Este documento resume las principales amenazas de fraude en línea en el contexto del trabajo remoto y la contingencia por la pandemia de COVID-19. Identifica tres escenarios combinados que representan mayores riesgos: el home office con recursos de la empresa, el trabajo digital desde el hogar con recursos personales, y el home office prolongado en contingencia. Recomienda políticas de seguridad alineadas a este contexto, capacitación a usuarios, análisis de riesgos y revisión de planes de respuesta ante incidentes.
3. 3
CONSULTORÍA ESPECIALIZADA
PARA EL GOBIERNO DE TI Y
SEGURIDAD DE LA
INFORMACIÓN
PROTECCIÓN DE DATOS,
INVESTIGACIONES Y RIESGOS DE LA
INFORMACIÓN
SERVICIOS GESTIONADOS
PROGRAMA DE CONCIENTIZACIÓN Y
CAPACITACIÓN
CONTROL INTERNO COMO SERVICIO
GESTIÓN EN LA CONTRATACIÓN DE
SERVICIOS TECNOLÓGICOS
4. GESTION DE RIESGOS DIGITALES
EN LAS ORGANIZACIONES
PREVENCIÓN DE FRAUDES EN
LÍNEA
Fabián Descalzo – Director (fdescalzo@bdoargentina.com)
Fabián posee 30 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI,
Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e
Internacionales en compañías de diferentes áreas de negocio. Docente del módulo de Seguridad de la Información en la “Diplomatura en Gobierno y
Gestión de Servicios de IT” del ITBA; en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Argentina; del módulo Auditoría y
Control en Seguridad de la Información en la Universidad Nacional de Rio Negro. Miembro del Comité Científico del IEEE (Institute of Electrical and
Electronics Engineers), del Comité Directivo de ADACSI/ISACA. Disertante nacional e internacional y columnista especializado en áreas de Gobierno de
la Tecnología y Seguridad de la Información, Ciberseguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES
(ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter de España y MAGAZCITUM de México.
ESPECIALIDADES Y ÁREAS DE CONOCIMIENTO
Riesgo, Gobierno y Auditoría de TI
Continuidad de Negocio y Recuperación de Procesos de Servicios de TI
Análisis de riesgos de Ti y Seguridad de la Información
Cumplimiento de Marco Regulatorio (SOX, HIPAA, PCI-DSS, Data Privacy, Internal Frame)
Gobierno de Seguridad de la Información
Procesos de Servicios TI
Cibercrimen
CERTIFICACIONES - PRACTICAS NOTABLES
COBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, IRCA ISMS Auditor: Lead Auditor ISO/IEC 27001, Lead Auditor ISO/IEC
22301:2019, ITIL® version 3:2011 Information Management, ITIL® version 3:2011, Accredited Trainer (EXIN Accreditation)
6. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
ESCENARIO 1 HOME
OFFICE
Permitido pero con
recursos de la organización
(notebook, token,
aplicaciones, ofimática),
pero en un entorno
diferente al organizacional
ESCENARIO 2 DIGITAL HOME
Recursos propios del usuario (notebook, conexión a internet),
entorno familiar, interno físico del hogar, costumbres y cultura.
7. POLITICAS,
CAPACITACIÓN Y
CONCIENTIZACIÓN
GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
ESCENARIO 1 HOME
OFFICE
Permitido pero con
recursos de la organización
(notebook, token,
aplicaciones, ofimática),
pero en un entorno
diferente al organizacional
ESCENARIO 2 DIGITAL HOME
Recursos propios del usuario (notebook, conexión a internet),
entorno familiar, interno físico del hogar, costumbres y cultura.
8. POLITICAS,
CAPACITACIÓN Y
CONCIENTIZACIÓN
GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
ESCENARIO 1 HOME
OFFICE
Permitido pero con
recursos de la organización
(notebook, token,
aplicaciones, ofimática),
pero en un entorno
diferente al organizacional
ESCENARIO 2 DIGITAL HOME
Recursos propios del usuario (notebook, conexión a internet),
entorno familiar, interno físico del hogar, costumbres y cultura.
ESCENARIO 3 HOME
OFFICE EN CONTINGENCIA
Recursos propios del
usuario o de la compañía
por un tiempo prolongado,
en un entorno diferente al
organizacional y con un
entorno de seguridad
diferente
9. Identificar las
vulnerabilidades en
función de la mayor
dependencia de la
tecnología
Plantear políticas de
seguridad de la
información alineadas
a este entorno de
crisis
Realizar un anañalisis
de riesgo asociado a
esta situación, para
anticiparse a incidentes
Revisar y
adecuar/mejorar sus
planes de respuesta
ante incidentes
Clientes y Proveedores que
interactúan con la compañía
en entornos que ésta no
controla
La forma y el lugar en que
el personal desempeña sus
responsabilidades
cotidianas
Priorizar la seguridad
de sus Sistemas para
garantizar los
resultados del negocio
Revisar y
adecuar/mejorar sus
planes de contingencia
GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
10. Intentos de phishing y
malware
Acceso a la red y
autenticación
Dispositivos WiFI
Antivirus/Antimalware en PCs
Cifrado de datos
Cultura y comportamiento
Mayor coordinación entre
áreas de IT, seguridad, legales,
cumplimiento y auditoría
Métodos alternativos de
supervision y control de
riesgos
Planes de respuesta a
incidents evaluados y
adecuados al nuevo entorno
Mejora de los canales de
comunicación para informar
riesgos
Seguridad en un entorno de
bajo control
Disponibilidad de la IT y
aplicaciones críticas
Mayor soporte al usuario
GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
12. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
Baiting
Regalo por datos
Smishing
/Vishing
SMS
Llamadas/IVR
Quid Pro Quo
“Algo a cambio de
algo”
Servicio por datos
Phishing
WEBs – Dominios
eMails
Estafa de Pago
Autorizado
Depósito en cuenta
pensando que el
destinatario es
legítimo
(suplantación de
identidad)
Fraude de Cuenta Nueva
Mediante robo de identidad
o Identidad Sintética
13. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
EMAILS
COMERCIALES
MENSAJES DE
WHATSAPP
SITIOS DE
COMPRAS
ONLINE
ARCHIVOS
ADJUNTOS
LLAMADOS
TELEFÓNICOS
PROVEEDORES
CLIENTES
WIFI
HOGAREÑO
COMPUTADOR
DEL USUARIO
ENTORNO
FÍSICO
REDES
SOCIALES
14. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
16 aplicaciones
relacionadas con el
Coronavirus que ofrecen
información pero en su
lugar camuflan malware
Desde principios de
enero 2020 se
registraron más de
16.000 dominios
relacionados con el
coronavirus
Casi un 20% de los
dominios (alrededor de
3.200) fueron
clasificados como
potencialmente
peligrosos.
Fuente: Check Point + OSI Oficina de Seguridad del Internauta +
Páginas fraudulentas de
venta de material sanitario
Mil y un consejos para
“frenar” el Coronavirus
(WhatsApp)
Manda “Ayuda” al
teléfono/email XXXX (redes
sociales)
Coronaware, ransomware
con adjuntos de video o
documentos de “ayuda”
Ofertas laborales, ayuda
social o soporte técnico
fraudulento
Mapas falsos del Coronavirus
con el software malicioso
AZORult como «premio»
15. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
Visión local (del hogar)
Ser consiente que estoy
trabajando con recursos
posiblemente ajenos a la
compañía (notebook
personal, wifi hogareña,
espacio físico familiar, etc.)
con información digital y
física
Visión remota (de la
organización)
Al trabajar en casa, recordar
que la información que
utilizo habitualmente en la
oficina hoy debe estar
provista de los mismos
cuidados por parte del
usuario para no ser
divulgada o modificada
haciendo perderle
integridad
16. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
Robo de identidad, Robo económico, Perjuicio a imagen personal,
Riesgo crediticio, Complicaciones judiciales o regulatorias
ESTRATEGIAS
COMUNICACIÓN Y
AUTENTICACIÓN
SEGURA
CONCIENTIZACIÓN
A USUARIOS y
CLASIFICACIÓN DE
INFORMACIÓN
RESPUESTA A
INCIDENTES DE
SEGURIDAD DE LA
INFORMACIÓN
CONTROLES
ADICIONALES EN
CONTINGENCIA
17. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
GESTIÓN DE INCIDENTES
Planes de respuesta ante incidentes
GESTIÓN DE CONTINUIDAD
Planes de Continuidad
Ransomware y
malware
Robo de datos
personales
Robo de
información
comercial
Ataque a medios
digitales
Plan de continuidad
de negocios (BCP)
Plan de continuidad
de servicios
tecnológicos (DRP)
18. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
Política de
Seguridad en
Contingencia
Controles
técnicos
adicionales
La respuesta no es solo técnica; también
hace falta una respuesta de gestión
20. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
Explota problemas que surgen de las brechas entre los
diferentes dominios de seguridad en el entorno del ciberespacio
21. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
PROVEEDORES
CLIENTES
APLICACIONES
WEB CORPORATIVA
AUTENTICACIÓN
ACCESOS A LA
INFORMACIÓN
SEGURIDAD TÉCNICA
HOME BANKING
CORPORATIVO
WIFI HOGAREÑO
COMPUTADOR DEL
USUARIO
ENTORNO FÍSICO
HOME BANKING
PERSONAL
NAVEGACIÓN
IRRESTRICTA
ANTIVIRUS –
ANTIMALWARE
ACCESO AL SISTEMA
OPERATIVO
22. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
23. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
SALUD SERVICIOS
LEGALES
BANCOS COMPAÑÍAS
DE SEGURO
GOBIERNO
24. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
Los controles opcionales ahora son obligatorios… distintas áreas “no TI” usando tecnología deben
solicitar controles de ciberseguridad sobre sus proveedores de plataformas tecnológicas.
25. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
Los controles opcionales ahora son obligatorios… distintas áreas “no TI” usando tecnología deben
solicitar controles de ciberseguridad sobre sus proveedores de plataformas tecnológicas.
26. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
Los controles opcionales ahora son obligatorios… distintas áreas “no TI” usando tecnología deben
solicitar controles de ciberseguridad sobre sus proveedores de plataformas tecnológicas.
¿Qué tipo de datos se gestionaran a través de la aplicación? ¿La información involucra datos
sensibles de Clientes, o que puedan ser confidenciales por la naturaleza del objetivo del servicio
prestado?
¿Poseen una metodología documentada de desarrollo seguro que contemple las
recomendaciones de seguridad del TOP 10 de OWASP?
¿Se realizó un análisis de código o pentest sobre la versión de la aplicación a poner en
producción?
¿Cómo es la arquitectura del servicio? ¿Dónde se alojarán los servidores de aplicación y base de
datos? ¿Qué software de base (marca y versión) poseen?
¿Quién administrará la gestión de parches, ABM de usuarios, administración de usuarios
sensibles del sistema, asignación de seguridad a la información? ¿Poseen procedimientos
escritos para la gestión del servicio que incluya lo consultado en la pregunta anterior?
¿Quién administrará el ABM de las reglas de negocio configurables en el software?
¿Cuál es la estrategia de continuidad de servicio ante contingencia?
¿Poseen una gestión de incidentes que prevean incidentes de seguridad por intrusiones,
ransomware, virus, etc.?
¿Poseen una gestión de cambios documentadas?
¿Se prevé la encripción de datos, tanto en la base de datos como en su transmisión?
27. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
Los controles opcionales ahora son obligatorios… distintas áreas “no TI” usando tecnología deben
solicitar controles de ciberseguridad sobre sus proveedores de plataformas tecnológicas.
28. MAPA DE RIESGOS EXPANDIDO, ACCIONES
PARA EVITAR PROBLEMAS COMPLEJOS
29. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
De ser posible, utiliza los equipos de la empresa. Evitar el uso de dispositivos
personales
Evitar el almacenar los datos de la empresa en dispositivos que no sean de negocio
cuando trabaje desde casa.
No usar programas no autorizados para intercambio de información corporativa
No facilitar la notebook o celulares que utilizan para trabajar a sus hijos, para evitar
eliminación de información y transmisión no-autorizada
No conectar periféricos de dudosa calidad
Extremar aún más la precaución frente al phishing. No pinchar en enlaces que
aparecen en correos de dudosa procedencia ni descargar el contenido adjunto que
llega en dichos emails.
Acceder únicamente a sitios web que utilizan HTTPS. Son páginas que ofrecen una
conexión segura.
Asegurar que las contraseñas que protegen el acceso a tus cuentas sean robustas,
individuales y conocidas únicamente por ti. No utilices contraseñas para el acceso
laboral que sean iguales a las que usas para tus aplicaciones hogareñas
30. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
Doble factor de autenticación, cuando sea posible
Toda transmisión y conexión a sistemas de la organización, realizarlas mediante
acceso remoto a través de un canal seguro (p.e.: VPN)
Acceder a las aplicaciones y datos de la organización a través de mecanismos de
escritorio remoto, que asegure la aplicación de las políticas de seguridad de la
compañía y el uso de la información en un ambiente digital controlado.
Asegura que los equipos personales cuenten con cifrado de disco y valida los
controles de prevención de fuga de información
Asegurar la implementación de antivirus y antimalware
Concientización, concientización, concientización sobre como detectar un
phishing, correos maliciosos, etc.
Incrementar los niveles de monitoreo de eventos de seguridad. Algunos
ejemplos:
Intentos de autenticación fallidos y luego exitosos.
Acceso con un mismo usuario desde múltiples direcciones IP.
Tráfico de red sospechoso.
Conexiones desde ubicaciones anómalas (por ejemplo: países inusuales).
Aconseja evitar el uso de redes públicas o inseguras para la conexión.
31. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
Utilizar doble factor de autenticación y gestión de roles para el acceso seguro a la
información
Conexión a sistemas de la organización, realizarlas mediante acceso remoto a
través de un canal seguro (p.e.: VPN)
Acceder a las aplicaciones y datos de la organización a través de mecanismos de
escritorio remoto, que asegure la aplicación de las políticas de seguridad de la
compañía y el uso de la información en un ambiente digital controlado.
Asegurar que los equipos personales cuenten con cifrado de disco, controles de
prevención de fuga de información, antivirus y antimalware
Concientización sobre como detectar un phishing, correos maliciosos, etc.
Incrementar los niveles de monitoreo de eventos de seguridad. Algunos
ejemplos:
Intentos de autenticación fallidos y luego exitosos.
Acceso con un mismo usuario desde múltiples direcciones IP.
Tráfico de red sospechoso.
Conexiones desde ubicaciones anómalas (por ejemplo: países inusuales).
Aconseja evitar el uso de redes públicas o inseguras para la conexión.
32. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
Enfoque holístico para la gestión de riesgos de
ciberseguridad
La gestión de riesgos de ciberseguridad
no se trata sólo de tecnología.
Un enfoque holístico aborda cómo la
estrategia de ciberseguridad debe
alinearse con la estrategia de negocio.
Reconoce que las personas y la cultura
son elementos importantes del
proceso.
Reconoce que la industria objetivo es
un motor de las amenazas cibernéticas.
Entiende que la gestión del riesgo tiene
un costo y un retorno de la inversión.
34. GESTION DE RIESGOS DIGITALES EN LAS ORGANIZACIONES
Prevención de fraudes en línea
Una vez más el usuario es la cadena más débil en un
ecosistema de tecnología e información, al igual que
nuestras creencias, cultura y exceso de confianza frente a
la crisis.
No debemos prohibir, debemos enfocar nuestra visión
sobre riesgos e incidentes particulares del negocio, y
preparar al personal técnico y a los usuarios para el nuevo
mundo que nos espera luego de esta contingencia.
35. API
Aseguramiento de Procesos Informáticos
RAS | Risk Advisory Services | IT Assurance, Audit and Compliance
Pablo Silberfich
Socio
psilberfich@bdoargentina.com
Fabián Descalzo
Director
fdescalzo@bdoargentina.com