- Agosto 23 de 2007 Expositores:

Slides:



Advertisements
Presentaciones similares
Pagos electrónicos Definición. ¿Cómo funciona?. Modalidades de compra.
Advertisements

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
V Congreso Estratégico de Tecnología y Mercadeo Financiero
ÍNDICE Mission Statement Breve historia Posicionamiento
Intranets P. Reyes / Octubre 2004.
Juan Antonio Pérez-Campanero Atanasio
Segmento GRC. Segmento GRC IT Governance Segmento E-Governance Otros Segmentos Segmento CRM Segmento E-Governance.
Delitos Informáticos.
Confidencial Enero, 2013 Nologin Consulting Corus Server Appliance & Authentication Broker.
Mecanismo de Seguridad “Identificación Positiva“
INFRAESTRUCTURA DE CLAVE PÚBLICA
LIBRO DE CLASES ELECTRONICO, Guía de instalación Aplicaciones
¿ CÓMO ACCEDER EXITOSAMENTE AL FINANCIAMIENTO ? Por: José Miguel Guzmán Consultor y Socio de Guzmán Riesco Ltda. CLASE MAGISTRAL:
Vanguardia en Comunicación
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Nielsoft Informática Ltda.
Ing. Horacio Carlos Sagredo Tejerina
CARDNET Argentina S.A. Sistema CARDNET para COLEGIOS.
Trazabilidad De acuerdo con artículo 3 del Reglamento 178/2002, la trazabilidad es: “la posibilidad de encontrar y seguir el rastro, a través de todas.
Auditoria Informática Unidad II
Software de Gestión Documental Document Management Software
TEMA: SISCONT-GOLD INTEGRANTES: SOFIA GALIZA SANCHEZ
Administración de Certificados Digitales
Firma y Certificado Digital Angel Lanza Carlos Garcia.
Lexmark Print Management
Nomiplus T&A . NET Sistema Integral de Control de Asistencias altamente configurable para el Control de Personal, permitiendo la Administración del.
Seguridad del protocolo HTTP
¡Bienvenidos! “El uso de Internet y la informática en las Pymes: Claves para optimizar el uso de la tecnología en tiempos de crisis” Paseo “La Plaza”
Ing. Héctor Abraham Hernández Erazo
Eduardo Sáez Maldonado
¿Quienes Somos? Scorpion Computer Services es una compañía diversificada en el área de la informática, nuestros servicios están orientados a la automatización.
Lic. Ma. Isabel Reyes Sánchez
ANTEPROYECTO C ONTACT C ENTER EL MEJOR CENTRO DE CONTACTO PARA SUS CLIENTES EMPRENDEDORES Zully del Carmen Bustillo Pérez Mónica Sánchez Maníos Lina Maria.
 Orientada a atender las necesidades financieras de nuestros clientes.  Factoring.  Leasing.  Análisis de riesgo Pre y Post Venta de sus clientes.
¿Quiénes somos? SyTP, esta conformada por un grupo de profesionales con amplia experiencia en el sector de las nuevas.
Respaldando la información
EL COMERCIO ELECTRÓNICO EN LOS NEGOCIOS
LEIDY VANESSA RAMIREZ. Con la abrumadora cantidad de información que reciben los clientes en la actualidad, es indispensable seguir buscando formas nuevas.
Preguntas Básicas LAURA MILENA ECHEVERRI MAURICIO GALLEGO YEISON S.RAMIREZ S. WILMER J.GUTIERREZ A.
MICROSOFT ISA SERVER PRESENTADO A: FABIO LASSO
ECUAPASS.
Control de Acceso Biométrico
MESTE & Humano2 Socios de Negocios
Seguridad en el E-commerce
SEGURIDAD INFORMATICA
R E S E R V A C I O N E S. S oluciones para V enta de A limentos es una aplicación diseñada para operar en diferentes Tipos de Restaurantes, lo que permite.
A LA MEDIDA DE LOS REQUERIMIENTOS Y NECESIDADES DE SU EMPRESA. Soluciones integrales.
La Asociación Mexicana de Estándares para el Comercio Electrónico, AMECE, es un organismo de la iniciativa privada sin fines de lucro que tiene el objetivo.
Foro Nacional de Certificación y Firma Electrónica Lic. Zorelly González Certificación Electrónica y la FII Fundación Instituto de Ingeniería.
Cuentas de usuarios y grupos en windows 2008 server
Retos de la brecha digital en América Latina y las respuestas de las Administraciones Tributarias y del Gobierno Digital IMPORTANCIA DE LA IDENTIFICACIÓN.
Tema 2 – Implantación de mecanismos de seguridad activa
COLEGIO DE BACHILLERES PLANTEL 13 XOCHIMILCO-TEPEPAN MATERIA:TIC EQUIPO:21 PRESENTACION: BASE DE DATOS ALUMNAS: Adán Millán Sánchez.
Seguridad Web Jaramillo Jorge Suarez Arnold. INTRODUCCIÓN Hasta el momento, se ha presentado un Web que ofrece un acceso abierto a un conjunto de información.
DISEÑO CURRICULAR Presentado por: Cesar Augusto Sáenz María Alejandra Hernández 1.contenidos curriculares de competencia.
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
FIRMA DIGITAL Eduardo Chiara Galván.
Daniela Ovando Santander Auditoria de Sistemas
INEI “IMPLANTACION DE UN SISTEMA DE CORREO ELECTRONICO SEGURO, EMPLEANDO CERTIFICADOS Y FIRMAS DIGITALES, PARA LAS INSTITUCIONES DEL ESTADO PERUANO”
Prestar servicios de consultoría en medios de pago, comercializar licencias de software y distribuir hardware, todo esto encaminado a proporcionar a los.
Colegio de Bachilleres Plantel 13 Xochimilco - Tepepan
SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS. Técnicas de Cifrado: El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo.
DESARROLLO DE SOFTWARE Cuando se va desarrollar un software intervienen muchas personas como lo es el cliente quien es el que tiene el problema en su.
SOLUCIONES EMPRESARIALES
ING. JOSE M ESTARITA LEMOS. CRITERIOS DE EVALUACION  Saber realizar las diferentes configuraciones básicas, después de la instalación del servidor, cumpliendo.
WINDOWS SERVER 2008 r2 ADMINISTRACION DE RECURSOS: Con el Administrador de recursos del sistema de Windows del sistema operativo Windows Server® 2008 R2,
Programa Sobre Procesos de Negocios SCM y Logística. Integración de procesos que permite a empresas en crecimiento implementar las mejores prácticas en.
ESTUDIO DE FACTIBILIDAD
Sistemas de Seguridad Biométricos
Transcripción de la presentación:

La autenticación robusta en el Discount Bank – el inicio de una realidad en América Latina? CL@B2007 - Agosto 23 de 2007 Expositores: Sr. José Pedro Ferrer - Gerente de IT de Discount Bank Latin America Ing. Leonardo Berro - CISSP - Director de Security Advisor

Implementacion Doble Autenticación Discount Bank L.A. MultiDiscount.NET Implementacion Doble Autenticación

Nuestra Misión Desarrollar con cada uno de nuestros clientes una relación a largo plazo, brindándoles los múltiples productos y servicios financieros que necesiten en las distintas etapas de su vida. Para ello, nos basaremos en nuestra gente, a la que apoyaremos en su desarrollo profesional y personal, en un ambiente de trabajo en equipo que reconoce el valor de cada una de las personas involucradas. Nuestra adhesión a la misión nos permitirá maximizar el valor para nuestros accionistas, clientes y la sociedad en su conjunto, lo que permitirá el contínuo desarrollo del Discount Bank LA.

Nuestra Visión Ser reconocido como el banco que mejor satisface las necesidades de sus clientes, por la calidad de sus servicios, su atención profesional y personalizada, por su capacidad de innovación y aprovechamiento del rápido desarrollo tecnológico.

Breve Historia 1958 Fundado como una sucursal del Discount Bank (Overseas) Limited. 1977 Pasa a ser subsidiario de IDB New York y cambia el nombre a Discount Bank (Latin America) – “DBLA” 2006 “AA” establecido por S&P (Apr/06) As a result of the overall management and perception of the Bank within Uruguay, the Bank slowly recaptured all lost deposits and now are more than US$ 410 million surpassing the previous high prior the crisis in December 31, 2001. As a result, most of the deposits are now from local instead of from non-residents. The ratio has inverted.

Conformación 232 Empleados 12 sucursales estratégicamente ubicadas en Montevideo y Maldonado Al servicio de más de 40.000 clientes Accounts statistics : 17% (0 – 34 Yrs. old) 53% (35 – 54 Yrs. old) 30% (55+ Yrs. old)

Conformación Personal Banking (Residentes & No Residentes) Características: Segmento Medio - Alto (Colectividad Judía, Profesionales, Jóvenes, Empresarios, etc.) Corporate Banking (Residentes & No Residentes) Características: Pequeñas y Medianas Empresas (Importaciones & Exportaciones, Empresas: Comerciales, Industriales y de Servicios) Servicios a empresas Argentinas, Brasileras y Chilenas principalmente. Private Banking (Residentes & No Residentes) Se ofrecen instrumentos de inversión, brindando asesoramiento integral al cliente.

MultiDiscount.NET 1er. Servicio de Windows Home Banking de Uruguay (1997) 26% de la cartera de Clientes activos en el servicio. El 5% de esta cartera accede por día a su información por este medio. +2000 Accesos Diarios de Clientes mas de 60.000 Transacciones Mensuales Sistema MultiCuenta ( 1 Usuario – N Cuentas habilitadas ) Multi-Idioma Administración de Sub-Usuarios y Permisos

Seguridad Pre Autenticación Robusta Seguridad basada en Niveles de Usuarios Administración de Permisos por parte del Banco Falta de seguridad de algunos Clientes para operativas que afectan movimientos de fondos

Ayer en Home Banking Doble autenticación Capa de Windows Gran cantidad de usuarios en Active Directory Imposibilidad de que el usuario cambiara su clave Capa de la Aplicación Mantenimiento de usuarios en Bases de Datos Encripción de claves en Base de datos

Ayer en Home Banking Problemas Doble juego de Usuario/password Usuario memorizaba password en cache Problemas al borrar el cache Almacenamiento de usuario y passwords en PC públicos Alto costo de administración de usuarios Olvido de password Generación de nuevas claves Verificación de usuario válido ante bloqueos por errores Gran cantidad de llamadas al Call Center

Solución con Autenticación Robusta (TOKEN) Flexibilidad para el Cliente Auto-Administración por parte del Cliente de sus permisos y perfiles de usuarios dependientes Mecanismos de Seguridad adicional no tradicional (basado en conocimiento de una clave conocida) Sin acceso al Token no se puede confirmar una operativa

MultiDiscount con TOKEN La implementación de la tecnología Token requirió los siguientes puntos: En el BackEnd La Integración de los Tokens en la Administración de Usuarios del Sistema En el FrontEnd Integración del mecanismo de autenticación mediante Token en las operativas seleccionadas

Perfil de Usuarios Nivel Limitado Consultas, Solicitud de Chequeras y Compra Venta de Moneda Nivel Básico Nivel Limitado más Traspasos de fondos entre cuentas del usuario, Traspasos a terceros dentro del Discount Bank Nivel Básico c/Transferencias Nivel Básico más Transferencias a Bancos de Uruguay o del Exterior limitado por un tope máximo diario Nivel Avanzado Consultas, Solicitud de Chequeras, Compra Venta de Moneda, Traspasos de fondos entre cuentas del usuario, Traspasos a terceros dentro del Discount Bank, Transferencias sin límite

NOMBRE DE USUARIO + CUENTA HABILITADA + NRO. DE SERIE DEL TOKEN MultiDiscount BackEnd Se integró al sistema de administración de usuarios, la gestión del stock de Tokens del Banco. Con ello se permite al momento de afiliar un cliente o cambiar su perfil, preguntarle con qué cuentas de su grupo desea operar con el Token. Se almacena una tupla que identifica para cada cuenta del cliente: NOMBRE DE USUARIO + CUENTA HABILITADA + NRO. DE SERIE DEL TOKEN Seguidamente se corre un proceso de inicialización de Token que lo deja operativo.

Hoy en Home Banking Autenticación con Usuario y password sólo para consultas básicas (igual a otros servicios) Requerimiento de Token sólo para transacciones críticas (manejo de fondos) Ventajas Claves dinámicas, únicas e irrepetibles Mínimo período de validez del código generado Fácil de usar (solo oprimir un botón) No es necesario recordar códigos ni claves Fácil y rápida implementación e integración a aplicaciones ya existentes Permite autenticar desde la propia aplicación mediante el llamado de rutinas encapsuladas Integrable a distintas plataformas Elimina posibilidades de PHISHING

Pantalla de bienvenida a MultiDiscount Pantalla de bienvenida a MultiDiscount.NET una vez autenticado el cliente

Ejemplo de Operativa de Transferencias al Exterior mediante uso de TOKEN

MultiDiscount.NET FrontEnd Cuando un cliente accede a una operativa definida por el banco, para que requiera autenticación adicional mediante Token, se le presenta una pantalla similar a la siguiente :

MultiDiscount.NET En caso de no ingresar un código válido, se puede reintentar hasta un máximo de 3 veces. Seguidamente luego del 3er. reintento , se bloquea administrativamente el usuario, el cual debe contactar al Banco para su reactivación.

Problemas Lectura 342601 Lectura 1092hE Posición correcta Posición errónea

Transacciones via Fax La operativa Los clientes envían faxes, los mismos son digitalizados automáticamente y de la misma forma ingresan a un Workflow. El problema Los niveles de autenticación e integridad, se degradan, como consecuencia de los cambios tecnológicos La Solución El Token es la solución, que permitirá autenticar al usuario y garantizará la integridad del contenido del documento enviado.

La Operativa: El problema El cliente envía por fax, una carta orden. A la misma le agrega una clave que autentique el origen del mismo. CLIENTE El problema El nivel de autenticación es muy bajo, ya que es una clave creada a partir de una tabla fija y tampoco garantiza que el contenido no fue modificado. Ingreso WorkFlow VERIFICA OFFICER

Token con Firma Electrónica Autenticación robusta. Teclado reducido. Fácil de utilizar. Generador de Firma Electrónica a partir de múltiples campos. El dispositivo consta de un teclado numérico, en el cual se pueden ingresar como parámetro del hash, los campos involucrados en la transacción, que pueden ser por ejemplo: número de cuenta que se debita, número de cuenta a ser acreditada, importe de la operación, fecha o fecha valor y un número fijo o PIN.

¿ Consultas ?

Presentación de Security Advisor Creada en el año 2000: foco exclusivo en Seguridad Informática. Unico Partner Certificado de VASCO en Uruguay. Base instalada: Uruguay, Argentina, Chile, Paraguay y México. Clientes en Uruguay: 80% de los Bancos de plaza. Las más importantes entidades financieras. Multinacionales en Zonamerica (parque tecnológico líder en Sudamérica) Empresas exportadoras y de servicios. Sector Estatal. Presentación de Security Advisor

Areas de Especialización y Productos representados Antivirus, antispam, antispyware, antiphishing Control de contenidos (Web, Mail) Sistemas de firma digital y encriptación Análisis de Vulnerabilidades Sistemas de Detección y Prevención de intrusos (IDS, IPS) Firewalls, VPN, QOS Dispositivos para autenticación robusta (Tokens USB, OTP) Diseño e implementación de políticas de seguridad según ISO 27001 Presentación de Security Advisor

Temas a tratar: Definiciones Problemática actual Ataques frecuentes Autenticación robusta Definición Factores Tecnologías: OTP Event Based Implementación en Discount Bank Conclusiones Finales Presentación de Security Advisor

Definiciones Autenticación Autorización El acceso a los sistemas(aplicaciones) involucra 3 instancias: Identificación Autenticación Autorización Identificación: digo quien soy (Ej: logon id) Autenticación: pruebo quien soy para un sistema dado (ej: password) Autorización: se dan los permisos al usuario Presentación de Security Advisor

Problemática Actual Método tradicional de autenticación: usuario y password Debilidades de usuario y password: Presentación de Security Advisor El usuario las elije sencillas El usuario las anota en papel (30% las escribe y guarda bajo el teclado) El usuario elije la misma para TODOS los sistemas

Problemática Actual “Los Passwords siguen siendo fundamentalmente una debilidad en seguridad, a pesar de la fortaleza en las políticas del password.” Presentación de Security Advisor Source: Gartner, “Assess Authentication Methods for Strong System Security”, August 2004

Problemática Actual Dos recomendaciones para reducir el problema de los passwords: Autenticación Robusta: “Use passwords o PINs en conjunto con otro método de autenticación, tal como hardware Tokens.” Administración de Passwords: “Implemente sistemas de administración de passwords para mitigar vulnerabilidades tanto técnicas como de procedimiento.” Presentación de Security Advisor Source: Gartner, “Assess Authentication Methods for Strong System Security”, August 2004

Ataques Frecuentes Robo de passwords Presentación de Security Advisor Ataques de phishing: pronunciado "fishing" es el acto de enviar e-mail a usuarios, falsamente indicando que pertenece a una empresa legítimamente establecida, en un intento de que el usuario envíe información privada que será utilizada para el robo de su identidad.

Ataques Frecuentes AUTENTICACIÓN ROBUSTA Preguntas: ¿ Qué hacer para mitigar los efectos del robo de passwords ? ¿ Qué hacer para mitigar los efectos del phising? Respuesta: AUTENTICACIÓN ROBUSTA Presentación de Security Advisor

Un sistema utiliza AUTENTICACIÓN ROBUSTA cuando: Autenticación Robusta - Definición Un sistema utiliza AUTENTICACIÓN ROBUSTA cuando: Mejora el mecanismo tradicional de usuario y password estática por uno más seguro y/o utiliza más de 1 factor de autenticación Presentación de Security Advisor

Autenticación Robusta – Factores Tipo 1 - Algo que sé: Password, PIN, información personal Tipo 2 - Algo que tengo: Token (OTP, Certificados Digitales), SmartCards Tipo 3 - Algo que soy: Huella Dactilar, Patrón del Iris, Scan de Retina, Geometría de la mano Tipo 4 - Algo que sé hacer: Firma manuscrita, patrones de tipeo Tipo 5 - Dónde estoy: Ubicación específica (GPS), terminal de acceso Presentación de Security Advisor

+ 125 + 125 + Autenticación Robusta – Factores Password: 1 factor Tarjeta de cajero: 2 factores Token + Pin: 2 factores Token + PIN + Huella dactilar: 3 factores + 125 Presentación de Security Advisor + 125 +

Autenticación Robusta – Tecnologías Token: pieza de software o hardware entregada al usuario para probar su identidad. SmartCards: Almacenamiento de certificado digital Requieren lectores de tarjeta Alto costo de implementación Tokens OTP (One Time Password): Generan una password dinámica No requieren lector El usuario debe digitar lo que ve en el display del Token OTP Tokens USB: Se conectan al puerto USB Almacenan certificado digital o password NO requiere lector (puerto USB estándar Presentación de Security Advisor

Autenticación Robusta – Tecnologías Presentación de Security Advisor SmartCards, Tokens OTP, Tokens USB se integran a: Aplicaciones propietarias: vía SDK Aplicaciones comerciales: vía Radius, LDAP, etc. Ejemplos de integración a aplicaciones comerciales: OWA, Windows Logon, Terminal Services, Acceso Remoto VPN (Cisco, Check Point), Citrix).

Autenticación Robusta – Tecnologías Características a considerar para seleccionar un token: Nivel de seguridad ofrecido: 1 en 1 millón (ANSI X9.9) Compatibilidad: ¿ qué aplicaciones puede proteger ? Facilidad de uso: ¿ necesito conectarlo, necesito lector, instalar drivers ? Costos de administración: help desk, resincronización, entrega y recambio de tokens Presentación de Security Advisor

Autenticación Robusta – Tecnologías Presentación de Security Advisor ¿ Cómo funcionan los Tokens OTP ? Input + Algoritmo de encriptación = OTP Resultado NO PREDECIBLE Secret key del algoritmo asociada a cada token: distintas secret key generan distintos OTP

Autenticación Robusta – Tecnologías Hasta ahora: El Token OTP posee “algoritmo de encriptación” y “secret key” Dado el input, se genera el OTP ¿ Y el Servidor cómo sabe si el OTP ingresado es correcto ? Presentación de Security Advisor Respuesta: el servidor tiene copia de los “secret key” de cada Token OTP Bill Secret key Bill = A43vY Secret key Bob = tRdv4 Bob

Autenticación Robusta – Tecnologías Según cómo se genera el input, 2 tecnologías de OTP: Time based: el input es el instante de tiempo Event based: el input es un contador que se incrementa en 1 cada vez que presiono un botón Presentación de Security Advisor

En un instante de tiempo, acepto Tecnología Time Based Requiere un clock en el Token y en el Server Input = Tiempo actual Si Hora del reloj del server NOT EQ Hora del reloj del Token  Usuario NO puede ingresar (Out of Sinc) Solución: Ventanas de Tiempo Presentación de Security Advisor En un instante de tiempo, acepto OTPs de una ventana de tiempo

Tecnología Time Based Cuanto más grande la ventana ... más passwords son posibles... aumento la probabilidad de acierto de un atacante Balance entre “Tamaño de ventana” y “cantidad de out of sinc” Presentación de Security Advisor Nivel de seguridad Tamaño de ventana Cantidad de out of sinc

Implementación en Discount Bank Presentación de Security Advisor

Conclusiones finales Autenticación robusta permite eliminar el eslabón más débil de la cadena: la autenticación Tokens One Time Passwords (OTP): fáciles de usar y “plugless” Cómo seleccionar la tecnología ? Evaluar los costos de implementación y mantenimiento de la solución Tokens Time-based o Event-based ? Seleccionar productos probados y con experiencia en el mercado financiero (transparencia para el usuario) Presentación de Security Advisor

¡ Gracias !

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.