Seguridad y eficiencia en la prestaci贸n de servicios financieros Marzo 2007
Antecedentes • Análisis objetivo de las necesidades de protección y fuentes de peligro
• Circular 048 de 2006 de la SFC: Sistema de Adm. de Riesgos Operativos
• Necesidad de legislación que proteja a los usuarios de los delitos informáticos
• Proyecto de circular sobre reglas mínimas de seguridad en canales transaccionales
Proyecto de Ley Estatutaria
Acciones de la SFC
Quejas Reclamaciones ante la SFC
ACH, , 0%
D ÉB I TO A U T OM ÁT I C O, 5 , 0 %
A U D I OR ES P U ES TA , 3 6 , 1% P OS o D A T ÀF ON OS , 719 2,737 15 7 , 5 %
2,007
I N TER N ET, 4 5 7 , 14 %
2,006
2,005
-
OF I C I N A S , 3 1, 1%
3,456 De las cuales…
3,161
1,804
2,000
19,812
16,651
18,159
16,355
4,000
6,000
8,000
10,000
MEDIOS ELECTRÓNICOS
12,000
14,000
18,000
20,000
OTROS MOTIVOS
R e c la m o s po r o pe ra c io ne s c t ró nic aSFC s : - Sistema Fed (Flujo electrónico documental). •e le Fuente: 2 0para 0 6 2007 corresponde al acumulado de los meses de enero y febrero. • a Elño dato • Falla en op. electrónicas incluye:
16,000
C A J ER OS A U T OM ÁT I C OS , 2,475, 79%
compras a través de datáfono, débito a cuenta sin autorización de titular, falla en red de oficina, reclamo por audiorespuesta, reclamo por internet y retiro en cajero
Transaccionalidad 10 0 111 10 3
A U D I OR ES P U ES T A
14 9 12 9
P OS o
112
D A T ÀF ON OS
306 19 4 179
I N T ER N ET
488 4 55
C A J ER OS
426
A U T OM ÁT I C OS
53 6 50 4 OF I C I N A S
394
0
10 0
200
300 2004
Fuente:
SFC
400 2005
2006
500
600
Sistema de Admin. de Riesgos Operativos (SARO) • Recurso humano • Procesos • Tecnología • Infraestructura • Externos
Factores
• • • • •
Fraude interno Fraude externo Relaciones laborales Clientes Daños de activos físicos • Fallas tecnológicas • Ejecución y Admon. de procesos
Eventos
Etapas del SARO •
Alistamiento y preparación.
•
Identificación.
•
Medición.
•
Control.
•
Monitoreo.
Proyecto de norma: Requisitos mínimos de seguridad • Confidencialidad • Integridad
• Efectividad • Eficiencia • Confiabilidad
• Disponibilidad
Seguridad
Calidad
Proyecto de norma: Requisitos mínimos de seguridad
Oficinas Oficinas
Cajeros Cajeros automáticos automáticos
Call Call Center Center
Internet Internet
Datáfonos Datáfonos Audiorespuesta
Sistema Sistema de de Acceso Acceso Remoto Remoto
Dispositivos móviles
Proyecto de norma: Requisitos mínimos de seguridad Internos • Cifrar información de clientes que sea objeto de intercambio • Establecer mecanismos que restrinjan el acceso a información de clientes • Establecer medidas de seguridad para los outsourcing y call center • Mantener ambientes independientes • Diseñar procedimientos con controles
Proyecto de norma: Requisitos mínimos de seguridad Servicio al cliente • Fortalecer la autenticación de clientes • Permitir que los clientes personalicen las condiciones de las operaciones • Elaborar perfil de transaccionalidad para cada cliente • Informar transacciones a través de sistemas de mensajería • Informar y advertir a los clientes sobre los riesgos a los cuales están expuestos
Proyecto de norma: Requisitos mínimos de seguridad Oficinas y Cajeros automáticos • Efectuar videograbación • Adaptar sensores en cajeros automáticos que detecten instalación de dispositivos • Emitir tarjetas personalizadas
Proyecto de norma: Requisitos mínimos de seguridad para Internet • Efectuar pruebas de vulnerabilidad • Adoptar mecanismos que reduzcan la posibilidad de capturar información • Ofrecer la posibilidad de seleccionar direcciones IP • Exigir la utilización de una contraseña diferente a la definida para otros canales
Conclusiones • Medidas encaminadas a: – Proteger al consumidor financiero – Incrementar la confianza en el sector financiero
• ¡ La seguridad es asunto de todos !
ยก Gracias !