JULIO - JOLLY-El Fraude Electrónico

CONSIDERACIONES PARA LA PREVENCIN,
ANLISIS Y DETECCIN DE FRAUDE

ELECTRNICO
XV CONGRESO LATINOAMERICANO DE AUDITORA INTERNA Y EVALUACIN DE RIESGOS
Julio R. Jolly Moore, CFE, CGEIT, Internal Audit Quality Assessment

Socio BDO Consulting
BDO Panam
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
Agenda
1. Introduccin
2. Aspectos generales de fraudes electrnicos.
3. Tcnicas de prevencin e identificacin.
4. Herramientas de Seguridad para investigaciones de fraude electrnico.
5. Tcnicas y procedimientos de investigacin durante y despus del
incidente.
6. Metodologa y pasos a seguir.
7. Acciones a incidentes de fraude electrnico que se presenten.
8. Anlisis de Riesgos de vulnerabilidades asociadas a fraude electrnico.
9. Preparacin de matrices e informes.
10.Conclusiones.
Pgina 2
INTRODUCCIN
Consideraciones para la prevencin, anlisis y deteccin
de fraude electrnico
DEFINICIONES
Qu es el fraude electrnico?
Cualquier actividad por la cual un ser humano toma acciones mediante

equipos o recursos informticos para obtener una ventaja sobre otra
persona o entidad por medio de falsedades, engaos u omisin de la
verdad.
Pgina 4
Todos los derechos reservados. Prohibida su reproduccin no autorizada.
autorizada por BDO Consulting.
DEFINICIONES
Qu es el fraude?
Segn las Normas Internacionales para el Ejercicio Profesional de la

Auditora Interna, fraude se define como Cualquier acto ilegal
caracterizado por engao, ocultacin o violacin de confianza. Estos actos
no requieren la aplicacin de amenaza de violencia o de fuerza fsica. Los
fraudes son perpetrados por individuos y por organizaciones para obtener
dinero, bienes o servicios, para evitar pagos o prdidas de servicios, o
para asegurarse ventajas personales o de negocio.
Pgina 5
INTRODUCCIN - FRAUDE ELECTRNICO
En abril del 2005 usuarios maliciosos de Wachovia,
Bank of America, PNC Financial Services Group y
Commerce Bancorp accesarn datos importantes
de ms de 676,000 registros de clientes.
Fuente: Privacy Rights Clearinghouse, CSOonline reports.
En enero del 2009 Heartland Payment Systems

proveedor de servicios de procesamiento de
tarjetas dbitos y crdito comunic que haba
sido vctima de brechas de seguridad en sus
datos. Puede decirse que a sido la mas grande
dado que fueron 100 millones de expedientes
potencialmente afectados.
Fuente: Privacy Rights Clearinghouse, CSOonline reports.
Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Page 6
ANTECEDENTES
Tipos de Crimen
Tipo de Crimen 2005 2006 2007 2008

Fraude Telecomunicaciones 10% 8% 5% 5%
Fraude Financiero 7% 9% 12% 12%
Abuso interno 48% 42% 59% 44%
Sabotaje 2% 3% 4% 2%
Robo de informacin confidencial N/A N/A 17% 17%
FUENTE: CSI / Computer Crime & Security Survey 2008
Pgina 7
XI SEMINARIO REGIONAL INTERAMERICANO
ANTECEDENTES
Prdida promedio en casos de fraude
Fraude en $ 2.000.000,00
Reportes Financieros
$ 4.100.000,00
$ 375.000,00
Corrupcin 2008
$ 250.000,00
2010
Apropiacin indebida $ 150.000,00

de activos
$ 155.000,00
$- $ 1.000.000,00 $ 2.000.000,00 $ 3.000.000,00 $ 4.000.000,00 $ 5.000.000,00
Fuente: ACFE Association of Certified Fraud Examiners www.acfe.org
Pgina 8
ANTECEDENTES
Tipos de crmenes en Centro y Sur Amrica
Respuesta Porcentaje de casos
Corrupcin 47.1%
Facturacin 28.6%
Bienes (No involucra efectivo) 18.6%
Robo de Efectivo 14.3%
Fraude 12.9%
Dinero en mano 11.4%
Reembolso de gastos 11.4%
Fraude de estados financieros 10.0%
Modificacin de cheques 8.6%
Planilla 4.3%
Registro de desembolsos 1.4%
Pgina 9
ANTECEDENTES
Mtodo de deteccin del fraude
Llamada annima 44,3%
Revisin de la Gerencia 14,3%
Auditora Externa 12,9%
Auditora Interna 10,0%
Reconciliacin de cuentas 8,6%
Anlisis de documentos 4,3%
Monitoreo 4,3%
Confesin 1,4%
Notifacin de autoridades 0,0%
Por accidente 0,0%
Controles de TI 0,0%
0,0% 5,0% 10,0% 15,0% 20,0% 25,0% 30,0% 35,0% 40,0% 45,0% 50,0%
Porcentaje de casos
Pgina 10
ORIGEN DEL FRAUDE

ORIGEN DEL FRAUDE
3 Condiciones principales
La clientela baja constantemente PRESIN
Quiebra inminente del negocio
Expectativas y ganancias irreales
La compensacin depende de resultados
TRIANGULO
La actividad no es criminal
DEL FRAUDE Las metas se estn cumpliendo
La competencia lo hace
OPORTUNIDAD JUSTIFICACIN
Transacciones significativas relacionadas
Transacciones altamente complejas
Uso significativo de estimados y no nmero exactos
Pgina 12
ORIGEN DEL FRAUDE
Factor humano
Incorporacin del factor humano: CAPACIDAD

La oportunidad abre la puerta al fraude, la presin y justificacin llevan a
una persona a cometer fraude; pero la persona debe tener la capacidad de
reconocer la puerta abierta y tomar ventaja de ella una y otra vez.
Fuente: David Wolfe and Dana Hermanson
PRESIN
DIAMANTE
OPORTUNIDAD JUSTIFICACIN
DEL FRAUDE
CAPACIDAD
Pgina 13
TIPOS DE FRAUDE
El rbol del fraude
Los fraudes pueden ser categorizados en tres grandes tipos:

Corrupcin
Apropiacin de activos
Fraude de estados financieros
FRAUDE
FRAUDE DE
APROPIACIN
CORRUPCIN ESTADOS
DE ACTIVOS
FINANCIEROS
Pgina 14
NORMAS Y ESTNDARES

NORMAS APLICABLES A AUDITORA INTERNA
Normas para la prctica profesional de Auditora
Interna
NORMA 1210.A2 APTITUD PROFESIONAL REQUERIDA POR EL AUDITOR
Los auditores internos deben tener conocimientos suficientes para
evaluar el riesgo de fraude y la forma en que se gestiona por parte
de la organizacin, pero no es de esperar que tengan conocimientos
similares a los de aquellas personas cuya responsabilidad principal
es la deteccin e investigacin del fraude.
Pgina 16
NORMAS APLICABLES A AUDITORA INTERNA
Normas para la prctica profesional de Auditora
Interna
NORMA 2120.A2 GESTIN DE RIESGOS
La actividad de auditora interna debe evaluar la posibilidad de
ocurrencia de fraude y cmo la organizacin maneja gestiona el
riesgo de fraude.
NORMA 2210.A2 OBJETIVOS DEL TRABAJO

El auditor interno debe considerar la probabilidad de errores,
fraude, incumplimientos y otras exposiciones significativas al
elaborar los objetivos del trabajo.
Pgina 17
TCNICAS DE PREVENCIN E
IDENTIFICACIN

TCNICAS DE PREVENCIN E IDENTIFICACIN
La posibilidad del fraude es inherente en todo
negocio y su mejor defensa es la preparacin y
monitoreo peridico.
Tcnicas principales para la prevencin e
identificacin del fraude:
Establecer una cultura corporativa de control.
Establecer una polticas para la denuncia confidencial de posibles
fraudes.
Identificar los riesgos de manera oportuna y establecer los planes para
administrarlos.
Monitorear y probar la eficiencia de los controles.

Page 19
Tcnicas principales para la prevencin e

identificacin del fraude (continuacin):
Reforzar el proceso de seleccin y reclutamiento.
Implementar el uso de herramientas y sistemas para la identificacin
de actividades sospechosas o no autorizadas.
Realizar charlas o entrenamientos de concientizacin al personal sobre
el buen uso de los recursos tecnolgicos.
Establecer polticas claras sobre el manejo de incidentes y las
sanciones por incumplimiento de las polticas de seguridad.
Entrenar y certificar a personal de TI para poder prevenir e investigar
incidentes de fraude.

Page 20
HERRAMIENTAS
Sistemas de deteccin de intrusos o IDS (Intrusion

Detection Systems)
Detectar escaneo maliciosos o no autorizados y alertar a la

administracin o gerencia.
Crear bitcoras detalladas para habilitar un anlisis y forense y asistir
en las posibles acciones legales.
Detectar explotacin de vulnerabilidades (Network IDS) o archivos o
bitcoras que se estn borrando (Host IDS) y alertar a la gerencia.

Page 21
HERRAMIENTAS
Herramientas ms comnmente utilizadas para la prevencin
e identificacin de crmenes y fraudes electrnicos. (fuente: CSI
Computer Crime & Security 2008)
Anti-virus 97%
Firewalls 94%
VPN 85%
Anti-spyware 80%
Encriptacin de datos 71%
IDS 69%
Administracin de "logs" 51%
Herramientas forenses 41%

Page 22
HERRAMIENTA DE SEGURIDAD PARA
EVALUACIONES DE FRAUDE ELECTRNICO

HERRAMIENTAS DE SEGURIDAD PARA
Realizar imgenes de discos (Disk Imaging )
EnCase es una herramienta certificada por NSA (National
Security Agency) y NIST (National Institute of Standards and
Technology).
FastBlock (una herramienta de hardware para prevenir la

escritura sobre el disco original). EnCase debe ser
considerada como la mejor solucin para realizar copias
imgenes de un disco duro.

Page 24
Recuperacin de datos
Recover MyFile, desarrollada por GetData, es utilizada para
la recuperacin de archivos simples. Busca en un sector del
disco y recupera archivos borrados a travs del anlisis de los
contenidos.
GetDataBack, Herramienta para recuperar informacin

cuando una tabla de particin del disco duro, una tabla
maestro, o un directorio est corrupto.

Page 25
Recuperacin de datos (E-mail)
Recover MyEmail, desarrollado por GetData, analiza los
archivos de correo electrnico y busca correos borrados.
Recupera mensajes y pueden ser exportados a archivos EML
o hacia un nuevo PST y es compatible con Microsoft
Outlook y Outlook Express.
Anlisis de datos
dtSearch es una herramienta para bsquedas simples que
genera un ndice de todos los archivos almacenados en el
disco y permite realizar bsquedas de texto.

Page 26
HERRAMIENTAS DE SEGURIDAD PARA EVALUACIONES
DE FRAUDE ELECTRNICO
Recuperacin de contraseas
Passware Kit Enterprise recupera todo tipo de contraseas
en aplicaciones simples como Excel, Word, Windows, Lotus
Notes ID, RAR, WinZip, Access, Outlook, Acrobat, Quicken,
QuickBooks, entre otros.

Page 27
TCNICAS Y PROCEDIMIENTOS DE
INVESTIGACIN DURANTE Y DESPUES DEL
INCIDENTE

TCNICAS Y PROCEDIMIENTOS DE INVESTIGACIN
DURANTE Y DESPUES DEL INCIDENTE
Obtener un entendimiento del entorno donde ocurri el incidente
Revisar informacin histrica de la organizacin.

Identificar los ambientes y entornos de tecnologa que se
utilizan.
Identificar al personal que mantiene y da soporte a los
ambientes de tecnologa.
Identificar los procesos del negocio principales.
Identificar cualquier cambio significativo que se haya dado
recientemente.

Page 29
TCNICAS Y PROCEDIMIENTOS DE INVESTIGACIN
DURANTE Y DESPUES DEL INCIDENTE
Crear una lnea de tiempo con los eventos ocurridos y acciones tomadas
Inicio de Notificacin a
transacciones personal de Cierre de
no autorizadas seguridad servicios y
Fin de
puertos de
transacciones
comunicacin
no autorizadas
8:00 am
Dic 23, 2009 15: 30 pm
Mayo 26, 2009
8:00 am 8:00 am
Dic24, 2009 Dic26, 2009
Actividades
Tiempo

Page 30
PRINCIPALES PASOS DE EVALUACIONES Y
AUDITORAS SOBRE INCIDENTES DE FRAUDE
ELECTRNICO

METODOLOGA EN EVALUACIONES Y AUDITORAS
SOBRE INCIDENTES DE FRAUDE ELECTRNICO
ETAPA PRINCIPAL
Etapa II
Etapa I
Remediar Etapa III
Respuesta y
e Reportes
planeacin
investigar

Page 32
1 Respuesta y planeacin
Definicin del alcance (Qu sucedi?)

Preparacin del equipo de trabajo
Definicin de procedimientos y herramientas para la
administracin de datos y evidencia
Definicin de estrategia (directo o undercover)

Page 33
2 Remediar e Investigar
Tomar acciones correctivas de ser necesario (cerrar

puertos, activar logs).
Extraccin y almacenamiento de datos y evidencia.
Anlisis de datos y evidencias.

Page 34
3 Reportes
Completar investigacin
Preparar recomendaciones
Preparar y presentar informe

Page 35
Consideraciones Claves
La administracin de la cadena y custodia de la evidencia

es crucial.
Siempre deben existir copias originales de la informacin
analizadas.
Se debe almacenar la informacin por un periodo prudente
luego de concluir este proceso de investigacin.

Page 36
ACCIONES ANTE INCIDENTES DE FRAUDE
ELECTRNICO QUE SE PRESENTEN

Identificar por lo menos lo siguientes puntos para evaluar

el objetivo y alcance:
qu sucedi? dnde sucedi? cundo sucedi o si contina el caso?
est bajo control al situacin?
Determinar la necesidad de involucrar a las autoridades o
buscar asesora legal.
No tocar los equipos apagar o reiniciar sistemas puede
borrar evidencias, como por ejemplo registros y pistas de
auditora.

Page 38
Categora Acciones
REMEDIACIN Cesar temporalmente las actividades afectadas.
Tomar acciones para corregir las Dirigir comunicaciones o actividades a un
fallas o deficiencias que ambiente seguro
conllevaron al problema o Suspender trabajos o reasignar al personal
incidente. Cambiar contraseas, accesos, o listas de
control
Cambios a seguridad fsica
DETECCIN Uso de herramientas y tcnicas para el
Acciones destinadas a maximizar diagnstico
la cantidad de datos que se Aumentar el registro y monitoreo de actividades
pueden recuperar para asistir en la Revisar las pistas de auditora en los ambientes
identificacin de los responsables de TI
y las acciones tomadas. Tomar control de equipos y sistemas
Entrevistas al personal
Pgina 39
Categora Accin
Retencin de evidencia Asegurar los medios y copias de respaldo existentes
Acciones para asegurar que Completar las rutinas de respaldo de informacin
cualquier evidencia est Completar la preparacin de imgenes de los
protegida contra cambios y medios de almacenamiento
evite dudas sobre su Recuperar o copiar las bitcoras de operaciones,
integridad redes, seguridad, telfono, fax, voz y video.
Recuperar informacin y registro de accesos al sitio
Registrar evidencia utilizando cmaras de foto y
video.
Prevenir el acceso a todos los equipos involucrados.
Prevencin Hacer recomendaciones que apoyen en el diseo e
Acciones que atienden implementacin de medidas preventivas para evitar
sistemticamente las la recurrencia de este tipo de incidentes.
debilidades que dieron paso al
incidente
Pgina 40
ANLISIS DE RIESGOS DE
VULNERABILIDADES ASOCIADAS A FRAUDE
ELECTRNICO

ANLISIS DE RIESGOS DE VULNERABILIDADES
ASOCIADAS A FRAUDE ELECTRNICO
El anlisis de riesgo de un sistema debe estar basado en su
vulnerabilidad al fraude, abuso interno o externo, mal uso o
administracin y/o control interno.
Debe considerar por lo menos:
Factores de riesgo (como por ejemplo, propsito del sistema,

documentacin existente, frecuencia de las auditoras, etc.)
Categorizar cada factor de riesgo (alto, medio o bajo) para
asignar un valor (3, 2 1).
Asignar un peso o valor de importancia para cada factor
identificado, por ejemplo muy importante, importante, etc.

Page 42
ANLISIS DE RIESGOS DE VULNERABILIDADES
ASOCIADAS A FRAUDE ELECTRNICO
El anlisis de riesgo permite identificar que sistemas son de mayor

riesgo, es decir alta probabilidad a propiciar un fraude.
Conlleva a determinar donde se deben enfocar los esfuerzos e

inversiones para mantener la seguridad y prevenir fraudes.
Indica la frecuencia de la revisiones que se deben realizar.

Page 43
PREPARACIN DE INFORMES Y MATRICES
Sistema 1 RxI
Factor Riesgo Importancia Total
Objetivo: El sistema se utiliza para Alto (3) Muy importante (3) 9
registrar transacciones
Documentacin: Existe Bajo (1) Muy importante (3) 3
documentacin y manuales del sistema
TOTAL 12
Sistema 2 RxI
Factor Riesgo Importancia Total
Objetivo: Medio (2) Importante (3) 6
Documentacin: Bajo (1) Muy importante (3) 3
TOTAL 9

Page 44
PREPARACIN DE INFORMES Y MATRICES
Tabla de Evaluacin de Fraudes Electrnicos - Riesgos y Controles
Sistema Personal con acceso Historial de eventos Controles
Riesgos/
Nivel de Riesgo Tipo de control Efectividad del control Recomendaciones
Nombre Valor Usuario Perfil Cantidad Descripcin Fraudes Detalle/Objetivo
Alto Medio Bajo Automtico Manual Alta Media Baja
Page 45
CONCLUSIONES

CONCLUSIONES
Consideraciones para la prevencin, anlisis y
deteccin de fraude electrnico
Un anlisis de riesgos es necesario para saber que sistemas son ms

susceptibles al fraude.
Toda empresa debe mantener y propiciar un ambiente de control
interno adecuado para ayudar a prevenir el fraude.
Se requiere de una metodologa y pasos definidos para aplicar tcnicas y
herramientas de prevencin y deteccin de fraude de manera correcta.
La empresa debe apoyarse en personal especializado para investigar
situaciones donde se ha suscitado un fraude o crimen informtico.
Debe poder identificar responsables e implementar medidas que ayuden
a evitar reincidencia de este tipo de eventos.
Pgina 47
GRACIAS
CONSIDERACIONES PARA LA PREVENCIN, ANLISIS Y
DETECCIN DE FRAUDE ELECTRNICO
XV CONGRESO LATINOAMERICANO DE AUDITORA INTERNA Y EVALUACIN DE
RIESGOS
Julio R. Jolly Moore, CGEIT, CFE, Internal Audit Quality Assessment
Socio de BDO Consulting
BDO Panam
jjolly@bdo.com.pa

JULIO - JOLLY-El Fraude Electrónico

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

JULIO - JOLLY-El Fraude Electrónico

Diunggah oleh

Hak Cipta:

Format Tersedia

CONSIDERACIONES PARA LA PREVENCIN,

ANLISIS Y DETECCIN DE FRAUDE

Julio R. Jolly Moore, CFE, CGEIT, Internal Audit Quality Assessment

Cualquier actividad por la cual un ser humano toma acciones mediante

Segn las Normas Internacionales para el Ejercicio Profesional de la

Fuente: Privacy Rights Clearinghouse, CSOonline reports.

En enero del 2009 Heartland Payment Systems

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Tipo de Crimen 2005 2006 2007 2008

FUENTE: CSI / Computer Crime & Security Survey 2008

Apropiacin indebida $ 150.000,00

$- $ 1.000.000,00 $ 2.000.000,00 $ 3.000.000,00 $ 4.000.000,00 $ 5.000.000,00

Fuente: ACFE Association of Certified Fraud Examiners www.acfe.org

Fuente: ACFE Association of Certified Fraud Examiners www.acfe.org

Consideraciones para la prevencin, anlisis y deteccin

Incorporacin del factor humano: CAPACIDAD

Los fraudes pueden ser categorizados en tres grandes tipos:

Consideraciones para la prevencin, anlisis y deteccin

NORMA 2210.A2 OBJETIVOS DEL TRABAJO

Consideraciones para la prevencin, anlisis y deteccin

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Tcnicas principales para la prevencin e

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Sistemas de deteccin de intrusos o IDS (Intrusion

Detectar escaneo maliciosos o no autorizados y alertar a la

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Consideraciones para la prevencin, anlisis y deteccin

FastBlock (una herramienta de hardware para prevenir la

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

GetDataBack, Herramienta para recuperar informacin

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Consideraciones para la prevencin, anlisis y deteccin

Obtener un entendimiento del entorno donde ocurri el incidente

Revisar informacin histrica de la organizacin.

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Consideraciones para la prevencin, anlisis y deteccin

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Definicin del alcance (Qu sucedi?)

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Tomar acciones correctivas de ser necesario (cerrar

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

La administracin de la cadena y custodia de la evidencia

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Consideraciones para la prevencin, anlisis y deteccin

Identificar por lo menos lo siguientes puntos para evaluar

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Consideraciones para la prevencin, anlisis y deteccin

Debe considerar por lo menos:

Factores de riesgo (como por ejemplo, propsito del sistema,

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

El anlisis de riesgo permite identificar que sistemas son de mayor

Conlleva a determinar donde se deben enfocar los esfuerzos e

Indica la frecuencia de la revisiones que se deben realizar.

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Consideraciones para la prevencin, anlisis y deteccin

Un anlisis de riesgos es necesario para saber que sistemas son ms

Anda mungkin juga menyukai