Las TIC se están utilizando como herramientas tanto para cometer como para evitar el fraude

 

Espacio tiSec analiza en profundidad el control del fraude en los nuevos escenarios tecnológicos

 

Espacio tiSec, en su ánimo de hacer más visible a los colectivos TI corporativos directamente concernidos un asunto creciente y nada trivial como es “El control de riesgos de fraude ante los nuevos escenarios”, reunió en su reciente edición en Madrid a más de 150 profesionales. Una vez más, la jornada contó con un plantel de ponentes de primera magnitud que compartieron con los asistentes su visión como especialistas de una temática que está adquiriendo la relevancia que le corresponde. Además, las tres compañías patrocinadoras (Deloitte, RSA. División de Seguridad de EMC y Trusteer, an IBM Company) expusieron su visión sobre el control de riesgos y los servicios y las herramientas que ponen a disposición de las empresas.

 

La expansión del fraude mediante las TIC es una realidad que las empresas han de tener muy en cuenta para cuadrar sus resultados y minimizar sus pérdidas y las de sus clientes. La última edición del Espacio tiSec se centró precisamente en esta problemática, que hasta no hace mucho parecía tabú. Y lo hizo con la participación de destacados especialistas, que no solamente desmenuzaron los riesgos a los que las organizaciones se enfrentan a causa del uso masivo de las TIC, sino que también expusieron cómo éstas suponen una poderosa herramienta para luchar contra este tipo de delincuencia

 

Manuel Carpio, Director de Seguridad de la Información y Prevención del Fraude de la Dirección de Servicios Corporativos de Telefónica y una de las voces más autorizadas sobre este tema en el panorama nacional, comenzó la jornada con la ponencia “La identificación de comportamientos fraudulentos y el blindaje de los procesos de negocio”, durante la cual, basándose en su amplia experiencia, hizo un exhaustivo repaso al estado del arte en el control del fraude.

 

Carpio comenzó su exposición dejando algunos conceptos muy claros: que el fraude es dinámico y corre parejo a los procesos de negocio, que las empresas en ocasiones catalogan como fraude acciones que no lo son (ineficiencias en la gestión o impago de clientes) y sobre todo, que no puede ser considerado un hecho social tolerable. “El defraudador es un delincuente y, como tal, hemos de utilizar la regla MOM (móvil, oportunidad y modus operandi) que emplean en criminalística. En el caso del fraude, el modus operandi es el uso de las TIC, el móvil es el lucro y la oportunidad se encuentra en las inconsistencias en los procesos de negocio”.

 

Manuel Carpio Cámara

 

A continuación, clasificó el fraude por su naturaleza desde un punto de vista financiero: fraude detectado, fraude evitado y fraude desconocido, dibujando con ello un complicado panorama para el sector empresarial. Y es que si con los dos primeros –que son cuantificables– se alcanzan cifras mareantes, con el tercero, del que solo se pueden tener estimaciones, se llega a números que “asustan a los consejos de dirección”. Tanto es así que el fraude en las empresas de telecomunicaciones suele oscilar entre el 2% y el 3% de su facturación, según la encuesta mundial CFCA 2013.

 

Una vez expuesta esta problemática, Carpio llegó a la conclusión de que “las herramientas de prevención de fraude son las que tienen un mayor retorno de inversión en la empresa”, y analizó cuál es la mecánica que ha venido llevándose a cabo y cuál es el camino más adecuado que hay que tomar para lograr una mayor eficiencia.

 

Dado que la mecánica tradicional recorre buena parte de los departamentos de una compañía, perdiendo un tiempo muy valioso y riqueza de la información, Carpio aboga por la creación de un equipo dedicado exclusivamente a la prevención del fraude, que tendrá, eso sí, que cumplir una serie de requisitos: independencia de los flujos de caja y servicio, visión holística (participando en toda la cadena de valor), monitorización continua, relación con las Fuerzas y Cuerpos de Seguridad del Estado y proximidad a los departamentos de legal y de seguridad de información.

 

El directivo de Telefónica también se refirió a las aplicaciones que se están utilizando para lograr este cometido: Generalistas (de datawarehouse, de control de gestión -como SAP HANA- y los SIEMs), Específicas (COTS de nicho, muy focalizadas en los procesos de negocio y desarrollos propios) y Servicios Externos (bureau de crédito, AFaaS…). Eso sí, todas ellas deben estar cubiertas con una capa de inteligencia humana. “Las herramientas ayudan, pero nada es comparable con la sagacidad de un analista”, aseguró.

 

TRES VISIONES

 

El análisis de Manuel Carpio dio paso a tres ponencias en las que se trató el acercamiento que compañías como Deloitte, RSA. División de Seguridad de EMC y Trusteer, an IBM Company tienen en lo referente a la prevención de fraude.

 

Luis Rodrgiuez Soler

 

La primera de ellas, titulada “Cybersoc: servicios orientados a la lucha contra el fraude”, corrió a cargo de Luis Rodríguez, Director E.R.S. IT – Fraude en Deloitte, quien cautivó a la audiencia con un discurso tan interesante como contundente. Para Rodríguez el fraude no es algo propio de un único sector, sino que afecta a todos, y certificó el hecho de que nunca se va a detectar todo el que hay. Por eso, apostó por hablar de un análisis integral que permita prevenir, detectar e investigar.

 

El directivo de Deloitte habló de tres niveles en la prevención. El primero de ellos, el estratégico, pasa por conocer el perímetro y protegerlo. El segundo, el operacional, es el más tradicional, ya que consiste en analizar toda la cadena de valor para detectar los eslabones débiles. El tercero, al que denomina táctico, va más allá, es decir, no sólo tiene en cuenta la información que hay en la propia organización, sino que llega hasta la existente en las fuentes abiertas.

 

Estos niveles se tienen muy en cuenta en el CyberSoc de Deloitte, cuya central está precisamente en España. “Vamos hasta el origen del daño, no sólo tomando una actitud defensiva, sino también proactiva”, explicó Rodríguez. Y añadió: “Utilizamos el CyberSoc para conocer de forma legal toda la información ajena que afecta a las contrapartes más peligrosas con las que estoy trabajando en mi empresa”.

 

Javier Jarava

 

A continuación, Javier Jarava, Consultor Tecnológico Senior de RSA, la División de Seguridad de EMC, detalló en su conferencia cuáles son las preocupaciones de las organizaciones en lo referente a fraude interno (abuso de información privilegiada y de los derechos de acceso) y externo (hackers, estados…), para dar paso al concepto en el que RSA lleva trabajando los últimos años.

 

“Consideramos que la gestión de la seguridad debe basarse en la inteligencia. En primer lugar hay que hacer un análisis del perímetro para conocer los activos y las amenazas, teniendo la certeza de que antes o después vamos a encontrarnos con algún incidente. Después, lo importante es tener capacidad de detección, así como una capa de controles eficiente”, explicó Jarava, quien también citó como “clave” la respuesta a los incidentes de fraude: “Si no tienes plan de contingencia, el remedio puede ser peor que la enfermedad. Una gestión mala puede hacer más daño que el impacto directo”. En este sentido, Jarava apuntó que la seguridad y el Big Data van unidos, pues el mercado está encaminándose hacia un equilibrio entre saber lo que ocurre y la capacidad de responder ante esto.

 

Asimismo, dio a conocer algunas de las soluciones que RSA tiene para ayudar a las empresas en este empeño: RSA Data Loss Prevention Suite (evita el abuso de la información y la fuga de la misma), RSA Aveksa (elimina privilegios excesivos, gestionando el acceso de los usuarios únicamente a lo que necesitan), RSA Archer y RSA Live (capaces de gestionar un gran volumen de información, incluyendo las amenazas externas), RSA Security Analytics (Big Data) y RSA Web Fraud Detection (detección de anomalías en el canal web).

 

David Navarro González

 

Finalmente, David Navarro, Country Sales Manager de Trusteer, an IBM Company, puso el foco en el cliente durante su intervención.

 

“Un sistema es tan seguro como el más débil de los componentes: el cliente. Así que pongamos la atención en sus dispositivos”, propuso antes de exponer tres máximas a tener en cuenta a la hora de abordar la prevención del fraude: “las vulnerabilidades existen y seguirán existiendo; el malware cada vez se adapta más y los humanos siempre cometeremos errores”.

 

Como máximo responsable de Trusteer en nuestro país, Navarro consideró que lo esencial es ir directamente a la raíz del problema, en lugar de remediarlo cuando está ocurriendo, o lo que es lo mismo, centrarse en el dispositivo del cliente (Trusteer Rapport asegura que está limpio y protegido), en el dispositivo del criminal que se hará pasar por un cliente y que en algún momento actuará de manera diferente (Pinpoint Malware Detection es capaz de detectar elementos maliciosos incluso sin necesidad de instalarlo en el dispositivo), o en los propios empleados (“queremos integrar nuestras aplicaciones con las de nuestros clientes de manera nativa”).

 

DEBATE

 

Tras finalizar las intervenciones se dio paso a un debate que se centró en aspectos como la coordinación entre los fabricantes de herramientas tecnológicas y los departamentos de detección de fraude, la ubicación de éstos en una organización, los límites legales existentes y la escasez de profesionales especializados.

 

Sobre la primera de estas cuestiones, David Navarro se mostró de acuerdo en que la prevención del fraude tiene que ser integral: “Las tecnologías pueden ayudar y nosotros aportar nuestro granito de arena de expertise, pero necesitamos más gente que venga a sumar con otras tecnologías y procesos de negocio”.

 

Por su parte, Manuel Carpio corroboró esta visión, señalando “la importancia que tienen los analistas para detectar las anomalías”. Además, respecto a la ubicación del departamento de prevención de fraude, consideró de capital importancia que fuera independiente.

 

De igual modo, Javier Jarava aseguró que “la lucha contra el fraude debe ser un esfuerzo total; que en una organización empiece desde arriba y que muestre un equilibrio entre la tecnología, los procesos y los analistas”.

 

En cuanto a los límites legales que han de tener en cuenta los encargados de luchar contra el fraude, Navarro explicó que “aunque para los del otro lado no hay límites, nosotros tenemos que regirnos por el código penal y la legislación”. Eso sí, Luis Rodríguez fue muy expeditivo al señalar que “el fraude es el cáncer de las empresas, con lo que el límite lo veo en lontananza. Las leyes son diferentes dependiendo del país y la región. Hay que respetarlas, pero recordemos que las hacen los hombres”. “Exactamente, las leyes están para cambiarse y en algunos aspectos estamos detrás de otras geografías”, añadió Navarro.

 

“Esto es una guerra. Los delincuentes son personas y la tecnología es el canal. Así que para luchar tenemos que encontrar buenos analistas”, expuso Rodríguez, quien ahondó en la falta de profesionales preparados: “Las universidades están buscando nuevos enfoques porque no cabe duda de que hay necesidad de especialistas en las empresas”.SIC

 

first
  
last
 
 
start
stop

Este sitio utiliza cookies propias y de terceros para facilitar la navegación.
Si continúa navegando consideramos que acepta su uso. Política de cookies