riesgos de fraude, y su gestión empresarial · 2020. 8. 27. · riesgos de fraude, y su gestión...
TRANSCRIPT
Riesgos de fraude, y su gestión empresarialINCP
Colombia
19 de agosto de 2020
Página 2
Este documento contiene material, ideas y conceptos que
son propiedad de Ernst & Young. El contenido de este
documento no debe ser reproducido total o parcialmente
por ningún medio, ni distribuido a nadie externo del
Colegio de Contadores de Culiacán o ajeno al proceso de
solicitud de información sin el consentimiento previo y por
escrito de Ernst & Young (EY)
Información Confidencial
Página 3
Agenda
2 Clasificación
1 Introducción- Riesgos de fraude
¿Y qué debemos hacer?- Programas de prevención- Programas de detección - FDA- Programas de investigación - EDR
Respuesta al Cibercrimen4
3
Página 4
1. Introducción
Página 5
1. IntroducciónDefinición del fraude
Un fraude es un delito destinado a obtener un beneficio económico propio mediante vías ilegales a pesar del perjuicio de otros. Los fraudes financieros se dan en un entorno profesional y económico.
No se realiza el uso de la violencia, pero si se ocasionan pérdidas económicas a empresas, compañías, inversores y empleados.
Página 6
1. IntroducciónRiesgos de fraude
Fuente: Reporte a las Naciones 2016 y Encuesta Global de Fraude 2018
Según el tamaño de la organización, los riesgos de fraude tienden a ser distintos. La corrupción es más prevalente en organizaciones grandes, mientras que la falsificación de cheques, el robo de activos antes de su registro contable, el fraude en nómina y el robo de dinero en efectivo después de su registro contable, son esquemas dos veces más comunes en organizaciones pequeñas que en grandes.
•Establecer controles antifraude puede ayudar tanto a mitigar pérdidas como a disuadir a defraudadores.
•Establecer controles específicamente diseñados para prevenir y detectar fraudes, es una parte vital del programa de administración de riesgos de fraude.
Página 7
2. Clasificación
Página 8
2. ClasificaciónÁrbol de fraude
• Al analizar los casos de fraude, varios patrones se observan en la forma en que se cometen los ilícitos.
• Casi todos los esquemas de fraude ocupacional caen en categorías específicas, las cuales atacan diferentes funciones y operaciones dentro de la organización.
• Con base en estas categorías, la ACFE (Asociación de Examinadores de Riesgo Certificados, por sus siglas en inglés) generó un sistema completo para clasificar los esquemas de fraude ocupacional, a fin de ayudar a las organizaciones a entender sus riesgos de fraude y, consecuentemente, a generar controles antifraude específicos.
Página 9
2. ClasificaciónFraude ocupacional
Malversación de activos► Irregularidades que involucran efectivo
► “Skimming” – remoción de efectivo antes de que sea ingresado a la contabilidad► Robo► Erogaciones irregulares (reembolso de gastos, nomina fantasma)
► Fraudes en cuentas por cobrar► “Lapping”► Cuentas por cobrar ficticias (para ocultar ventas ficticias)► Descuentos y devoluciones inexistentes que resultan en una cuenta incobrable
► Irregularidades relacionadas con inventarios► Uso personal de activos de la empresa► Robo de inventario► Robo de mermas
Los fraudes internos normalmente caen dentro de tres categorías. La primera es:
Página 10
2. ClasificaciónEstados financieros
La segunda categoría de los fraudes internos es:
► Manipulación de estados financieros► Sobreestimación de activos
► Ventas ficticias o aceleración de una venta que no ha ocurrido(consignación)
► Subestimación de pasivos
► Deudas o prestamos ocultos
Estos fraudes normalmente derivan de dos razones principales:► Incrementar la aparente prosperidad del negocio► Cumplir con objetivos de desempeño o metas trazadas
Página 11
2. ClasificaciónCorrupción/Colusión
► La tercera categoría de los fraudes internos es:
► Corrupción / Colusión► Sobornos, regalos, pagos ilegales
► Normalmente los métodos para realizar un pago ilegal incluyen lossiguientes:
- Regalos, viajes y entretenimiento
- Efectivo
- Cheques y otros instrumentos financieros
- Intereses ocultos (“shell company”)
- Ventas ficticias o aceleración de una venta que no haocurrido (consignación)
Página 12
2. ClasificaciónOtras operaciones financieras fraudulentas
► Los fraudes externos normalmente incluyen:
► Fraudes que involucran a proveedores:► Arreglos irregulares en licitaciones (rotación de ofertas, omisión de ofertas u ofertas
complementarias – aquellas que son demasiado altas como para ser consideradas)
► Sobrefacturación – el proveedor factura ya sea precios superiores al contrato ofactura por servicios o bienes no proporcionados esperando que el cliente no sepercate
► Proveedores fantasmas – envío masivo de facturas esperando que algunas se paguen(tóner para impresora o algún servicio)
► Colusión entre proveedor y empleado – el peor de los escenarios y el más difícil decomprobar en una investigación de fraude.
► Sobornos
► Fraudes con cheques.
► Fraudes a las empresas financieras y de seguros:
► Prestamos a empresas inexistentes.
► Reclamos por perdidas inexistentes.
Página 13
3. ¿Y qué debemos hacer?
Página 14
Exposición a nuevos riesgos de fraude y corrupciónAntecedentes
❑ Estamos en medio de la transformación más rápida que la economía mundial ha
experimentado.
❑ La pandemia del coronavirus (COVID-19) ha hecho que miles de millones de personas
no puedan trabajar y tengan que quedarse en casa.
❑ Millones de personas se enfrentan al desempleo, y los gobiernos trabajan día y noche
para proporcionar apoyo financiero y médico.
❑ También es un momento increíblemente difícil para el funcionamiento de las
organizaciones.
❑ En este contexto, las empresas deben resistir la tentación de sacrificar sus controles,
sistemas, gobierno corporativo y cultura apropiada para ajustarse a las nuevas
realidades de COVID-19.
❑ La pandemia ha comprometido potencialmente la capacidad de llevar a cabo una
vigilancia, supervisión y control del cumplimiento efectivo, creando una apertura para el
comportamiento criminal y poco ético.
❑ El peligro es que las múltiples capas de los procesos de gobernanza, los controles
anteriormente eficaces y la supervisión de la conducta de los empleados y la dirección
se relajen – posiblemente en nombre de la continuidad de la empresa. Al mismo tiempo,
la cultura de integridad más amplia de la organización se ve amenazada – el fin se
utiliza para justificar los medios.
Página 15
❑ Los factores de riesgo de fraude aumentan en tiempos de crisis porque las empresas y
los individuos se enfrentan: Todo fraude requiere que estos tres elementos –
oportunidad, presión y racionalización – estén presentes (conocido como el Triángulo del
Fraude). COVID-19 ofrece los tres y más.
i. A más presiones financieras: Problemas financieros (de índole persona o
profesional) que el defraudador no es capaz de resolver por medios legítimos.
ii. La oportunidad de cometer fraude aumenta si los controles internos clave se
debilitan: Método por el cual se cometerá un delito de cuello blanco. El defraudador
debe ver alguna forma por la cual puede usar (abusar) su posición de confianza
para resolver sus problemas financieros con una baja probabilidad de riesgos de
ser descubierto.
iii. A las personas les resulta más fácil racionalizar sus acciones. Normalmente es la
primera vez que los defraudadores cometen el delito: es decir no tienen un pasado
delictivo - se ven como personas normales, honestas, a las que se les han
sobrevenido una serie de situaciones. Por lo tanto deben justificar sus actos de
forma que sean aceptables, justificables: “me lo deben”, “me lo merezco”; “es
porque mi familia lo necesita”; “no me pagan lo suficiente”
Exposición a nuevos riesgos de fraude y corrupciónAntecedentes (Cont.)
Página 16
Seis preguntas clave
► Las Compañías, a través de sus programas de Ética y Cumplimiento,
deben contestarse las siguientes preguntas clave:
► ¿Cuáles son nuestros riesgos más significativos en ética y cumplimiento?
► ¿Quién es la persona adecuada para administrarlos?
► ¿Qué están hacienda al respecto?
► ¿Está funcionando?
► ¿Cómo sabemos?
► ¿Tenemos políticas y prácticas adecuadas de datos y registros?
Página 17
Gestión del ciclo de vida del Programa de Ética y Cumplimiento Corporativo
Actualizar la estructura del Programa de Ética y Cumplimiento para reflejar cambios en los riesgos y regulación, dentro de la organización, estrategia, estructura, operación y/o procesos y contexto a nivel de TI.
Revisar de forma centralizada el programa de Ética y Cumplimiento para identificar la necesidad de cambiar las estructuras de los programas de cumplimiento locales y/o ajustarlo a sus necesidades individuales.
Evaluar regularmente la efectividad del Programa de Ética y Cumplimiento. Cerrar oportunamente las brechas y reportar la efectividad a la administración local.Evaluar y mejorar la estructura del Programa para asegurar su efectividad e incrementar su eficiencia y aceptación.
Re-evaluar regularmente los Riesgos de Ética, Integridad y Cumplimiento para asegurar su apropiada cobertura, considerando cambios en los requerimientos regulatorios, hallazgos de auditorías, y casos actuales (internos y externos).
Página 18
Ante esta nueva situación: Que debemos hacer?. Modelo de Integridad EmpresarialImportancia de la integridad como diferenciador (Cont.)
¿La orientación sobre la conducta apropiada es clara, coherente y se
comunica adecuadamente?
Estan definidos ón de los roles / responsabilidades, obligaciones y
actividades de la alta gerencia para soportar y fortalecer el programa
de ética y cumplimiento
Definición de roles y responsabilidades: Alineación con la gestión de
riesgo, gobierno y cumplimiento (GRC) – Auditoría Interna, Legal,
Recursos Humanos, etc.
Se han identificado y evaluado los nuevos riesgos de Fraude y
Corrupción?
¿Estamos utilizando herramientas forenses de análisis de datos (FDA),
para que de forma remota, se analice grandes volúmenes de datos,
identificando patrones y señales de alerta de fraude?
¿Se han identificado las fuentes de información relevantes y
establecido los protocolos para la descarga y protección oportuna de la
información de la Compañía?
¿Se ha promovido el uso del canal de denuncias y se ha promovido los
programas existentes de ética e integridad empresarial de una forma
efectiva?
¿Cuenta la empresa con un plan de respuesta a incidentes de fraudes:
protocolos internos de investigación para poder concluir sobre qué,
quién, cómo, cuánto, por qué?
Página 19
Lineamientos para la gestión del programaActividades de prevención, detección y respuesta de conductas no éticas
Página 20
Evaluación del riesgo
total
Riesgo neto
Riesgo aceptable
Objetivo
Riesgos de ética y cumplimiento priorizados
Implementado
1. Roles y responsabilidades2. Lineamientos y comunicación3. Educación y asesoramiento4. Procesos y controles5. Monitoreo y reporte
Evaluación de la probabilidad e impacto (financiero y reputacional), sin considerar las medidas de mitigación existentes.
Acciones de mitigación:
+
Definición del escenario de riesgos de ética y cumplimiento
Evaluación de la efectividad de las medidas de mitigación existentes (basada en el riesgo)
Definición de futuras acciones de mitigación para reducir el riesgo a un nivel aceptable
Alcance
HochMittelGering
Niedrig
Moderat
Wesentlich
Schadenspotenzial (Auswirkung) (€)
Eintrittswahrscheinlichkeit (%)
Retos de las Unidades CumplimientoEvaluación de riesgos de ética y cumplimiento
Página 21
Manuales
Políticas
Instructivos
Código de Ética y Política de Conductas
Retos de las Unidades CumplimientoEvaluación de Manuales, Políticas, Instructivos y Protocolos
Política de Viajes
Política de ComprasProtocolo de DueDiligence para proveedores de alto riesgo
Política de Incorporación de Personal
Protocolo de Due Diligencepara Colaboradores
Política de conflicto de interés
Política de Regalos y Entretenimiento
Política de Donaciones Política Anticorrupción Política de Patrocinios
Página 22
Llevar a cabo niveles similares de diligencia no es suficiente para evaluar el riesgo de terceros
La guía emitida por el Departamento de Justicia de los EE. UU. (DOJ)* establece que realizar niveles similares de diligencia debida en toda una población de terceros es un enfoque que no invierte de manera efectiva en aquellos terceros que impliquen un riesgo más significativo.
Programas de cumplimiento de terceros basados en riesgo
El Departamento de Justicia y la Comisión de Bolsa y Valores de EE. UU. (SEC) emitieron pautas para que se otorgue crédito específicamente a las empresas que implementen programas de cumplimiento basados en el riesgo.
La diligencia debida es necesaria para relaciones comerciales de mayor riesgo
Las críticas particulares se describen históricamente en las directrices del Departamento de Justicia y la SEC relacionadas con los casos en que las transacciones de alto riesgo y de importancia económica con terceros no están sujetas a niveles apropiados de diligencia basados en el tamaño y el riesgo percibido de la transacción.
El enfoque deberá alinearse con los riesgos comerciales inherentes
El Departamento de Justicia y la SEC declararon que tienen en cuenta el nivel de grado que una empresa analiza y aborda los riesgos particulares inherentes a su negocio.
* www.justice.gov/criminal-fraud/fcpa-guidance and www.justice.gov/sites/default/files/criminal-fraud/legacy/2015/01/16/guide.pdf
Retos de las Unidades CumplimientoNecesidad de un enfoque basado en el riesgo - Business Intelligence
Hallazgos de la encuesta de FDA –Analíticos Forenses
Página 24
De acuerdo al estudio global respecto a fraude ocupacional 2018 de la Asociación de Examinadores de Fraude Certificados (ACFE) la relación existente entre el método de detección, duración y pérdidas ocasionadas por fraude, es la siguiente:
ME
DIA
DE
ME
SE
S A
LA
DE
TE
CC
IÓN
Retos de las Unidades Cumplimiento¿Qué diferencia existe contra otros métodos de detección?
Página 25
Retos de las Unidades Cumplimiento¿Porqué análisis forense de datos?
¿Qué es Análisis Forense de Datos?
Explotación de la información estructurada y
no estructurada a través de técnicas
avanzadas de análisis de datos en
combinación con experiencia en investigación
y procesos de negocio con el objetivo de
identificar tendencias, detectar
comportamientos irregulares, descubrir
evidencia relevante en caso de
investigaciones, identificar causas raíz de
error, fraude o no cumplimiento de
requerimientos regulatorios, legales o de
políticas internas.
Los analíticos conforman las bases de
herramientas de monitoreo continuo.
20%Datos
estructurados
80%Datos no
estructurados
Basada en números▪ Libro mayor▪ Transacciones▪ Bases de datos▪ ERP
Basada en texto▪ email▪ Documentos MS Office▪ Contratos▪ Contenido web
Menor
TiempoMenor
CostoMayor
Consistencia
Página 26
Retos de las Unidades Cumplimiento ¿Cómo lo hacemos en EY? - EY virtual
El modelo de monitoreo, basado en análisis forense de datos, de EY virtual permite a la organización aprovechar
información estructurada e información no estructurada existente, para tomar mejores decisiones y descubrir y
administrar los riesgos de fraude, cumplimiento y legales de manera proactiva.
Selección de muestras y/o
acciones correctivas
Monitoreo Continuo
Fuentes de datos
Plataforma de procesamiento de
Big Data
Monitoreo y
detección
Herramientas de
investigaciónReporte a la
administración
➢ Análisis sistemático de incidencias:
• Por Región
• Por 3ra partes
• Por tipo de pago
➢ Evaluación de incidencias (Violación de políticas, conflicto de interés, ABAC)
➢ Risk Scoring: Orientar revisiones a los eventos que representan mayor riesgo.
➢ Identificación de anomalías
Análisis de info.
estructurada y
análisis
estadístico
Text mining,
Procesamiento
de lenguaje
naturalT&E
Master Data
Métricas internas
Social media
Estructuradoy No
estructurado
Pagos
Finanzas
Logs de acceso
Visualization
Link Analysis
Statistical & Predictive
➢ Análisis/Seguimiento de incidencias
➢ Delegación de tareas.
➢ Automatización
Case Management
➢ Identificación de vínculos (Conflictos de interés).
➢ Patrones y tendencias
➢ Machine Learning: Diseño de modelos estadísticos/predictivos para retroalimentar la herramienta con casos previamente identificados como fraude
Página 27
Creciente preocupación por el cumplimiento con la privacidad y protección de datos
8%
10%
10%
7%
11%
10%
10%
14%
12%
17%
21%
19%
38%
40%
18%
18%
21%
25%
21%
25%
29%
29%
32%
31%
31%
35%
37%
38%
62%
60%
58%
59%
54%
51%
54%
48%
47%
44%
41%
39%
21%
17%
8%
11%
8%
7%
10%
9%
6%
8%
6%
6%
4%
6%
3%
4%
Comportamiento anticompetitivo yantimonopolio
Fraude en los estados financieros
Lavado de dinero
Litigios
Fusiones y adquisiciones
Proyectos de capital
Investigaciones internas
Soborno y corrupción
Due diligence de terceros
Fraude externo y crímenes financieros
Respuesta reglamentaria
Reglamentos específicos de la industria
Violaciones cibernéticas y amenazasinternas
Cumplimiento con la privacidad yprotección de datos
P. En los últimos dos años, ¿cuánto ha cambiado el nivel de preocupación en su organización respecto a cada área de riesgo?Base: Todos los encuestados (Global n= 745, México n=40)
Se omitieron los porcentajes de “no sé” para permitir una mejor comparación entre las respuestas proporcionadas.
20%
40%
35%
23%
30%
35%
30%
33%
18%
45%
28%
30%
53%
48%
20%
13%
35%
28%
20%
40%
25%
18%
25%
25%
40%
45%
25%
38%
50%
43%
25%
38%
35%
18%
35%
38%
38%
28%
20%
20%
18%
13%
10%
5%
5%
13%
15%
5%
10%
13%
15%
3%
13%
5%
5%
3%
Aumentó significativamente Aumentó ligeramente No cambió Se redujo
► Global ► LATAM
Encuesta Global del Análisis Forense de Datos de FIDS de EY 2018
1
2
3
3
4
4
5
Página 28
17%
16%
18%
21%
19%
21%
19%
19%
28%
25%
24%
27%
35%
31%
34%
40%
39%
38%
40%
42%
47%
47%
41%
47%
49%
49%
42%
50%
25%
19%
16%
19%
19%
15%
16%
17%
17%
16%
13%
10%
11%
11%
24%
25%
27%
22%
22%
22%
18%
17%
14%
12%
14%
14%
11%
7%
Comportamiento anticompetitivo yantimonopolios (Base: 192)
Litigios (Base: 239)
Fusiones y adquisiciones (Base: 233)
Proyectos de capital (Base: 266)
Due diligence de terceros (Base: 327)
Reglamentos específicos de la industria(Base: 400)
Respuesta reglamentaria (Base: 393)
Fraude externo y crímenes financieros (Base:363)
Soborno y corrupción (Base: 325)
Violaciones cibernéticas y amenazas internas(Base: 558)
Cumplimiento con la privacidad y protecciónde datos (Base: 582)
Lavado de dinero (Base: 229)
Fraude en los estados financieros (Base:210)
Investigaciones internas (Base: 287)
P. ¿En cuál de las siguientes áreas de riesgo utiliza el análisis forense de datos y qué tan efectivos han sido sus esfuerzos? Base: Los encuestados que reportaron un mayor nivel de riesgo
31%
35%
35%
37%
29%
33%
41%
29%
50%
52%
44%
36%
62%
41%
50%
45%
40%
43%
41%
30%
52%
39%
40%
26%
35%
57%
19%
27%
6%
15%
10%
17%
24%
27%
4%
21%
5%
16%
12%
4%
19%
18%
13%
5%
15%
3%
6%
10%
4%
11%
5%
6%
9%
4%
0%
14%
Muy efectivo Poco efectivo Nada efectivo No usa FDA
► Global ► LATAM
El análisis forense de datos (FDA) está asumiendo un papel clave en la administración de riesgos
(Base: 22)
(Base: 21)
(Base: 28)
(Base: 34)
(Base: 31)
(Base: 20)
(Base: 28)
(Base: 27)
(Base: 30)
(Base: 17)
(Base: 30)
(Base: 20)
(Base: 20)
(Base: 16)
Encuesta Global del Análisis Forense de Datos de FIDS de EY 2018
1
2
3
4
5
5
Página 29
Amplia inclusión de fuentes de datos
► Con la creciente adopción de tecnologías avanzadas de análisis forense de datos, las compañías
están utilizando más fuentes de datos estructuradas y no estructuradas que hace dos años.
► Las compañías mexicanas están utilizando estas fuentes de datos, en particular las no
estructuradas, a una escala mucho mayor.
73%
75%
78%
80%
88%
68%
90%
93%
98%
54%
62%
63%
71%
72%
76%
77%
78%
93%
Bases de datos de licitaciones ocontratos
Sistemas de rastreo de inventarios
Administración de relaciones conclientes
Cumplimiento de pedidos y ventas
Tiempos y gastos
Reporte de crédito o sanciones,verificación de antecedentes…
Base de datos maestra deproveedores
Información de acceso o bitácorasde acceso a la red
Contabilidad financiera
Global Mexico
Fuentes de datos estructuradas Fuentes de datos no estructuradas
73%
68%
80%
70%
63%
85%
93%
95%
41%
47%
49%
52%
54%
59%
70%
75%
Teléfono móvil o "trae tu propiodispositivo"
Redes sociales
Llamadas con clientes o notas dereuniones
Suministro de noticias o fuentesde datos externas
Descripciones de texto libre de lospagos en los datos contables
Registros de la línea directa dedenuncias
Comunicación electrónica
Sistemas de red o información delservidor
Global México
P. ¿Qué fuentes de datos utiliza su organización para analizar las áreas de riesgo que tienen un impacto en ella? Base: Todos los encuestados (Global n= 745, México n=40)
Encuesta Global del Análisis Forense de Datos de FIDS de EY 2018
Página 30
Retos de las Unidades CumplimientoDescubrimiento electrónico
La metodología de EY para los servicios de eDiscovery se basa en el modelo de referencia de descubrimiento electrónico (EDRM). Este modelo describe las etapas para la identificación, recolección, procesamiento y presentación de datos electrónicos durante un proceso de eDiscovery.
Producción
Análisis
Procesamiento
Revisión PresentaciónIdentificación
Preservación
Colección
Volumen Relevancia
Admin. de la Información
Página 31
4. Respuesta al Ciber
Página 32
Situación actual
Riesgos
Fraudes internos o externos
Malversación de activos
Cibercrimen
Corrupción pública y privada
Alteración en el flujo de aprobaciones
Aprobaciones (descuentos, pagos, términos) que no cumplen con las políticas.Creación de nuevos clientes y proveedores sin cumplir la debida diligencia
Alteración de los datos del beneficiario en el proceso de pago
Incremento de líneas de crédito de clientes con deudas
Suplantación de identidad
Situaciones observadas
Acceso, Exfiltración y exposición a información confidencial y/o sensible
Secuestro de información a través de cifrado (Ransomware)
Afectación a la integridad y disponibilidad de información
Presión por asegurar la continuidad del negocio,Movilidad,Manejo de información fuera de oficina
Flexibilización de controles,Accesos remotos,Uso de canales no
convencionales
Página 33
Respuesta al Ciber
29%
71%
NO
SI
¿Comprenden los miembros de la junta directiva, la exposición al riesgo de ciberseguridad de la organización en términos de valor en dólares?
Fuente: Encuesta a los participantes durante la transmisión por Internet de EY Better Questions for Boards, Cómo mejorar la supervisión del riesgo de ciberseguridad, junio de 2019.
Riesgo = Amenaza x Vulnerabilidad x Impacto
CxOs están buscando mediciones financieras para tomar decisiones directivas
mas informadas en torno a la tolerancia al riesgo.
(Que puede fallar siocurre un incidente)
(Que tan susceptible es la organización a ser atacada?)
(El potencial efectofinanciero, operacional,
legal, o regulatorio)
Página 34
¿Cómo afectan las ciberamenzas la evaluación de riesgos de las organizaciones?
29%
71%
NO
SI
¿Comprenden los miembros de la junta directiva, la exposición al riesgo de ciberseguridad de la organización en términos de valor en dólares?
Fuente: Encuesta a los participantes durante la transmisión por Internet de EY Better Questions for Boards, Cómo mejorar la supervisión del riesgo de ciberseguridad, junio de 2019.
Riesgo = Amenaza x Vulnerabilidad x Impacto
CxOs están buscando mediciones financieras para tomar decisiones directivas
mas informadas en torno a la tolerancia al riesgo.
(Que puede fallar siocurre un incidente)
(Que tan susceptible es la organización a ser atacada?)
(El potencial efectofinanciero, operacional,
legal, o regulatorio)
Página 35
¿Cómo afectan las ciberamenzas la evaluación de riesgos de las organizaciones?
Ingeniería Social: El inicio de muchas campañas y ataques
1
Uso de ingeniería social para que las personas hagan actividades específicas (clics, dar información, forward).
Suplantación de identidad para remitir información en un correo electrónico.
Envío de emails y documentos que contienen enlaces a una página de inicio de sesión de correo electrónico falsa o descargan o activan procesos.
Phishing, sitios web falsos y correos electrónicos
2
Más del 80% de los ciberataquesexitosos atacan al eslabón más débil: Factor Humano
Aprovechamiento del interés de las personas en la epidemia mundial para llevar a cabo actividades maliciosas a través de campañas de spam relacionadas con el brote de COVID-19.
• Spearphishing
• SMS phishing
• Phishing de credenciales
• Phishing para malware
Extorsión, robo de información y daño a la marca
3
Puede dirigirse a organizaciones que perciben estar bajo presión relacionada con la pandemia.
Acciones o declaraciones consideradas inapropiadas como un posible desencadenante de "hacktivismo" y amenazas internas.
Interrupción de operaciones
4
Ransomware para cifrar el disco duro de una computadora y permitir a los atacantes extorsionarlos pagos a cambio de desbloquear la computadora.
Los atacantes elaboran emails que persuade a la víctima para abrir un archivo adjunto o descargue un archivo malicioso de una página web. El malware se activa al abrir el adjunto.
TrickBotEmotetMazeRyukDoppelPaymer
Infraestructura de la “Nueva Normalidad”
5
Aceleración de la transformación digital, implementación rápida de nuevas redes, VPNs y herramientas de colaboración remota.
Los atacantes aprovechan del traspaso del trabajo a la casa explotando una variedad de vulnerabilidades conocidas públicamente en VPN y otras herramientas y software de trabajo remoto.
CITRIXVPN-Pulse SecureZoom- rapto de conferenciaRDP
Página 36
¿Cómo afectan las ciberamenzas la evaluación de riesgos de las organizaciones?
Monitoreo
• Visibilidad de la infraestructura tecnológica
• Plan de testeo de controles
• Monitoreo Continuo (red, usuario, Sistema)
• Seguimiento de resolución de incidentes
• Base de mejora continua
Comunicación
• Plan de comunicación y difusión
• Identificación de canales de comunicación alternos
• Establecer roles, responsabilidades y líneas de comunicación
• Campañas activas de concientización
• Incluir a varias funciones del negocio
Principios rectores ante incidentes
• Tomar decisiones informadas
• Procedimientos claros para priorizar respuesta a incidentes
• Metodología clara para recopilar, analizar y reportar hallazgos
• Ayudar a garantizar que la información sea precisa, concisa y oportuna; y
• Minimice el proceso de gobernanza y los tiempos de respuesta del proceso (por ejemplo, considere delegaciones de autoridad) de autoridad)
Equipos de respuesta
• Autoridad y capacidad para tomar decisiones de manera oportuna;
• Representantes de cada unidad de negocio afectada con conocimiento de las operaciones de la unidad de negocio; y
• Capacidad para comunicarse con los ejecutivos.
• Habilidades técnicas para detectar e identificar el incidente
Litigio
Cumplimiento
Plan de continuidad de negocio
Relaciones públicas
Reclamación de seguros
Seguridad de la información
Gestión de respuesta
Ante brechas cibernéticas
Página 37
Preguntas
Ignacio Cortes
Servicios Forenses y de Integridad
Socio Líder Regional Latam Norte
Tel. (55) 7858-7133