¿Qué tipo de control de daños debe implementar una aplicación web de banca en línea?

La mayoría de los sitios bancarios limitan la cantidad de dinero transferido en un período de tiempo específico. No podrá realizar transacciones que tengan un valor mayor que, digamos, € 5000.00 en un solo período de 24 horas sin previo aviso a su banco. Esto evita / limita los casos más dañinos de fraude.

Además, todos (al menos todos los bancos alemanes) usarán algún tipo de segundo factor por transacción que requiere el consentimiento específico de los usuarios para cada transacción.

Un registro de transacciones siempre es una buena idea y también se puede utilizar como una función valiosa para sus clientes.

Es difícil equilibrar los mecanismos de control de daños y la usabilidad. Un usuario considera que algunos de los mecanismos son intrusivos, mientras que los phishers pueden abusar de otros para la ingeniería social.

por ejemplo

1. Notifique al usuario por SMS cuando la transacción en línea se realiza desde una dirección Geo-IP "poco común".
2. Notificar al usuario cuando se realice una transferencia "inusual" que no sea la entidad habitual
3. Habilite un período de "enfriamiento" para la cifra de transacción para X monto. Si el usuario cambia el límite, notifíquelo por SMS.

El control de daños es bastante amplio, por lo que en realidad quisiera que los clasificara más, por ejemplo, pregunte:

¿Qué información necesita la compañía para evitar una infracción?

Idealmente, nadie quiere ser violado, o como mínimo queremos que nuestro tiempo de reacción sea tan bueno como para limitar el daño. Esto puede ser seguimiento de ubicación, seguimiento de tiempo de uso, seguimiento de hábitos, nombre de usuario / contraseña estándar con 2FA, uso de dispositivos, políticas, etc.

Esto es algo que una empresa hace activamente para:

• Avisar de posibles problemas
• Interactúe con sus clientes de forma segura
• Desarrolle aplicaciones de forma segura

¿Qué información necesita la empresa para resolver la infracción?

El adagio de "no es si, pero cuando sucede algo" es bastante frecuente. Una vez que ocurre algo, ¿cuál es la forma más rápida de resolverlo? ¿Qué van a necesitar o querer los auditores, legales y / o policiales?

Esto podría ser registros de auditoría, registros de transacciones, registros de ubicación. Esto realmente se centra en:

• Información para recopilar
• Equipos / política de respuesta de seguridad de la información
• Mitigación de riesgos
• Cumplimiento

¿Cómo te comunicas con el usuario?

Los dos primeros son sencillos, este varía mucho ya que es su interacción directa con los usuarios. Esto es realmente PR / empresa impulsada y las cosas que podría pensar son:

• ¿Qué detalles estás dispuesto a revelar?
• ¿Qué es una compensación adecuada?
• ¿Qué está regulado?

Honestamente, este último no es mi fuerte. Personalmente quiero todos los detalles y siento que el Quién, Qué, Cuándo, Por qué y Cómo de una violación deben estar totalmente comunicados. Conozco a muchas personas en la comunidad de seguridad que no se sienten así, y ciertamente no a mi nivel ejecutivo que tienen que considerar a toda la compañía.

Por encima de todo, esto no es un problema individual, ni siquiera una responsabilidad de unidades de negocio, realmente necesita manejarlo en todos los niveles.