Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Fase 4

    Cargado por

    POOACA
    82 vistas9 páginas
    Fase 4

    Título original

    FASE 4

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Fase 4

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    82 vistas9 páginas

    Fase 4

    Cargado por

    POOACA
    Fase 4

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 9

    Ciberseguridad

    Curso de
    Reforzamiento
    FASE 4
    ¿Qué es una política
    de seguridad?
    Una política de seguridad es un conjunto de reglas,
    normas y protocolos de actuación que se encargan de
    velar por la Seguridad de la Información de la empresa. Se
    puede considerar como una especie de guía sobre cómo
    enfrentar todos los riesgos a los que está expuesta una
    organización en el mundo actual.

    Tener conocimiento sobre la política de Seguridad de la


    Información te ayudará a visualizar su propósito para la
    organización y su importancia.

    La política de seguridad debe ser probada y respaldada por los


    niveles más altos de la organización y también debe ser leída,
    entendida y aceptada por todo el personal, para que tome
    conciencia de su rol activo dentro de lo que es la Seguridad de
    la Información de los activos informáticos de la empresa.

    Material propiedad de la Asociación de Bancos de México ABM, A.C.

    Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.


    De acuerdo con los lineamientos del estándar del sistema de

    Gestión de Seguridad de la Información ISO-27001, la organización

    debe establecer una política que (da clic en los ejemplos) :

    Sea apropiada al propósito de la organización

    Incluya los objetivos de Seguridad de la Información

    Incluya el compromiso para satisfacer los requerimientos

    de Seguridad de la Información aplicables

    Incluya el compromiso para la mejora continua de

    la Seguridad de la Información

    Adicionalmente, la política de Seguridad de

    la Información debe cumplir con lo siguiente,

    (da clic en los ejemplos) :

    Que el documento se Sea comunicada a Esté disponible para los

    encuentre disponible toda la organización terceros relacionados

    Reflexiona

    ¿Conoces la política de Seguridad de la Información de tu

    organización?

    ¿Has preguntado al personal de Seguridad de la

    Información (CISO) tus dudas sobre el tema de

    Seguridad de la Información?

    Material propiedad de la Asociación de Bancos de México ABM, A.C.

    Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.


    Sea apropiada al propósito de la Incluya el compromiso para la

    organización: mejora continua de la Seguridad

    Debe estar diseñada de acuerdo con la naturaleza de la de la Información:

    organización y su objetivo. Una Institución Financiera tiene


    La Seguridad de la Información no es un proceso estático ni
    requisitos y riesgos de Seguridad de la Información distintos a
    una meta, dado que los riesgos tecnológicos son cambiantes y
    una empresa de manufactura, por ejemplo, por lo cual sus
    evolucionan constantemente. Por ello, la política debe contar
    políticas serán distintas.
    con el compromiso de la alta dirección para mantener el

    sistema de gestión de Seguridad de la Información bajo una

    mejora constante.

    Incluya los objetivos de Seguridad

    de la Información:

    La política de Seguridad de la Información debe incluir cuáles

    son los objetivos que tiene la organización para proteger la

    Confidencialidad, Integridad y Disponibilidad de sus activos de

    información, o contener los lineamientos para definirlos.

    Incluya el compromiso para satisfacer

    los requerimientos de Seguridad de la

    Información aplicables:

    De acuerdo con el sector de negocio, socios o localidad, una

    organización puede tener distintos requerimientos con los que

    deba cumplir. Por ejemplo, una Institución Financiera en

    México tiene requerimientos de Seguridad de la Información

    por parte de la CNBC, Banxico, PCI-DSS, regulaciones locales,

    etc.
    Esté disponible para los terceros
    relacionados:
    La política de información contiene lineamientos que son
    importantes para los terceros relacionados como, por
    ejemplo, contratistas y proveedores de servicio, conozcan y
    confirmen su cumplimiento.

    Sea comunicada a toda la


    organización:
    Todo el personal de la organización debe conocer la política de
    Seguridad de la Información para poder confirmar su
    compromiso y cumplir con los lineamientos. Por ello, es
    común que las organizaciones realicen campañas periódicas
    para comunicar la política de Seguridad de la Información y
    confirmar su entendimiento.

    Que el documento se encuentre


    disponible:
    La política debe ser accesible en todo momento para ser
    consultada y reflejar la versión más reciente y aprobada de
    la política.
    Uso de Cajeros Automáticos
    (ATM’s)
    Los Cajeros Automáticos o ATM, por sus siglas en inglés, son una de las
    formas principales que utilizamos para disponer de efectivo y realizar
    operaciones bancarias sin tener que entrar en un banco.

    Por su amplio uso y fuente de efectivo tienden a ser blancos frecuentes


    de los criminales. Conocer los riesgos y defensas te ayudará a
    identificar posibles situaciones de alerta y evitar fraudes.

    Entre las principales amenazas que tienen


    los ATM se encuentran:

    Robo total del ATM por desprendimiento

    Robo hormiga de la dotación por parte de los servicios de


    suministro de efectivo

    Robo a través de rutinas de mantenimiento

    Vandalismo

    Robo de partes y componentes

    Asalto al momento de dotar

    Atentados terroristas mediante la colocación de explosivos

    Sopleteado del cajero

    Ataque con herramienta de corte (esmeril)

    Fraude al tarjetahabiente al ofrecerle ayuda

    Captura de los datos de las tarjetas (skimmers, facias falsas, etc.)

    Dispositivos para retener la tarjeta (Lebanese loop)

    Trampas en el dispensador del efectivo (tablillas)

    Material propiedad de la Asociación de Bancos de México ABM, A.C.

    Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.


    Tipo de ataques a
    Cajeros Automáticos

    Alteraciones físicas
    del cajero
    Estos ataques requieren acceso físico al
    cajero y su objetivo es la captura del PIN
    y demás datos de la tarjeta. Para lograr
    lo anterior, el atacante debe colocar
    estratégicamente cámaras y otros
    dispositivos para capturar imágenes o
    videos dentro de los cajeros automáticos
    para obtener números PIN de manera
    fraudulenta. Una vez capturados, los
    datos electrónicos se colocan en una
    tarjeta fraudulenta y el PIN capturado se
    utiliza para retirar dinero de cuentas.

    Entre los principales métodos


    encontramos los siguientes:

    Card Skimming
    Uso ilegal de un dispositivo,
    instalado de forma oculta en un
    ATM, para recolectar información de
    la banda magnética de una tarjeta
    de crédito o débito. Por ejemplo, una
    cámara usada para grabar
    información de una tarjeta.

    Pin Spying
    Uso de cámaras para grabar el PIN del
    usuario capturado en el momento cuando
    lo introduce en un ATM. Con el desarrollo
    de la tecnología inalámbrica el PIN se
    puede transmitir en tiempo real.

    Este ataque también se puede llevar a


    cabo por parte de personas que pueden
    intentar ver el PIN de un usuario o
    distraerlo; este tipo de personas trabajan
    en equipos dando vueltas en el sitio donde
    se encuentran los cajeros.

    PIN Interception
    Interceptar el PIN de una tarjeta
    CHIP & PINB, cuando el usuario
    introduce su PIN en la terminal
    punto de venta.

    La intercepción usa un dispositivo


    que se coloca entre la terminal de
    punto de venta (POS) y el lector de la
    tarjeta de crédito.

    Card Trapping
    Retención de una tarjeta en el cajero, para
    recuperarla tiempo después y obtener
    datos de esta.

    Material propiedad de la Asociación de Bancos de México ABM, A.C.

    Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.


    Dispenser false fronts
    Se coloca un dispensador de dinero falso
    que retiene el efectivo.

    ATM Overlays
    Uso de partes que se colocan
    (superponer/overlay) en diferentes
    lugares del cajero automático, con el
    objetivo de ocultar cámaras de espionaje
    o dispositivos skimming.

    ATM falsas
    Uso de fascias que se colocan sobre cajeros
    automáticos genuinos. Después de ingresar
    su PIN, los titulares de tarjetas ven un
    mensaje "fuera de servicio”. El PIN se
    captura a través de un teclado incorporado
    que se superpone al teclado real.

    Partial Withdrawal
    (retiro parcial)
    El cajero solo entrega parte de la
    cantidad a retirar.

    Ram Raids
    El cajero automático es atacado y
    arrancado (Ram Raid) o la caja fuerte es
    atacada in situ (robo). Los ataques pueden
    llevarse a cabo mediante la fuerza bruta, o
    mediante el uso de explosivos o gas.

    Robberies
    Ataque dirigido a una persona que está
    haciendo uso de un cajero automático.

    Material propiedad de la Asociación de Bancos de México ABM, A.C.

    Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

    También podría gustarte