Seguridad de la Información
CONCIENTIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN PARA CLIENTES BANCO BNP PARIBAS
1. INTRODUCCIÓN
De acuerdo con las políticas del Banco BNP Paribas sobre seguridad en Internet, el portal BNP Paribas mantiene los más altos estándares de seguridad para evitar acciones fraudulentas y la exposición de datos confidenciales.
A pesar de estas medidas, el riesgo relacionado con las operaciones en línea no puede ser completamente eliminado. Este documento propone una serie de recomendaciones para aumentar la concientización del cliente y la protección de sus actividades en línea. Se recomienda que esta página se revise periódicamente para mantener la ciencia de las amenazas cibernéticas y las prácticas de seguridad adoptadas por el Banco.
2. RIESGOS EN OPERACIONES BANCARIAS EN INTERNET
2.1. Malware
Malware, abreviatura para malicious software, es un software usado o programado por atacantes para interrumpir el funcionamiento del ordenador, recopilar información confidencial o acceder a sistemas de información. Malware es un término general usado para referirse a una variedad de formas de software hostil o intrusivo, incluyendo virus informáticos, worms, Trojan horses, key loggers, spyware y otros programas maliciosos.
Los defraudadores suelen usar técnicas de Phishing o Ingeniería Social para instalar malwares en su computadora.
2.2. Ingeniería Social
La ingeniería social es un término que describe un tipo de intrusión que depende fuertemente de la interacción humana, que tiene como objetivo convencer y engañar a otras personas para burlar controles de seguridad.
El estafador intenta – al presentarse como una contraparte confiable – juntar información suficiente para infiltrar la infraestructura de una organización.
Información importante: BNP Paribas NUNCA solicitará sus credenciales de acceso a su cuenta.
2.3. Phishing
El phishing es una técnica fraudulenta de obtención de información privada. Ordinariamente, el estafador envía un correo electrónico que parece legítimo solicitando “verificación” de información, seguido de un aviso sobre alguna consecuencia grave si la información no se proporciona. El correo electrónico generalmente contiene un enlace a una página web – fraudulenta, idéntica a la original, con logos y contenido de la empresa – solicitando datos personales, que se utilizan para cometer el robo de identidad y / o las acciones fraudulentas.
Información importante: Se recomienda que los clientes tengan cuidado y aseguren que los sitios web enviados por e-mails sean legítimos antes de proporcionar información confidencial. Los defraudadores a menudo atraen a los clientes a usar sus credenciales (por ejemplo: identificación de inicio de sesión, contraseña y números generados desde dispositivos de seguridad o en Token) en páginas web falsas. En caso de duda, si es posible, entre en contacto con el remitente del correo electrónico y confirme que realmente envió el mensaje.
3. PRÁCTICAS DE SEGURIDAD DEL BNP PARIBAS
BNP Paribas se ha comprometido a proteger sus recursos de información corporativa, datos en general e información del cliente. Esta declaración resume el enfoque de la empresa para la seguridad de la información. Proporciona una visión general de las medidas adoptadas por la empresa para mantener seguro la información del cliente y garantizar la confidencialidad, integridad y disponibilidad de datos. Las características de estas medidas pueden variar dependiendo de los servicios prestados.
BNP Paribas se esfuerza para manejar datos de forma segura a través de un enfoque de defensa en profundidad con el objetivo de proteger los activos de información del banco y de sus clientes contra la recolección, retención, uso, divulgación, modificación o destrucción no autorizada. Esto se aborda a través de políticas, procedimientos, directrices, arquitectura de seguridad y la adopción de controles técnicos apropiados. La política y los controles de seguridad de la información del banco se evalúan continuamente para garantizar la relevancia y la alineación con los estándares / requisitos de mercado. Las políticas y los procedimientos de la empresa proporcionan cobertura de áreas críticas de seguridad de la información, incluyendo:
3.1. Controles de accesos
El acceso se concede con un mínimo de privilegio y necesidad de saber. Todo el acceso se concede en base a perfiles de usuarios y con la aprobación previa adecuada en la plataforma de Gestión de Accesos. El uso de medios extraíbles está controlado y prohibido de forma predeterminada.
3.2. Seguridad de aplicaciones
Antes de la implementación, las aplicaciones están sujetas a un proceso de certificación de seguridad para confirmar que se han desarrollado de acuerdo con nuestra política de seguridad de información y estándares seguros de desarrollo de aplicaciones. Auditorías regulares y pruebas de intrusión validan la fuerza de aplicaciones sensibles.
3.3. Control de Cambio
Las implementaciones de cambios se controlan mediante el uso de procedimientos formales de control de cambios. Los cambios exigen la aprobación del área de Gestión de cambios de la implementación en el entorno de producción.
3.4. Disponibilidad de datos
Las copias de seguridad de sistemas y datos se guardan de forma segura para la restauración en caso de necesidad. Los sistemas de recuperación de desastres están implantados para garantizar la resiliencia de los sistemas y datos en caso de indisponibilidad imprevista del entorno de producción.
3.5. Confidencialidad de datos
Los protocolos seguros de red se utilizan para tráfico sensible y se complementan con soluciones técnicas para detectar o bloquear la extracción de datos. El cifrado es empleado para transmisiones de datos en redes públicas y en dispositivos de medios portátiles.
3.6. Recuperación de desastres
El banco busca proteger a personas, instalaciones, infraestructura, procesos de negocio, aplicaciones y datos durante y después de eventos catastróficos. La respuesta y la recuperación de sistemas de aplicaciones y procesos de negocio críticos se han planificado y probado cuidadosamente. La metodología de recuperación de desastres de la empresa incorpora los siguientes elementos:
- Análisis de impacto empresarial.
- Planes de recuperación de desastres de misión crítica.
- Pruebas regulares de planes de recuperación de desastres para comprobar la disponibilidad operatoria.
3.7. Gobernación
Los equipos de seguridad alrededor del mundo se dedican a cooperar regional y globalmente en el Grupo BNP Paribas. Los equipos están estructurados en polos especializados, garantizando una cobertura permanente de aplicaciones, sistemas y seguridad de datos, así como respuesta apropiada a los incidentes de seguridad. Un Gerente de Seguridad de la Información (CISO) local supervisa y mantiene la estructura de políticas de seguridad y procura garantizar que la estrategia de seguridad sea apropiada para cubrir los riesgos de seguridad de manera apropiada en lo que se refiere a cuestiones operativas y regulatorias.
3.8. Recursos humanos
Un programa de concientización de seguridad garantiza que los empleados conozcan los riesgos y puedan actuar adecuadamente. Las políticas de seguridad garantizan los deberes y responsabilidades de los empleados en relación con la protección de datos.
3.9. Respuesta a incidentes
Un equipo regional de respuesta a incidentes administra, controla y remedia incidentes relacionados con la seguridad de la información y monitorea la eficacia de los controles. Las consolas de seguridad del Banco se enriquecen a través de una inteligencia de amenazas controlada y externamente relevante para el escenario siempre cambiante de las amenazas.
En caso de intrusión, el equipo de respuesta a incidentes prontamente tomará medidas para mantener la información segura y mitigar el impacto. Las notificaciones oportunas de los clientes afectados se emiten de acuerdo con los requisitos contractuales, reglamentarios y legislativos.
3.10. Defensa de red
Los controles de acceso a la red están en vigor para segregar segmentos de red y filtrar el tráfico entrante y saliente con partes externas, además de monitoreo 24/7 y detección de intrusos.
3.11. Seguridad física
Las medidas de seguridad física están instaladas y diseñadas para proporcionar acceso restringido y grabado, además de ayudar a detectar y disuadir intrusiones. Existen medidas para notificar al personal de seguridad física de condiciones ambientales adversas que puedan afectar a los sistemas de comunicación electrónica.
3.12. Defensa del sistema
Las protecciones contra malware se instalan en todos los puntos clave de la red y se actualizan regularmente para garantizar la detección y eliminación de códigos maliciosos. Además, la aplicación de estándares de configuración de seguridad que garantizan la implantación de sistemas con una adecuada seguridad. Un proceso de regular de mantenimiento garantiza que los sistemas estén actualizados, centrándose en las actualizaciones de seguridad. Los análisis de vulnerabilidades regulares aseguran que no se haya descuidado ningún sistema.
3.13. Inteligencia de amenazas
BNP Paribas estableció procesos para la recolección y análisis de amenazas en el ciberespacio, específicamente adaptado a los escenarios de amenazas recientes del banco y también del mercado, de manera vertical. Esta función permanece al frente a través de inteligencia oportuna, precisa y relevante.
3.14. Gestión de proveedores
El proceso de Gestión de Proveedores del banco conduce diligencias (due diligences) en actividades relacionadas con la seguridad de la información de terceros y en la adquisición, contratos y privacidad de datos, incluyendo:
- Evaluación de potenciales proveedores para el cumplimiento de las políticas y controles de la empresa;
- Revisión de la debida diligencia, incluyendo la elaboración de clasificaciones de riesgo y resultados;
- Mitigación de resultados de riesgo;
- Soporte en la selección de proveedores y negociaciones de contratos.
3.15. Administración de la vulnerabilidad
El equipo responsable de la administración de vulnerabilidades comprueba y analiza los activos de información. Los controles de mitigación y las correcciones se aplicarán con especial priorización enfocada en los activos críticos.
4. RECOMENDACIONES A LOS CLIENTES
Para evitar acciones fraudulentas y exposición de datos confidenciales, BNP Paribas recomienda a sus clientes que tengan en cuenta una serie de directrices relacionadas con la gestión del flujo de trabajo y la protección de la infraestructura resumida en 10 recomendaciones.
4.1. RECOMENDACIÓN 1 – Implantar el principio de los “Cuatro Ojos”
El principio de los cuatro ojos indica que todas las operaciones realizadas deben analizarse por lo menos dos personas. Respete el principio Cuatro Ojos para todos los servicios principales, como administración de derechos, autorización de pago y gestión de beneficiarios.
4.2. RECOMENDACIÓN 2 – Revisar el acceso del usuario
El responsable del control de acceso debe revisar los accesos de los usuarios al menos una vez al año.
4.3. RECOMENDACIÓN 3 – Mantenga los sistemas actualizados
Los softwares incluyen sistemas operativos (por ejemplo: Microsoft Windows, Linux), navegadores (por ejemplo, Internet Explorer, Firefox, Chrome) y otros programas críticos (por ejemplo: Java, Flash, Antivirus, Firewall y Anti-Spyware). Manténgalos actualizados. Al mismo tiempo desinstale aquellos programas que no necesite y son conocidos por sus vulnerabilidades: Flash, Java.
4.4. RECOMENDACIÓN 4 – Mantener el secreto de la información personal
Las contraseñas y los tokens son información personal y nunca se pueden compartir con nadie. Es de extrema importancia que las credenciales de login sean correctamente validadas, pues constituyen los puntos de entrada de las plataformas del BNP Paribas. Las siguientes directrices pueden ayudar a mantener su información privada segura:
- Evite reutilizar los mismos nombres de usuario y contraseñas que utilice para iniciar sesión en otros sitios;
- No utilice información que pueda deducirse fácilmente;
- Incluso si su ID de usuario (generalmente la dirección de correo electrónico) no es confidencial, no lo anote en cualquier lugar que pueda ser fácilmente encontrado por una persona malintencionada;
- Nunca anote ni revele su contraseña para cualquiera que la solicite, incluidos los equipos de soporte de BNP Paribas. Asegúrese de que nadie la conozca;
- Cambie la contraseña periódicamente;
- Asegúrese de que no se está observando al introducir la contraseña;
- Compruebe periódicamente el teclado y el ordenador para asegurarse de que no haya conectado ningún key logger (grabación de teclado).
- Muchos navegadores contienen características de relleno automático. Mientras tanto ahorra tiempo para el usuario, también permite que las personas no autorizadas inicien sesión en tu cuenta si su equipo permanece desbloqueado y sin alguien cerca. El banco recomienda que esta característica esté deshabilitada.
Dispositivos de autenticación (si es aplicable):
- Asegúrese de que los tokens de autenticación o las contraseñas únicas que se envían al dispositivo móvil, se mantienen de forma segura durante todo el tiempo;
- No envíe por e-mail y no hable por teléfono el número de serie detrás de los tokens de autenticación, aunque informen del equipo de soporte. La única excepción a esta regla es si ha entrado en contacto con el soporte técnico para solicitar soporte.
- Nunca pegue o escriba información en el token de autenticación;
- Por último, pero no menos importante, si usted ha perdido o cree haber perdido su token, póngase en contacto con su gerente de Relaciones de BNP Paribas para que podamos desactivar el dispositivo lo más rápido posible.
4.5. RECOMENDACIÓN 5 – Proteja su estación de trabajo contra malware
Proteja su equipo contra malware, virus y programas maliciosos. Software antivirus, software anti-spyware y firewalls personales deben instalarse y mantenerse continuamente activos en su equipo. Los parches y las revisiones de seguridad y las definiciones de virus se deben instalar y actualizar periódicamente para garantizar que se corregir todos los errores y fallos de seguridad. Ejecute periódicamente el software antivirus y anti-spybot con el fin de detectar un archivo sospechoso. Si detecta, elimine inmediatamente el archivo y cierre el sitio que descargó el archivo. Si el equipo está comprometido, no dude en cambiar todas las contraseñas. No realice ninguna transacción a través de ordenadores públicos o compartidos.
4.6. RECOMENDACIÓN 6 – No deje su estación de trabajo sin vigilancia
Nunca se ausente de su ordenador sin bloquearlo. Siempre cierre las aplicaciones después de concluir transacciones bancarias electrónicas.
Es muy recomendable cerrar las pantallas de los navegadores después de usar cualquier sistema de BNP Paribas.
4.7. RECOMENDACIÓN 7 – Visite sólo sitios de confianza
Visite sólo sitios de confianza y no descargue ningún archivo o programa de sitios desconocidos o sospechosos. Tenga siempre cuidado al abrir un archivo desconocido o al hacer clic en vínculos sospechosos.
4.8. RECOMENDACIÓN 8 – Tenga cuidado con mensajes de correo electrónico fraudulentos y también con los sitios que afirman ser de BNP PARIBAS
Manténgase atento al recibir e-mails sospechosos y al acceso a sitios que afirman ser de BNP Paribas con el fin de obtener informaciones confidenciales. BNP Paribas nunca pedirá información personal por e-mail y no enviará correos electrónicos con enlaces a los que se accede. Compruebe siempre que el remitente de correo electrónico es conocido y confiable antes de abrir cualquier archivo adjunto, y no responda o haga clic en cualquier vínculo proporcionado en los mensajes de correo electrónico que parecen enviarse por BNP Paribas, solicitando que introduzca datos personales, números de tarjeta / tarjeta bancaria o Códigos bancarios de Internet.
Además, recuerde que en algunas aplicaciones de correo electrónico, como Microsoft Outlook, un hipervínculo de texto puede mostrarse, pero en realidad, hacer clic en el vínculo puede dirigirlo a otro sitio. Esto se conoce como phishing. Los sitios de phishing están diseñados para parecer idénticos a los sitios reales. Además, algunos correos electrónicos pueden contener archivos de imagen que aparecen como texto. Hacer clic en la imagen también puede dirigirlo a un sitio de phishing. Asegúrese de que las directrices para comprobar los sitios de BNP Paribas sean seguidas.
El acceso a la página web de BNP Paribas siempre debe hacerse a través de enlaces conocidos. Lea detenidamente la barra de direcciones / URL y asegúrese de que el dominio se espera. Otro método para verificar la autenticidad del sitio BNP Paribas es verificar el certificado digital para sitios que empiezan con “https”. Las Autoridades Certificadoras (como Verisign o Geotrust) son emisores de terceros de certificados digitales confiables que atestiguan si el sitio es genuino. Haga clic en el candado al lado de la dirección URL para ver los detalles de la Autoridad de Certificación.
4.9. RECOMENDACIÓN 9 – No actúe en llamadas sospechosas identificándose como BNP PARIBAS
Si alguien se pone en contacto con usted alegando trabajar para BNP Paribas o actuando en nombre del banco, solicitando que usted proporcione datos personales, o que autorice transacciones, no realice ninguna acción y póngase en contacto con BNP Paribas a través de los canales de contacto adecuados véase RECOMENDACIÓN 10).
4.10. RECOMENDACIÓN 10 – En caso de dudas, póngase en contacto con BNP PARIBAS por vías correctamente identificados
Cierre inmediatamente cualquier transacción y póngase en contacto con BNP Paribas en caso de duda, especialmente cuando el procedimiento de firma difiere del procedimiento habitual. Es aconsejable verificar si las transacciones en curso son o no legítimas. Póngase en contacto con el punto de soporte nivel uno en caso de duda.
En caso de sospechas de acceso no autorizado o en caso de dudas sobre cuestiones relacionadas con la seguridad de la información, póngase en contacto inmediatamente con su Gerente de Relaciones o póngase en contacto con el correo electrónico Latam.CSIRT@bnpparibas.com.
5. ADVERTENCIA LEGAL
Este documento fue elaborado por BNP Paribas sólo para fines informativos. Aunque la información contenida en este documento ha sido obtenida de fuentes que BNP Paribas cree ser confiables, no constituirá ninguna representación, garantía o incentivo del banco en cuanto a la adecuación, exactitud o suficiencia de las medidas aquí descritas para cualquier propósito contemplado, pues la información puede ser incompleta o resumida.
Este documento no constituye un prospecto o solicitud. Todas las estimaciones y opiniones incluidas en este documento constituyen nuestro juicio a partir de la fecha del documento y pueden estar sujetas a cambios sin previo aviso. Los cambios en las premisas pueden tener un impacto relevante en cualquier recomendación aquí hecha.
Este documento no puede ser reproducido (en todo o en parte) para cualquier otra persona sin la previa autorización por escrito del BNP Paribas Brasil S / A.
© 2018 BNP PARIBAS. Todos los derechos reservados.
Créditos de foto de encabezado: © Jonathan Schöps