: Mejora el mecanismo tradicional de usuario y password estática por uno más seguro y/o utiliza más de 1 factor de autenticación Presentación de Security Advisor

37 Autenticación Robusta – Factores
Tipo 1 - Algo que sé: Password, PIN, información personal Tipo 2 - Algo que tengo: Token (OTP, Certificados Digitales), SmartCards Tipo 3 - Algo que soy: Huella Dactilar, Patrón del Iris, Scan de Retina, Geometría de la mano Tipo 4 - Algo que sé hacer: Firma manuscrita, patrones de tipeo Tipo 5 - Dónde estoy: Ubicación específica (GPS), terminal de acceso Presentación de Security Advisor

38 + 125 + 125 + Autenticación Robusta – Factores Password: 1 factor
Tarjeta de cajero: 2 factores Token + Pin: 2 factores Token + PIN + Huella dactilar: 3 factores + 125 Presentación de Security Advisor

39 Autenticación Robusta – Tecnologías
Token: pieza de software o hardware entregada al usuario para probar su identidad. SmartCards: Almacenamiento de certificado digital Requieren lectores de tarjeta Alto costo de implementación Tokens OTP (One Time Password): Generan una password dinámica No requieren lector El usuario debe digitar lo que ve en el display del Token OTP Tokens USB: Se conectan al puerto USB Almacenan certificado digital o password NO requiere lector (puerto USB estándar Presentación de Security Advisor

40 Autenticación Robusta – Tecnologías
Presentación de Security Advisor SmartCards, Tokens OTP, Tokens USB se integran a: Aplicaciones propietarias: vía SDK Aplicaciones comerciales: vía Radius, LDAP, etc. Ejemplos de integración a aplicaciones comerciales: OWA, Windows Logon, Terminal Services, Acceso Remoto VPN (Cisco, Check Point), Citrix).

41 Autenticación Robusta – Tecnologías
Características a considerar para seleccionar un token: Nivel de seguridad ofrecido: 1 en 1 millón (ANSI X9.9) Compatibilidad: ¿ qué aplicaciones puede proteger ? Facilidad de uso: ¿ necesito conectarlo, necesito lector, instalar drivers ? Costos de administración: help desk, resincronización, entrega y recambio de tokens Presentación de Security Advisor

42 Autenticación Robusta – Tecnologías
Presentación de Security Advisor ¿ Cómo funcionan los Tokens OTP ? Input + Algoritmo de encriptación = OTP Resultado NO PREDECIBLE Secret key del algoritmo asociada a cada token: distintas secret key generan distintos OTP

43 Autenticación Robusta – Tecnologías
Hasta ahora: El Token OTP posee “algoritmo de encriptación” y “secret key” Dado el input, se genera el OTP ¿ Y el Servidor cómo sabe si el OTP ingresado es correcto ? Presentación de Security Advisor Respuesta: el servidor tiene copia de los “secret key” de cada Token OTP Bill Secret key Bill = A43vY Secret key Bob = tRdv4 Bob

44 Autenticación Robusta – Tecnologías
Según cómo se genera el input, 2 tecnologías de OTP: Time based: el input es el instante de tiempo Event based: el input es un contador que se incrementa en 1 cada vez que presiono un botón Presentación de Security Advisor

45 En un instante de tiempo, acepto
Tecnología Time Based Requiere un clock en el Token y en el Server Input = Tiempo actual Si Hora del reloj del server NOT EQ Hora del reloj del Token  Usuario NO puede ingresar (Out of Sinc) Solución: Ventanas de Tiempo Presentación de Security Advisor En un instante de tiempo, acepto OTPs de una ventana de tiempo

46 Tecnología Time Based Cuanto más grande la ventana ... más passwords son posibles... aumento la probabilidad de acierto de un atacante Balance entre “Tamaño de ventana” y “cantidad de out of sinc” Presentación de Security Advisor Nivel de seguridad Tamaño de ventana Cantidad de out of sinc

47 Implementación en Discount Bank
Presentación de Security Advisor

48 Conclusiones finales Autenticación robusta permite eliminar el eslabón más débil de la cadena: la autenticación Tokens One Time Passwords (OTP): fáciles de usar y “plugless” Cómo seleccionar la tecnología ? Evaluar los costos de implementación y mantenimiento de la solución Tokens Time-based o Event-based ? Seleccionar productos probados y con experiencia en el mercado financiero (transparencia para el usuario) Presentación de Security Advisor

49 ¡ Gracias !

Descargar ppt "- Agosto 23 de 2007 Expositores:"

Presentaciones similares

Pagos electrónicos Definición. ¿Cómo funciona?. Modalidades de compra.

Pagos electrónicos Definición. ¿Cómo funciona?. Modalidades de compra.
Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
V Congreso Estratégico de Tecnología y Mercadeo Financiero

V Congreso Estratégico de Tecnología y Mercadeo Financiero
ÍNDICE Mission Statement Breve historia Posicionamiento

ÍNDICE Mission Statement Breve historia Posicionamiento
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
Juan Antonio Pérez-Campanero Atanasio

Juan Antonio Pérez-Campanero Atanasio
Segmento GRC. Segmento GRC IT Governance Segmento E-Governance Otros Segmentos Segmento CRM Segmento E-Governance.

Segmento GRC. Segmento GRC IT Governance Segmento E-Governance Otros Segmentos Segmento CRM Segmento E-Governance.
Delitos Informáticos.

Delitos Informáticos.
Confidencial Enero, 2013 Nologin Consulting Corus Server Appliance & Authentication Broker.

Confidencial Enero, 2013 Nologin Consulting Corus Server Appliance & Authentication Broker.
Mecanismo de Seguridad “Identificación Positiva“

Mecanismo de Seguridad “Identificación Positiva“
INFRAESTRUCTURA DE CLAVE PÚBLICA

INFRAESTRUCTURA DE CLAVE PÚBLICA
LIBRO DE CLASES ELECTRONICO, Guía de instalación Aplicaciones

LIBRO DE CLASES ELECTRONICO, Guía de instalación Aplicaciones
¿ CÓMO ACCEDER EXITOSAMENTE AL FINANCIAMIENTO ? Por: José Miguel Guzmán Consultor y Socio de Guzmán Riesco Ltda. CLASE MAGISTRAL:

¿ CÓMO ACCEDER EXITOSAMENTE AL FINANCIAMIENTO ? Por: José Miguel Guzmán Consultor y Socio de Guzmán Riesco Ltda. CLASE MAGISTRAL:
Vanguardia en Comunicación

Vanguardia en Comunicación
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Nielsoft Informática Ltda.

Nielsoft Informática Ltda.
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
CARDNET Argentina S.A. Sistema CARDNET para COLEGIOS.

CARDNET Argentina S.A. Sistema CARDNET para COLEGIOS.
Trazabilidad De acuerdo con artículo 3 del Reglamento 178/2002, la trazabilidad es: “la posibilidad de encontrar y seguir el rastro, a través de todas.

Trazabilidad De acuerdo con artículo 3 del Reglamento 178/2002, la trazabilidad es: “la posibilidad de encontrar y seguir el rastro, a través de todas.
Auditoria Informática Unidad II

Auditoria Informática Unidad II

Presentaciones similares

Anuncios Google