Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
Agenda
1. Introduccin
2. Aspectos generales de fraudes electrnicos.
3. Tcnicas de prevencin e identificacin.
4. Herramientas de Seguridad para investigaciones de fraude electrnico.
5. Tcnicas y procedimientos de investigacin durante y despus del
incidente.
6. Metodologa y pasos a seguir.
7. Acciones a incidentes de fraude electrnico que se presenten.
8. Anlisis de Riesgos de vulnerabilidades asociadas a fraude electrnico.
9. Preparacin de matrices e informes.
10.Conclusiones.
Pgina 2
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
INTRODUCCIN
Consideraciones para la prevencin, anlisis y deteccin
de fraude electrnico
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
DEFINICIONES
Qu es el fraude electrnico?
Pgina 4
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
DEFINICIONES
Qu es el fraude?
Pgina 5
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
INTRODUCCIN - FRAUDE ELECTRNICO
En abril del 2005 usuarios maliciosos de Wachovia,
Bank of America, PNC Financial Services Group y
Commerce Bancorp accesarn datos importantes
de ms de 676,000 registros de clientes.
Pgina 7
XI SEMINARIO REGIONAL INTERAMERICANO
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
ANTECEDENTES
Prdida promedio en casos de fraude
Fraude en $ 2.000.000,00
Reportes Financieros
$ 4.100.000,00
$ 375.000,00
Corrupcin 2008
$ 250.000,00
2010
Pgina 8
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
ANTECEDENTES
Tipos de crmenes en Centro y Sur Amrica
Respuesta Porcentaje de casos
Corrupcin 47.1%
Facturacin 28.6%
Bienes (No involucra efectivo) 18.6%
Robo de Efectivo 14.3%
Fraude 12.9%
Dinero en mano 11.4%
Reembolso de gastos 11.4%
Fraude de estados financieros 10.0%
Modificacin de cheques 8.6%
Planilla 4.3%
Registro de desembolsos 1.4%
Fuente: ACFE Association of Certified Fraud Examiners www.acfe.org
Pgina 9
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
ANTECEDENTES
Mtodo de deteccin del fraude
Llamada annima 44,3%
Revisin de la Gerencia 14,3%
Auditora Externa 12,9%
Auditora Interna 10,0%
Reconciliacin de cuentas 8,6%
Anlisis de documentos 4,3%
Monitoreo 4,3%
Confesin 1,4%
Notifacin de autoridades 0,0%
Por accidente 0,0%
Controles de TI 0,0%
0,0% 5,0% 10,0% 15,0% 20,0% 25,0% 30,0% 35,0% 40,0% 45,0% 50,0%
Porcentaje de casos
Pgina 10
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
ORIGEN DEL FRAUDE
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
ORIGEN DEL FRAUDE
3 Condiciones principales
La clientela baja constantemente PRESIN
Quiebra inminente del negocio
Expectativas y ganancias irreales
La compensacin depende de resultados
TRIANGULO
La actividad no es criminal
DEL FRAUDE Las metas se estn cumpliendo
La competencia lo hace
OPORTUNIDAD JUSTIFICACIN
Transacciones significativas relacionadas
Transacciones altamente complejas
Uso significativo de estimados y no nmero exactos
Pgina 12
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
ORIGEN DEL FRAUDE
Factor humano
PRESIN
DIAMANTE
OPORTUNIDAD JUSTIFICACIN
DEL FRAUDE
CAPACIDAD
Pgina 13
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
TIPOS DE FRAUDE
El rbol del fraude
FRAUDE
FRAUDE DE
APROPIACIN
CORRUPCIN ESTADOS
DE ACTIVOS
FINANCIEROS
Pgina 14
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
NORMAS Y ESTNDARES
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
NORMAS APLICABLES A AUDITORA INTERNA
Normas para la prctica profesional de Auditora
Interna
NORMA 1210.A2 APTITUD PROFESIONAL REQUERIDA POR EL AUDITOR
Los auditores internos deben tener conocimientos suficientes para
evaluar el riesgo de fraude y la forma en que se gestiona por parte
de la organizacin, pero no es de esperar que tengan conocimientos
similares a los de aquellas personas cuya responsabilidad principal
es la deteccin e investigacin del fraude.
Pgina 16
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
NORMAS APLICABLES A AUDITORA INTERNA
Normas para la prctica profesional de Auditora
Interna
NORMA 2120.A2 GESTIN DE RIESGOS
La actividad de auditora interna debe evaluar la posibilidad de
ocurrencia de fraude y cmo la organizacin maneja gestiona el
riesgo de fraude.
Pgina 17
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
TCNICAS DE PREVENCIN E
IDENTIFICACIN
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
TCNICAS DE PREVENCIN E IDENTIFICACIN
La posibilidad del fraude es inherente en todo
negocio y su mejor defensa es la preparacin y
monitoreo peridico.
Tcnicas principales para la prevencin e
identificacin del fraude:
Establecer una cultura corporativa de control.
Establecer una polticas para la denuncia confidencial de posibles
fraudes.
Identificar los riesgos de manera oportuna y establecer los planes para
administrarlos.
Monitorear y probar la eficiencia de los controles.
Anti-virus 97%
Firewalls 94%
VPN 85%
Anti-spyware 80%
Encriptacin de datos 71%
IDS 69%
Administracin de "logs" 51%
Herramientas forenses 41%
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
HERRAMIENTAS DE SEGURIDAD PARA
EVALUACIONES DE FRAUDE ELECTRNICO
Realizar imgenes de discos (Disk Imaging )
EnCase es una herramienta certificada por NSA (National
Security Agency) y NIST (National Institute of Standards and
Technology).
Recuperacin de datos
Recover MyFile, desarrollada por GetData, es utilizada para
la recuperacin de archivos simples. Busca en un sector del
disco y recupera archivos borrados a travs del anlisis de los
contenidos.
Anlisis de datos
dtSearch es una herramienta para bsquedas simples que
genera un ndice de todos los archivos almacenados en el
disco y permite realizar bsquedas de texto.
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
TCNICAS Y PROCEDIMIENTOS DE INVESTIGACIN
DURANTE Y DESPUES DEL INCIDENTE
Crear una lnea de tiempo con los eventos ocurridos y acciones tomadas
Inicio de Notificacin a
transacciones personal de Cierre de
no autorizadas seguridad servicios y
Fin de
puertos de
transacciones
comunicacin
no autorizadas
8:00 am
Dic 23, 2009 15: 30 pm
Mayo 26, 2009
8:00 am 8:00 am
Dic24, 2009 Dic26, 2009
Actividades
Tiempo
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
METODOLOGA EN EVALUACIONES Y AUDITORAS
SOBRE INCIDENTES DE FRAUDE ELECTRNICO
ETAPA PRINCIPAL
Etapa II
Etapa I
Remediar Etapa III
Respuesta y
e Reportes
planeacin
investigar
1 Respuesta y planeacin
2 Remediar e Investigar
3 Reportes
Completar investigacin
Preparar recomendaciones
Preparar y presentar informe
Consideraciones Claves
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
ACCIONES ANTE INCIDENTES DE FRAUDE
ELECTRNICO QUE SE PRESENTEN
Categora Acciones
REMEDIACIN Cesar temporalmente las actividades afectadas.
Tomar acciones para corregir las Dirigir comunicaciones o actividades a un
fallas o deficiencias que ambiente seguro
conllevaron al problema o Suspender trabajos o reasignar al personal
incidente. Cambiar contraseas, accesos, o listas de
control
Cambios a seguridad fsica
DETECCIN Uso de herramientas y tcnicas para el
Acciones destinadas a maximizar diagnstico
la cantidad de datos que se Aumentar el registro y monitoreo de actividades
pueden recuperar para asistir en la Revisar las pistas de auditora en los ambientes
identificacin de los responsables de TI
y las acciones tomadas. Tomar control de equipos y sistemas
Entrevistas al personal
Pgina 39
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
ACCIONES ANTE INCIDENTES DE FRAUDE
ELECTRNICO QUE SE PRESENTEN
Categora Accin
Retencin de evidencia Asegurar los medios y copias de respaldo existentes
Acciones para asegurar que Completar las rutinas de respaldo de informacin
cualquier evidencia est Completar la preparacin de imgenes de los
protegida contra cambios y medios de almacenamiento
evite dudas sobre su Recuperar o copiar las bitcoras de operaciones,
integridad redes, seguridad, telfono, fax, voz y video.
Recuperar informacin y registro de accesos al sitio
Registrar evidencia utilizando cmaras de foto y
video.
Prevenir el acceso a todos los equipos involucrados.
Prevencin Hacer recomendaciones que apoyen en el diseo e
Acciones que atienden implementacin de medidas preventivas para evitar
sistemticamente las la recurrencia de este tipo de incidentes.
debilidades que dieron paso al
incidente
Pgina 40
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
ANLISIS DE RIESGOS DE
VULNERABILIDADES ASOCIADAS A FRAUDE
ELECTRNICO
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
ANLISIS DE RIESGOS DE VULNERABILIDADES
ASOCIADAS A FRAUDE ELECTRNICO
El anlisis de riesgo de un sistema debe estar basado en su
vulnerabilidad al fraude, abuso interno o externo, mal uso o
administracin y/o control interno.
Sistema 2 RxI
Factor Riesgo Importancia Total
Objetivo: Medio (2) Importante (3) 6
Documentacin: Bajo (1) Muy importante (3) 3
TOTAL 9
Page 45
Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
CONCLUSIONES
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
CONCLUSIONES
Consideraciones para la prevencin, anlisis y
deteccin de fraude electrnico
Pgina 47
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
GRACIAS
CONSIDERACIONES PARA LA PREVENCIN, ANLISIS Y
DETECCIN DE FRAUDE ELECTRNICO
XV CONGRESO LATINOAMERICANO DE AUDITORA INTERNA Y EVALUACIN DE
RIESGOS
Julio R. Jolly Moore, CGEIT, CFE, Internal Audit Quality Assessment
Socio de BDO Consulting
BDO Panam
jjolly@bdo.com.pa
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.