Sistemas de seguridad y protección aplicados a los ATMs .

Víctor Sánchez EstradaDiebold de México, S.A. de

C.V.México

Aspectos vulnerables del ATMDinero, Hardware, Software

Aspectos a proteger en el ATM

DineroRobos

HardwareRobo y clonación de partes

SoftwareAcceso a información sensitiva

Situación actual de redes de ATMsSituación, Modelos, Plataformas, Seguridad

Situación de las redes de ATMs

Familias y Modelos de ATMs Existencia de Series previas y Series nuevas

Plataformas ( Sistemas Operativos y Aplicativos )IBM OS/2 y Microsoft Windows XP ProAplicativo: sofware pre-empaquetado y algunas soluciones propietarias

Protocolos SNA/SDLC, TCP/IP

Grupos de soporte Grupo de Sistemas y Operación ATMs, Grupo de Seguridad

Seguridad Uso de Single y Triple DES, prácticamente no se usa el RKL ni el EMV, enfoque en el retardo de apertura de la caja fuerte. Inicia el uso del Anti-skimming y el Jitter, se esta incrementando el uso del CCTV, Alarmas y controles de acceso, incrmento en el uso de cajas CENL

Situación de las redes de ATMs

Migración de plataforma “cerrada” a “abierta” Mayor conocimiento de herramientas basadas en WindowsAcceso a los ATMs mediante redes TCP/IP Esquemas MultivendorMayor frecuencia de aplicación de Fixes de seguridadUso de software de terceros ( antivirus, agentes de seguridad ) Migraciones de sistemas operativos y software aplicativo más acelerada Aparición de nuevos mecanismos de seguridadServicio Técnico de Hardware de ATMs a diferentes marcas

Aplicación de la seguridad de ATMsHardware, Software

Aplicación de la seguridad hardware

Entintado de BilletesCaja Fuerte

Refuerzos a las cajas actualesIncorporación de la caja CENL, adicional a la UL,

Autenticación del Procesador con el DispenserTPM

CCTV / Video Digital / Controles de acceso / Monitoreo de Alarmas

Video ligado a las transacciones

Periféricos EPP5 ( PCI ), Anti-skimming, Jitter, Anti-fishing, Sensores para objetos sobrepuestos, Espejos laterales, Cubiertas para teclados, Alarmas y Sirenas disuasivas, Anclaje mecánico y químico.

Aplicación de la seguridad software

Hardening del Sistema OperativoPasswordsAgente de seguridadAntivirusEPP5 ( PCI / TDES / RKL )ATM Patch ManagementPCI ComplianceProtección de información sensitiva ( Traces, logs, etc..)EMVMonitoreo de códigos nuevos

Proveedores de ATMsOrganizaciones orientada a la seguridad

Proveedores de ATMs

Compromiso de las corporaciones Manejo y resguardo de la información de los clientesInnovar mecanismos de diseño de hardware, software relacionados con la seguridad Auditorias permanentes por parte de los clientes

Un solo punto de contactoCatalogo de productos y servicios que vayan desde la obra civil, hardware, software, desarrollo, seguridad física y electrónica, etc..

Personal Cuidar estrictamente su procedencia, antecedentes y establecer los mecanismos de confidencialidad necesarios

Consideraciones GeneralesActividades de seguridad

Consideraciones

El ATM no es una PCSe deben integrar cada vez más los grupos de seguridad con los grupos de sistemas y operación de ATMsHacer seguimiento a las regulaciones de la industriaTener cubierto el mantenimiento de Hardware y SoftwareEncontrar un balance entre seguridad y negocio El tiempo de solución de problemas se puede ver afectado por la protección de datos sensitivos.Se debe tener mucho cuidado con el flujo de la informaciónTener presente en todo momento los Roadmaps ( hardware y software ) de los proveedores

Consideraciones

Considerar los anillos de seguridad :

1.- Seguridad Electrónica2.- Seguridad Física 3.- Seguridad Lógica

Consideraciones

Gracias …..