www.infosol.com.mx FRAUDE: MÁS CERCA DE LO QUE USTED CREE No habrá empresa en el mundo que no experimente algún tipo de fraude; el cual es un problema global, incluyendo a México. Tan solo en el 2011, el 77% de las compañías fueron víctimas de algún tipo de fraude, según el estudio de Fraude de KPMG. Para las empresas grandes, no es solamente si la compañía ha sido víctima de un fraude, sino más bien de cuánto fue, con qué frecuencia y –para algunas organizaciones desprevenidas– que tan notorio. La razón es que pocas veces existe una clara correlación entre el fraude y el impacto que tuvo en la organización. Supongamos que el gerente de un banco ha defraudado millones de dólares a su organización durante varios años. Las pérdidas financieras atribuibles directamente a ese fraude, por supuesto, serán significativas. Sin embargo, típicamente, el impacto está acotado a esa pérdida y, aunque es probable que haya consultas legales, investigaciones internas, revisión de políticas y procedimientos y más, el daño es para los resultados financieros de la compañía. Sin embargo, las organizaciones que son atacadas desde el exterior no serán tan afortunadas porque el impacto de un incidente de “hacking” podría ser catastrófico. Más allá de las pérdidas financieras, es muy probable que las empresas enfrentaran sanciones regulatorias así como acciones legales. Difícil de cuantificar también es el daño ocasionado por la pérdida de confianza por parte de los inversionistas y clientes, o el robo de información competitiva importante. Si hablamos de un costo desproporcionado, el notorio caso de Heartland Payment Systems, reconocido como uno de los más significativos hackeos de datos que se haya registrado, es un buen ejemplo. A finales de 2008, los equipos que procesaban más de 100 millones de transacciones de tarjetas de pago (de 175,000 comerciantes) fueron hackeadas mensualmente. Cuando Heartland se dio cuenta de esta violación a su seguridad, la empresa estaba obligada por ley a notificar a los consumidores y comerciantes, así como dar a conocer los detalles de la violación de seguridad al público en general. A pesar de que los datos de los propietarios de las tarjetas se vieron poco afectados, la compañía incurrió en sustanciales costos de litigio. Como resultado, Heartland reportó en noviembre de 2009 perdidas por $13.6 millones de dólares en sus operaciones del tercer trimestre. Es más, algunas situaciones legales recién se han solucionado, poniendo de nuevo a Heartland en los titulares: la empresa invirtió $1.5 millones de dólares para localizar 11 reclamaciones válidas a fin de pagar una suma de 175 dólares por cada una. Cuando se tiene un incidente potencial de hacking, este podría afectar indirectamente a los clientes y no existe requisito legal de informarla. Sin embargo, las organizaciones se enfrentan a una difícil decisión de notificar a los clientes o quedarse callados, con la esperanza que no se haga publica la situación; como lo fue el caso de Symantec, proveedor de software de seguridad. Hace algunos años, la compañía fue hackeada y el código fuente de algunos de sus programas emblemáticos de seguridad fue robado. Recientemente, cuando los hackers amenazaron con liberar el código fuente, Symantec tuvo que dar marcha atrás a sus declaraciones del pasado y admitir la magnitud de esta violación a su seguridad. A ninguna empresa le gustaría estar en esta posición, pero a veces es menos perjudicial para las organizaciones hacer público el fraude. Dado que la ética en los negocios se encuentra cada vez más bajo la lupa, las organizaciones podrían verse boicoteadas por los clientes si consideran que su confianza ha sido defraudada. Tan serias como pueden ser las violaciones externas a la seguridad, el mayor riesgo fraudulento, Soluciones Integrales en Comunicación Tel.: 5560 1000; Fax: 5560 1064 www.infosol.com.mx estadísticamente hablando, se puede originar internamente en la empresa. Tal fue el caso de Enron, donde un fraude contable perpetrado por los ejecutivos llevo a la empresa a la quiebra, así como la disolución de Arthur Andersen, empresa de servicios contables. El triángulo del fraude sigue siendo una herramienta conceptual muy útil para evaluar y prevenir la ocurrencia de un fraude interno. Los tres elementos clave del triangulo del fraude son la oportunidad, motivación y racionalización. Por lo general, cuando los tres se unen, es muy probable que el fraude se lleve a cabo. La oportunidad de cometer un fraude puede ocurrir cuando los empleados tienen niveles preferenciales de acceso o entienden cómo aprovechar las lagunas existentes en el sistema sin ser descubiertos. La motivación para el fraude podría ser una necesidad económica, el aumento de las deudas o pura codicia. Y, por último, la racionalización implica a los aspirantes a estafadores a conciliar su comportamiento con las nociones comúnmente aceptadas de la confianza y las buenas costumbres: se devolverá el dinero, se lo debían, nadie se dará cuenta del faltante y así sucesivamente. Para las empresas que desean protegerse del fraude, el más empíricamente accesible de estos factores es la oportunidad, porque es donde se pueden implantar sistemas y controles. En términos generales, los controles deben ser informados a los empleados: esto fija limites, incluso si el control aún no esta implementado. En algunos casos, los controles deben ser evaluados cuidadosamente para que las empresas no infrinjan alguna legislación de vigilancia laboral, la cual protege a los empleados de una impropia. La recopilación de los registros de actividad –hasta el mínimo detalle de las aplicaciones financieras– es un proceso muy valioso. Las tecnologías de seguridad de la información y gestión de eventos (SIEM, por sus siglas en inglés) que buscan patrones de actividad o ataques particulares dentro o fuera de la red empresarial, son controles importantes. Así también es la autenticación multifactorial de las organizaciones, ya que son capaces de verificar quién está accediendo a una aplicación o a una base de datos en particular, y, la segregación de la red, se configura para reducir los potenciales accesos individuales no autorizados a partes de la misma. El objetivo es tener la capacidad de identificar a las personas, verificar sus identidades, seguir sus actividades a través de la red e inclusive el nivel de actividad en la propia aplicación. Además, existen muchas funciones de control de fraude que se pueden incorporar, como el requerimiento de múltiples autorizaciones para aprobar la creación de una cuenta o un determinado pago. Si bien los controles seguridad de las TI son cruciales, el ingenio cada vez mayor de los estafadores se traduce en que ningún control es 100% a prueba de fraudes. Por otro lado, tratar a los empleados con respeto y renumerarlos adecuadamente puede reducir la motivación y la racionalización para cometer un fraude, pero no lo erradica por completo. En resumen, la seguridad requiere de un enfoque holístico. Las organizaciones tienen que volver a lo básico, entender cada uno de los riesgos que enfrenta cada área del negocio, que aplicaciones podrían ser el objetivo para un fraude, cuáles son las vulnerabilidades y que gente, procesos y controles automatizados se deben implantar. El siguiente paso es el asegurar que hay una función de auditoría adecuada que asegura que los controles estén en su lugar y funcionando según lo previsto. También debe existir alguna forma de análisis automatizado que busca las actividades inapropiadas y se hacen notorias para una mayor investigación. Dado que el fraude aparece de diferentes maneras, como parte de una sociedad, las empresas grandes en general tienen más temor del impacto de las amenazas externas que de las internas. Con los casi 25 años del Internet, el hackeo sigue siendo un vector de ataque relativamente nuevo. Con el ímpetu de tener todo en línea, el fraude externo se convierte en algo difícil de controlar –de hecho, rara vez se le ve venir–. Por otro lado, el fraude interno es tan antiguo como el arte de hacer negocios. Por otra parte, la seguridad es un objetivo de lento movimiento y más fácil de comprender, pero eso no significa que no pueda tener un gran impacto. Así que, si bien es vital para las organizaciones asegurarse de que sus activos estén debidamente protegidos de las consecuencias potencialmente devastadoras de un ataque Soluciones Integrales en Comunicación Tel.: 5560 1000; Fax: 5560 1064 www.infosol.com.mx exterior, es fundamental que no se pase por alto los factores de riesgo que podrían estar al acecho muy cercanos a casa. Por: Neil Campbell, director de Soluciones de Dimension Data Australia. Armando González, business development manager de Dimension Data México. ### Acerca de Dimension Data Dimensión Data plc, especialista en servicios de TI y proveedor de soluciones, ayuda a sus clientes a planear, construir, apoyar y gestionar sus infraestructuras de TI y de red. Dimension Data aplica su experiencia en la creación de redes, seguridad, entornos operativos, almacenamiento y tecnologías de centros de contacto y sus habilidades únicas en consultoría, integración y servicios de administración para crear servicios de atención al cliente personalizada. Para mayor información visite: www.dimensiondata.com. Participa también en nuestro blog: http://www.dimensiondata.mx/blog/ ---Contacto: InfoSol [email protected] Tel: 5560 1000 Soluciones Integrales en Comunicación Tel.: 5560 1000; Fax: 5560 1064