El Negocio y La Materialización del

Riesgo

PCI-DSS

Pregliasco, Jonatan Gabriel Gerente Regional de Auditoría, Insside Información Inteligente

Presentada por:

© Todos los derechos reservados. No está permitida la reproducción parcial o total

del material de esta sesión, ni su tratamiento informático, ni la transmisión de

ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por

fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de

los titulares de los derechos. Si bien este Congreso ha sido concebido para

difusión y promoción en el ámbito de la profesión a nivel internacional,

previamente deberá solicitarse una autorización por escrito y mediar la debida

aprobación para su uso.

ACLARACIÓN

AGENDA

[Vulnerabilidad x Amenaza]^Negocio = Riesgo

PCI y el factor “viejo conocido”

La cadena de valor, y la de controles?

Objetividad y Mejora Continua

01

02

03

04

05

La Materialización del Riesgo

[Vulnerabilidad x Amenaza]^Negocio = Riesgo

Un riesgo puede ser definido como la

probabilidad e intensidad (Amenaza) de que una

vulnerabilidad sea explotada generando un

prejuicio al activo.

SIN UN NEGOCIO INVOLUCRADO

Negocio involucrado = Producto/Servicio de

Valor a Clientes & Sinergia, aseguramiento y

bienestar interno.

CON UN NEGOCIO INVOLUCRADO

PCI Y EL FACTOR “VIEJO CONOCIDO”

Una certificación debe ser un desafío para las

organizaciones, un desafío a hacer mejores en

nuestros procesos.

¿COMODIDAD O CONFIANZA?

Aliado Cómplice

COMODIDAD CONFIANZA VIEJO CONOCIDO (aka Certificador)

AUDITOR NEGOCIO

AUDITOR

ALIADO ENEMIGO

LA MATERIALIZACIÓN DEL RIESGO

Fraudes bancarios mediante transferencias no autorizadas

Filtración de TC/TD Chilenas desde el Exterior

Incidentes de clonación de TC / TD

Incidentes con proveedores de servicios en entidades

Incidentes con Ransomware en entornos controlados

Filtración de TC/TD desde entidades bancarias

Chile – 2018 / 2019

US$ 10.000.000 Es la suma que llego a costar un incidente de seguridad en el mercado local.

250.000 Son al menos la cantidad de tarjetas que se vieron involucradas en incidentes de seguridad entre 2018 y 2019 en Chile.

3500 Son al menos las tarjetas que sufrieron incidentes relacionados a la clonación masiva en lo que va de 2019 en Chile.

23.000.000 Son la cantidad de tarjetas robadas y a la venta en el mercado negro o “darkweb“ en la 1° mitad del 2019.

LA CADENA DE VALOR, Y DE CONTROLES?

Margen

Infraestructura de la organización

Recursos humanos

Desarrollo de tecnología

Compras Activ

idad

es d

e So

port

e

Logística Interna Operación Logística

Externa Marketing Servicio

Actividades Primarias

Controles PCI

SEGURIDAD MFA – Req 8 RBAC – Req 7

SOC Auditoría de eventos – Req 10 Monitoreo de SIEM – Req 10

FIM – Req 10

RRHH Evaluación de

antecedentes – Req 12

CIBERSEGURIDAD Segmentación Test – Req 11

Ecosistema de Controles

Acciones fraudulentas

SEGURIDAD Y PROCESOS

Change Mgnt – Req 1 y 6 Monitoreo de proveedores –

Req 12 Revisión periódica de

controles – Req 12

SOC Aud. Eventos– Req 10

SIEM– Req 10 FIM – Req 10

CIBERSEGURIDAD Segmentación Test– Req 11 Revisión de reglas – Req 11 Penetration Test – Req 11

Ecosistema de Controles

Firewall o Routers manipulados

OPORTUNIDAD Y MEJORA CONTINUA

Visión Independiente. Conocimiento técnico. Valores Éticos. Realista.

OBJETIVIDAD MEJORA CONTINUA CRECIMIENTO

Mejora en identificación de alcance y entorno. Mejora en procesos de control y monitoreo. Madurez en la gestión de plataformas e información. Mejora en gestión de proveedores externos.

Certificación con valor para el Negocio. Reducción de la probabilidad de explotación de vulnerabilidades . Retorno económico por servicios confiables demostrados. Eficiencia en procesos de auditoria PCI y Cross (ISO, RAN 20-7/8/9, 4609,etc.)

GRACIAS por asistir a esta sesión!!

Preguntas y Respuestas…

Pregliasco, Jonatan Gabriel jpregliasco@insside.net

Para mayor información contactarse con:

Para descargar esta presentación

visite: www.segurinfo.org