Riesgo Tecnolgico y Fraude en la Comunidad de los Negocios

Enero 2011

Agenda
1. Fraude:
Que es un fraude Tipos de fraude Estadsticas de fraude

2. Involucramiento de TI en la ejecucin de fraudes:

Estructura general de TI. Riesgos asociados. Estadsticas de incidentes. Algunos ejemplos. Consideraciones generales
2

3. Consecuencias del fraude:

Qu es un Fraude
Un acto intencional ejecutado con el fin de procurarse un beneficio ilcito en perjuicio y a expensas de otro. MENTIRA ARTIFICIO
FRAUDE

DOLO

FALSIFICACIN

ENGAO

ESTAFA APODERAMIENTO
3

INEXACTITUD CONCIENTE

Tipos de Fraude - Ejemplos

Apropiacin ilcita de bienes y/o datos Obtener propiedad, una ventaja financiera o cualquier otro beneficio, por engao. Ocasionar una prdida, evitar o crear una obligacin por engao. Proporcionar informacin falsa o engaosa, o no proporcionar la informacin cuando existe la obligacin de hacerlo. Preparar, utilizar o procesar documentos forjados o falsificados. Soborno, corrupcin o abuso en la oficina. Uso ilegal de computadores, vehculos, telfonos, y otra propiedad o servicios.
4

Cul es el motivo por el cual las personas cometen fraudes

PRESIONES
Financieras, personales. Objetivos corporativos no realistas, etc.

FRAUDE
OPORTUNIDAD
Controles dbiles. Posiciones de confianza. Posibilidad de impunidad. Tringulo del fraude

Racionalizacin / Justificacin
La actividad no es criminal todo el mundo lo hace esto no tiene mayor impacto en la compaa. 5

Motivos para realizar fraudes

Algunos ejemplos

PERSONALES
Solventar problemas financieros Mejorar el estilo de vida Venganza contra la compaa Ocultar actos ilegales Resolver una aparente injusticia Ambicin personal Cumplir metas para bonificaciones

CORPORATIVOS
Alcanzar o exceder metas Incrementar la popularidad o reputacin Mantener la capacidad de prstamo Ambiciones personales Manipular precio / valor de las acciones Cumplir requerimientos regulatorios
6

Encuesta Nacional de Fraude

Ernst & Young (2009) El 56% de los encuestados opina que existe riesgo de fraude en el mercado en que opera su organizacin. El 19% de las organizaciones que respondieron a la encuesta fueron defraudadas significativamente en el ultimo ao.
7

Encuesta Nacional de Fraude

Ernst & Young (2009)
Prdidas: El 48% informa que no superan los US$ 10.000. El 24% informa que est entre US$ 10.000 y 50.000

El 89% de los encuestados considera que existe la probabilidad de que ocurra un fraude en su organizacin.
8

Encuesta Nacional de Fraude

Ernst & Young (2009)
Cules son los modos utilizados para cometer fraude

Otros 7% Sobornos 16%

Sabotaje 11% Adulteracin de informacin electrnica 14% Manipulacin de estados contables 10%

Falsificacin de productos 9% Ursurpacin de identidad 7%

Robo de activos e infromacin comercial 26%

Otros datos estadsticos sobre fraudes

Cmo se detecta el fraude
Notificado por la polica
Mtodo de deteccin

3.8 12 19.2 20.2 25.4 34.2 0 5 10 15 20 25 30 35 40

Auditoria Externa Controles Internos Auditoria Interna Por accidente Denuncias

Porcentaje de los casos

Fuente: ACFE(2007)

10

Otros datos estadsticos sobre fraudes

Las Organizaciones pierden 5% de los ingresos anuales por fraude y/o abuso

Fuente: ACFE(2007)

11

2 Involucramiento de TI en la ejecucin de fraudes

12

Estadsticas de Incidentes
Tipos de ataque Prdidas
Virus Robo Notebook Abuso de red (interno) Acceso no autorizados

59%

US$ 8.391.800

52%
50%

US$ 3.881.150
US$ 1.042.700

25%
25% 12%
5%
Fuente: Computer Security Institute.2007 The 12th Annual Computer Crime and Security Survey

US$ 6.875.000
US$ 2.888.600 US$ 21.124.750

Denegacin de servicios
Fraude financiero Fraude Telecomunic. Sabotaje

US$ 651.000 US$ 1.056.000

13

4%

La Seguridad informtica se centraliza cada vez ms en el cumplimiento de objetivos de negocios.

Un 45% considera que el cumplimiento de los objetivos de negocios constituye uno de los propulsores principales para las prcticas de seguridad informtica.

14

Un Objetivo importante en la seguridad informtica consiste en mejorar la eficiencia operativa y de sistemas.

El 69% considera que la seguridad informtica es importante para mejorar la eficiencia operativa y de sistemas. En aos anteriores la mayora de los encuestados consideraban que la seguridad informtica era una barrera para tal eficiencia.
15

La privacidad y proteccin de datos aumentaron significativamente como propulsores claves de la seguridad informtica. El 58% de los encuestados calific la privacidad y la proteccin de datos entre los tres propulsores ms importantes de la seguridad informtica. Los CEOs y CIOs privilegian la proteccin de informacin relacionada con asuntos privados (El 73% de los CEOs y 64% de los CIOs)
16

Algunos ejemplos
Denegacin de servicio Dao en pgina de la empresa Violacin de correo electrnico y extorsin Transferencias irregulares a cuentas fantasmas Sustraccin de informacin y extorsin Phishing Fraude en sitio comercial
17

3 Consecuencias del Fraude

18

Consecuencias del Fraude

Uso no autorizado de recursos Prdida financiera directa o indirecta Dao de la reputacin o imagen Robo de informacin confidencial / exposicin de la informacin crtica del negocio Prdida de oportunidades de negocio Incapacidad de garantizar la continuidad y calidad del servicio
19

Consideraciones Generales
Ninguna organizacin es inmune a los fraudes

20

Consideraciones Generales
La mayora de los fraudes en las organizaciones son internos

21

Consideraciones Generales
La mayora de quienes cometen fraudes sacan ventaja de las debilidades de los controles

22

Consideraciones Generales
La cultura de los niveles superiores, se filtra a los inferiores

23

Consideraciones Generales
Se debe definir una poltica formal respecto del fraude, definiendo responsabilidades claras.

24

Consideraciones Generales
No existe un checklist ni un libro de recetas para combatir el fraude.

25

Actividad N 2: (sumativa)
Si en nuestra organizacin ocurriera un delito en las tecnologas
Hacemos cesar el delito, el dao, la dificultad, la irregularidad, el entorpecimiento, etc. Dimensin del dao? Prdidas? Qu pas?, Quin fue?, Cmo lo hizo?, Cundo?, Con qu?, En donde?, Desde donde?
26

Actividad:
Si en nuestra organizacin ocurriera un delito en las tecnologas mediante una conexin a internet
Qu paso? Quin fue? Cmo lo hizo?

Cundo?
Con qu? En dnde? Desde dnde?
27

SECUENCIA

JURISDICCIN

OBJETO DE PROCESO JUDICIAL

Individualizar e identificar la conexin Establecer ISP Efectuar denuncia judicial

1.

Establecer la materialidad del delito: Existi el hecho? Es delito?

Persecucin de los autores. Identificarlos Individualizarlos Probar la responsabilidad Aplicar Sancin Correspondiente

1.

28

Consideraciones Finales
Preferir la prevencin, antes que la solucin de un problema. Los controles son importantes pero las personas son claves. Controles internos eficaces y tecnologa apropiada (Ej. Herramientas que permitan detectar operaciones sospechosas en tiempo real). Equipos de deteccin multidiciplinarios. Metodologas y herramientas para respuestas eficientes a incidentes.
29

Preguntas

30