ANÁLISIS DE LLAVES DE CIFRADO AUTOMÁTICOS PARA ENTIDADES FINANCIERAS DEL ECUADOR
Loading...
Date
Journal Title
Journal ISSN
Volume Title
Publisher
Abstract
This article analyzes the life cycle of ATM encryption keys for financial entities in Ecuador, with the aim
of presenting recommendations on the operating processes involved. The national standard for
operational risk JB-2014-3066 of the Banking Board of Ecuador, and the international standard PCI
DSS, were used as a basis to prepare a survey on the analysis of the life cycle of encryption keys. The
financial entities evaluated decided to keep their commercial names in reserve. The personnel surveyed
correspond to risk departments, operation of ATMs, security and information technologies. It was
identified that the most critical vulnerability is found in the training of personnel in the departments of
operation of ATMs, risk and information security. It has been determined as an opportunity for
improvement, to evaluate the loss of confidentiality of the encryption keys, and its impact on the
economy and reputation of financial entities. It is concluded, based on the regulations, that financial
entities comply with minimum security requirements for the life cycle of encryption keys, however, lack
of staff training, the constant evolution of technologies, and low level of security. commitment of senior
management, generate new risks. One factor that was not analyzed in this study is the financial
performance of a financial institution and its influence on the investment in security of the life cycle of
ATM encryption keys.
Description
Este artículo realiza un análisis del ciclo de vida de llaves de cifrado de cajeros automáticos para
entidades financieras del Ecuador, con el objetivo de presentar recomendaciones en los procesos
operativos involucrados. La norma nacional de riesgo operativo JB-2014-3066 de la Junta Bancaria del
Ecuador, y la norma internacional PCI DSS, fueron utilizadas como base para elaborar una encuesta
sobre el análsis del ciclo de vida de llaves de cifrado. Las entidades financieras evaluadas decidieron
mantener en reserva sus nombres comerciales. El personal encuestado corresponde a departamentos
de riesgo, operación de cajeros automáticos, seguridad y tecnologías de la información. Se identificó
que la vulnerabilidad con mayor criticidad se encuentra en la capacitación del personal de los
departamentos de operación de cajeros automáticos, riesgo y seguridad de la información. Se ha
determinó como oportunidad de mejora, evaluar la pérdida de confidencialidad de las llaves de cifrado,
y su impacto sobre la economía y reputación de entidades financieras. Se concluye, en base a la
normativa, que las entidades financieras cumplen con requisitos mínimos de seguridad para el ciclo de
vida de llaves de cifrado, sin embargo, la falta de capacitación del personal, la constante evolución de
las tecnologías, y bajo nivel de compromiso de la alta administración, generan nuevos riesgos. Un
factor que no se analizó en este estudio es el desempeño económico de una entidad financiera y su
influencia sobre la inversión en seguridad del ciclo de vida de llaves de cifrado de cajeros automáticos.