Este documento discute los riesgos de fraude relacionados con la tecnología y la ciberseguridad. Señala que los empleados internos representan el mayor riesgo de fraude y que las prácticas de ciberseguridad pueden mitigar este riesgo al tiempo que generan evidencias. También analiza cinco riesgos tecnológicos clave de fraude: intrusión a la infraestructura, ciberataques masivos, aumento de los costos por ciberataques, fallas en la gestión de servicios tercerizados y
Conferencia Prevención de riesgos tecnológicos en el uso de Billeteras Digitales
Ciberseguridad como respuesta al fraude
1. Comisión de Gestión de Fraude
Corporativo
01 de agosto de 2018
Ciberseguridad como respuesta al fraude
2. Perfil Director de la Comisión de Gestión del Fraude Corporativo
CEC - Modulo 9 2
FERNANDO PEYRETTI
Certificación Internacional en Ética y Compliance (CEC)
• Fernando Peyretti es gerente de la práctica de FID (Fraudes, Investigaciones y Disputas) en
BDO Argentina y Co-leader de Forensics para BDO LATAM.
• Director de la Comisión de Gestión del Fraude Corporativo de la AAEC – Asociación Argentina
de Ética y Compliance.
• Cuenta con más de catorce años de experiencia en Consultoría de Negocios, trabajando en
proyectos de: Fraudes Corporativos, Auditoría Interna y Externa, Compliance, Risk
Management, y Finanzas & Estrategia de negocios; tanto en el país como en el exterior.
• Profesor de la diplomatura en lavado de dinero y la diplomatura en implementación de
programas de integridad de la Universidad del CEMA, Profesor de Diplomado en Compliance
Latam (Thomson Reuters), Profesor de Ética y Compliance del programa MeD (Mujeres en
Decisión) de la Fundación Flor, Capacitador de jueces y fiscales en la evaluación de
programas de Compliance, Profesor de Risk & Compliance del programa DEC (Director de
empresa certificado), y Compliance Coach (Alliance for Integrity).
• Fernando es Contador Público de la Universidad de Buenos Aires, cuenta con un posgrado en
Management del IAE Business School, tiene la Certificación Internacional en Ética y
Compliance (CEC) otorgada por la AAEC, UCEMA e IFCA (International Federation Of
Compliance Associations); Es miembro de la ACFE - Association of Certified Fraud Examiners,
fue representante becado por la UBA en el programa de responsabilidad social "Amartya
Sen“, y diplomado en Prevención de Lavado de Activos y Financiamiento del Terrorismo en
UCEMA.
3. CEC - Modulo 9 3
Fabián Descalzo
ITILv3:2011, ISO27001LA, ISO20000LA, COBIT 5
Gerente de Aseguramiento de Procesos Informáticos de la practica Risk Advisory Services | IT Assurance, Audit
and Compliance en BDO Argentina. Posee 28 años de experiencia en el área de gestión e implementación de
Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y
Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio.
Docente del módulo 27001 de las Diplomaturas de “IT Governance, Uso eficiente de Frameworks” y “Gobierno y
Gestión de Servicios de TI” del Instituto Tecnológico Buenos Aires (ITBA), Docente del Módulo de Auditoría de IT
de la Diplomatura en Delitos Informáticos para EDI en la Universidad Nacional de Río Negro y Docente en
Sistemas de Gestión IT, Seguridad de la Información y Auditoría IT para TÜV Rheinland.
Miembro del Comité Directivo de ISACA Buenos Aires Chapter, Miembro del Comité Directivo del “Cyber Security
for Critical Assets LATAM” para Qatalys Global sección Infraestructura Crítica, Miembro del Comité Científico del
IEEE (Institute of Electrical and Electronics Engineers)
CERTIFICACIONES:
• COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)
• Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)
• ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)
• Dirección de seguridad de la información (Universidad CAECE)
• ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)
• ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)
• Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)
• Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)
Perfil del Disertante
4. Agenda
CEC - Modulo 9 4
• El mayor riesgo, el riesgo interno: Los empleados (de sistemas o áreas de
negocio) como principal riesgo de fraude
• Ciberseguridad: Prácticas de ciberseguridad como medida de protección y
generación de evidencias
• Paralelismo entre las prácticas de ciberseguridad y el cumplimiento legal y
regulatorio, los controles generales de TI
• Fraudes en base a cinco riesgos tecnológicos:
• Integridad y confidencialidad a información crítica por intrusión a
infraestructura.
• Ciberataques de amplio espectro, incidentes masivos de robo de
información y fraudes electrónicos.
• Aumento del costo financiero por ciberataques, explotación ilícita de
información pública y privada.
• Servicios tecnológicos tercerizados, fallas en la gestión y brechas sin control
• Avances tecnológicos adversos por errores en la implementación y gestión.
5. Introducción
CEC - Modulo 9 5
Necesito conocer más y cuanto más rápido procese lo que conozco, mejor.
Necesidad de “velocidad” con la información “ansiedad de información”
7. Introducción
CEC - Modulo 9 7
75 % de las compañías informan
que han sido víctimas de un
incidente de fraude en el último
año.
81 % de las compañías
encuestadas la mayor amenaza
de fraude proviene de sus áreas
internas
768 altos ejecutivos de todo el mundo representando una amplia gama de
industrias y funciones, cuya observación general es que el fraude sigue en
aumento
Las necesidades de cumplimiento, que conllevan un valor agregado hacia la protección de nuestro negocio,
debe permitir a una organización:
• Entender y priorizar las expectativas de los interesados
• Establecer objetivos de negocio congruentes con los valores y riesgos
• Cumplir objetivos a la vez que se optimizan los perfiles de riesgo y se protegen los valores.
• Operar dentro de los límites legales, contractuales, sociales y éticos.
• Proveer información relevante, confiable y oportuna a los participantes.
• Poner en funcionamiento un sistema de medición de desempeño y eficacia.
8. Introducción
CEC - Modulo 9 8
• Abuso de los privilegios, errores y omisiones en el uso de los sistemas de
información, que pueden derivar en incidentes de seguridad
• Ataques por vulnerabilidades en plataformas/aplicaciones, Amenazas de
malware generadas por atacantes externos
• Robo de información por atacantes internos, Ingeniería social, fraude financiero
Ingeniería
Social
Piratería
Fraude
9. Definiciones
CEC - Modulo 9 9
“Protección de activos de información, a través del tratamiento
de amenazas que ponen en riesgo la información que es
procesada, almacenada y transportada por los sistemas de
información que se encuentran interconectados”
ISACA (Information Systems Audit and Control Association)
Ciberseguridad
La gestión del riesgo del fraude debe considerarse como una función destinada a
mitigar o eliminar la exposición a dicho riesgo, por lo tanto, no se debe considerar
como una actividad independiente y sin una estrategia, donde las cuestiones
identificadas y analizadas sólo se abordan desde el punto de vista del impacto de un
posible fraude.
10. Definiciones
CEC - Modulo 9 10
Mayor capacidad de procesamiento
Mayor capacidad de almacenamiento
Mayor conectividad
Mayor movilidad
Down-size(relativo)
Menores costos (relativo)
Mayor dependencia de TI
Mayor complejidad para gestionar
Mayores amenazas y riesgos tecnológicos
11. Definiciones
CEC - Modulo 9 11
Fallas en la tecnología
Pérdidas Financieras
Incumplimiento legal,
regulatorio y
contractual
Errores Humanos
Fallas en los procesos
Alcance de los riesgos
12. Alcance de los riesgos
CEC - Modulo 9 12
Ciberataques de amplio
espectro, así como
incidentes masivos de
robo de información y
fraudes electrónicos.
Interrupción de
información crítica por
intrusión a
infraestructura
Aumento del costo
financiero por
ciberataques.
Escalada sin precedentes
de explotación ilícita de
información pública y
privada que genere
deterioro en sistemas
mundiales.
Avances tecnológicos
adversos que pueden
provocar desastres
ambientales, económicos
y humanos.
13. Alcance de los riesgos
CEC - Modulo 9 13
• Nombre, Dirección, Teléfono, email
• Datos básico personales: Útiles para spam, minería de datos, elaboración
de perfiles
Nivel
1
• Fecha de nacimiento, Nro. de HC, Nro. de seguro asistencial, Nro. de
licencia de conducir
• Datos no públicos, utilizados para cometer robos de identidad
Nivel
2
• Aseguradora/Obra Social, información de pago, tarjeta de crédito,
cuenta bancaria
• Datos para cometer fraudes financieros, estafas de facturación, robos
Nivel
3
• Grupo sanguíneo, diagnósticos, prescripciones, datos genéticos
• Datos médicos para cometer fraudes de facturación, uso indebido de
prescripciones y servicios médicos, fraude de identificación médica
Nivel
4
14. Alcance de los riesgos
CEC - Modulo 9 14
Mercado negro de la información:
Donde todo tiene un precio
15. Alcance de los riesgos
CEC - Modulo 9 15
Crisis externas. Riesgos de
ataques cibernéticos
masivos, fuera de control de
la compañía
Manejo de TI interno.
Riesgos de gestión de la
tecnología y sus servicios.
Asociaciones con
contrapartes. Riesgos de
una interconexión directa
entre ambas partes y que
compartan información.
Subcontratación de
servicios. Riesgos en la
contratación, como Recursos
Humanos, Legal o de TI
Cadenas de
suministro. Interrupciones
a servicios críticos mediante
ataques cibernéticos.
Tecnologías
disruptivas. Las nuevas
tecnologías traen consigo
nuevos riesgos aún no
conocidos
Infraestructura
ascendente.
infraestructuras informáticas
que ante cambios, crearían
riesgos ala infraestructura
informática de cualquier
organización.
16. Protegerse pensando en ciberseguridad
CEC - Modulo 9 16
Equipos de Trabajo
Seguridad de la
Información
Tecnología
Jefes de Aplicación o Líderes
Funcionales de Sistemas
Líderes de
Proyecto
Adm SO Adm BBDD Operación
Compliance
Conocedores del funcionamiento
aplicativo para responder a los
requerimientos del Negocio
Servicio consultivo y
de soporte técnico
Acompañamiento y
operación de
relevamiento y
remediación
Definiciones
de
cumplimiento
Legales
Auditorias
18. Protegerse pensando en ciberseguridad
CEC - Modulo 9 18
Modelo de
Negocio
Usuariosdel
Servicio
Patronesdeuso
Visiónyalcance Diseño de servicios de TI
Diseño y Arquitectura
Capacidady
disponibilidad
Continuidad
Seguridad
Análisisydiseño
aplicativo
NiveldeServicio
Construcción del
Servicio de TI
Montaje de
infraestructura
HDWySFWde
base
Comunicaciones
Construcción
de software
Desarrollo
Pruebas
Pensar en riesgos y ciberseguridad desde el diseño de los servicios de TI
26. ¿Debe cambiar nuestra evaluación de riesgos de fraude?
CEC - Modulo 9 26
• Cumplimiento de las obligaciones legales tal como se expresa en
las leyes y regulaciones de protección de datos, íntimamente relacionado
con el derecho de atención a la privacidad;
• Formar un sistema de gestión para asegurar la autenticidad y
auditabilidad de la información en cada proceso funcional de la asistencia
sanitaria
• Protegerlos para que no sean utilizados con otros fines diferentes para
los que fueron creados u obtenidos
• Mantener las normas y la ética profesional según lo establecido por
las organizaciones profesionales relacionadas con la salud (seguridad de
la información para la confidencialidad e integridad de la información de
salud);
• Facilitar la interoperabilidad entre los sistemas de salud en forma
segura, ya que la información fluye entre diferentes organizaciones y a
través de límites jurisdiccionales que requieren garantizar su
confidencialidad continua, integridad y disponibilidad.
28. Modelando controles y evidencias
CEC - Modulo 9 28
Limitaciones
Funcionales
Obsolescencia
Tecnológica
Análisis de
mitigantes Respaldar Registrar
Riesgos
La gestión integral del cumplimiento requiere establecer niveles de conformidad de
cumplimiento sobre normas obligatorias internas y externas, y alineación con el riesgo legal
30. Fraudes en base riesgos tecnológicos
CEC - Modulo 9 30
Banco de Chile:
Un empleado realizó durante al menos
un año transferencias no autorizadas
por valor de 475 millones de pesos
chilenos (cifra que supera los 700 mil
dólares) simulando que se trataba de
actividades laborales, mediante un
total de 35 transferencias que realizó
entre mayo de 2017 y mayo de 2018.
Sus superiores, quienes confiaban en
él, le daban acceso a una clave
electrónica que utilizó para realizar las
transferencias desde su computadora
en el Banco. Las evidencias quedaron
registradas en los sistemas.
El malware Zeus y sus derivados:
Implicó la instalación sin autorización
de un software malicioso conocido
como "Zeus" para robar números de
cuentas bancarias y contraseñas. el
FBI comenzó a investigar una versión
modificada del troyano Zeus,
conocido como GameOver Zeus
(GOZ) que fue utilizado para infectar
a más de un millón de dispositivos, lo
cual generó pérdidas por más de USD
100 millones. El virus se transmitió
por correo electrónico, descargas de
internet, etc.
Maerks:
Los funcionarios estimaban que el ataque le
costaría a la compañía cientos de millones de
dólares. El artículo 2017 leyó: "en su informe
financiero de agosto, (Maersk) confirmó que
sintió una pérdida significativa en el Q2 debido
a el ransomware. En un comunicado, dijo que
Maersk Line, APM Terminals y Damco fueron
afectados por la plaga que exigía el rescate ".
Wannacry / Ransonware:
Ataque a escala mundial que afectó a las
empresas Telefónica, Iberdrola y Gas Natural,
entre otras compañías en España, así como al
servicio de salud británico, como confirmó el
Centro Nacional de Inteligencia. La prensa
digital informaba aquel día que al menos
computadores habían sido atacados en todo el
mundo.
35. Las necesidades del Negocio son cada vez
más exigentes, y de igual forma las
tecnologías son cada vez más complejas.
El brindar soluciones que aporten mayor
velocidad de respuesta a la Organización
tiene sus “costos” asociados... y sus
riesgos.
El Negocio necesita de la Tecnología, pero
la Tecnología sin Gestión es un riesgo
directo a la Operación del Negocio… y a
sus Objetivos.
Fabián Descalzo
Conclusión II
CEC - Modulo 9 35