Tecnicas para La Prevencion Del Fraude Electronico, CLAIN 2013 - J.jolly

TCNICAS PARA LA PREVENCIN DE FRAUDE ELECTRNICO EN INSTITUCIONES FINANCIERAS
XVII CONGRESO LATINOAMERICANO DE AUDITORA INTERNA Y EVALUACIN DE RIESGOS
Julio R. Jolly Moore, CFE, CRISC, CRMA, CGEIT, Internal Audit Quality Assessment Socio BDO Consulting de BDO Panam & Osvaldo Lau C., CISA, CRISC, Internal Audit Quality Assessment Director BDO Consulting de BDO Panam
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
Agenda
1. 2. 3. 4. 5. 6. 7. Introduccin El futuro y Fraude Electrnico. Aspectos generales de fraudes electrnicos. Fraudes electrnicos ms comunes. rbol para analizar ataques. Qu se puede hacer para prevenir un fraude electrnico? Prevencin de Fraude Electrnico desde la perspectiva del Cliente y Comercio. 8. Prevencin de Fraude Electrnico desde la perspectiva del Banco. 9. Conclusiones.
Pgina 2
INTRODUCCIN
Tcnicas para la prevencin de fraude electrnico en instituciones financieras
FRAUDES BANCARIOS
Fuente: http://eleconomista.com.mx/internacional/2010/09/30/fraudes-crecen-expertos Pgina 4

Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
FRAUDES BANCARIOS
Fuente: http://www.nacion.com/2011-09-07/Economia/fraudes-electronicos-encabezan-la-lista----de--estafasbancarias.aspx Pgina 5

FRAUDES BANCARIOS
Fuente: http://eleconomista.com.mx/finanzas-personales/2011/09/19/mas-700-horas-se-invierten-revertir-roboidentidad Pgina 6

FRAUDES BANCARIOS
Prdida de ingresos online
4,5 Prdida de ingresos online 4,0 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 2000 2001 2002 2003 2004 2005 2006 2007 2008 1.5$ 1.7$ 2.1$ 1.9$ 2.6$ 2.8$ 3.0$ 3.6$ 4.0$
Fuente: http://www.mcafee.com/es/resources/reports/rp-financial-fraud-int-banking.pdf Pgina 7

FRAUDES BANCARIOS
En el 2012 se crearon ms de 27 millones de programas malignos (Malware) lo que se traduce a 74,000 cada da.
Fuente: http://www.mcafee.com/es/resources/reports/rp-financial-fraud-int-banking.pdf Pgina 8

EL FUTURO Y FRAUDE ELECTRNICO

EL FUTURO Y FRAUDE ELECTRNICO El panorama futuro del mundo tecnolgico

En el 2013, los telfonos celulares sern el dispositivo para acceso a la Internet ms comn del mundo (ms que las computadoras personales PC) [Gartner] En el 2013, el nmero de telfonos inteligentes a nivel mundial ser ms de 1.82 billones en todo el mundo. [Gartner] El 78% del trfico de datos mviles en todo el mundo se consume por los telfonos inteligentes [Royal pingdom]
Pgina 10
EL FUTURO Y FRAUDE ELECTRNICO El panorama futuro del mundo tecnolgico

Tercerizacin de servicios de tecnologa y servidores en la nube son hoy da ms comunes, lo trae nuevos riesgos e impacta la capacidad de realizar una investigacin interna durante un fraude pues la informacin se almacena en servidores virtuales fuera de sitio.
Pgina 11
EL FUTURO Y FRAUDE ELECTRNICO El panorama futuro de los servicios financieros

Wallet electrnicos. Depsitos de cheques por telfonos inteligentes. Retiros por cajeros con telfonos inteligentes.
Pgina 12
ASPECTOS GENERALES DE FRAUDES ELECTRNICOS

DEFINICIONES Qu es el fraude electrnico?

Cualquier actividad por la cual un ser humano toma acciones mediante equipos o recursos informticos para obtener una ventaja (por ejemplo, econmica) sobre otra persona o entidad por medio de falsedades, engaos u omisin de la verdad.
Pgina 14
FRAUDES ELECTRNICOS MS COMUNES

FRAUDES ELECTRNICOS MS COMUNES Tipos de fraudes ms comunes en Latinoamrica

Phishing & Pharming Fraudes relacionados con banca en lnea (Spyware, Keylogger, Screenlogger, Mouselogger, etc.) Clonacin de tarjetas de crdito/dbito Transacciones fraudulentas con Cajeros Automticos
Page 16
Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico
RBOL PARA ANALIZAR ATAQUES

RBOL PARA ANALIZAR ATAQUES Desarrollar un rbol de ataques

Un rbol de ataque ayuda a desarrollar una metodologa para analizar la seguridad de los sistemas que manejan las transacciones. Ayudan a responder a los cambios en la seguridad y los tipos de fraude.
Fuente: Retos Clave Contra el Fraude Electrnico en las Instituciones Bancarias y Financieras de Latinoamrica Frost & Sullivan
Page 18
ATAQUES
Credencial de usuario comprometida
Cuenta Bancaria Comprometida
Inyeccin de comandos
Descifrado de credencial de usuario
Uso de una sesin iniciada por el atacante
Vigilancia del usuario
Manipulacin de lector de tarjetas inteligentes
Ataques de Hombre en el Medio
Ataques de fuerza bruta
Autenticacin de usuario con ID de sesin especfico
Robo de token y notas manuscritas
Analizadores de tarjetas inteligentes
Ataques de fuerza bruta con calculo de PIN
Secuestro se sesin
Comunicacin del usuario con el atacante Instalacin de software malicioso Ingeniera Social Explotacin de vulnerabilidad Correos con cdigo malicioso Ofuscacin de pagina Web Manipulacin de sitio Web
Ataques de fuerza bruta
Cdigo oculto
Gusanos
Redireccin de comunicaciones hacia sitios fraudulentos
Pharming
Pgina 19
QU SE PUEDE HACER PARA PREVENIR UN FRAUDE ELECTRNICO?

QU SE PUEDE HACER PARA PREVENIR UN FRAUDE ELECTRNICO? Qu es la PREVENCIN del fraude electrnico?
Una actividad en conjunto entre la institucin bancaria y el cliente para crear un ambiente para la prevencin del uso inadecuado o no autorizado de recursos tecnolgicos para tomar ventaja sobre una persona o entidad financiera. CLIENTES BANCO
Prevencin del fraude
Pgina 21
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL CLIENTE Y COMERCIO

PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL CLIENTE Aspectos clave para la prevencin
El usuario y cliente debe tambin tomar accin proactiva para prevenir el fraude tomando nota de simples prcticas como por ejemplo: REPORTE LA OCURRENCIA O SOSPECHA DE UN FRAUDE. Abra una cuenta aparte para realizar transferencias electrnicas donde pueda hacer retiros o recibir pagos (Planilla por ejemplo). Verifique siempre que el certificado de autenticidad pertenece al banco con que est haciendo la transaccin. Evite contraseas repetidas o muy simples. Cambiar regularmente. Borre mensajes de correos de personas no conocidas. Bloquee ventanas emergentes (pop-up) y no descargue archivos de sitios desconocidos.
Page 23
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL CLIENTE Aspectos clave para la prevencin (Continuacin)
Notificar al banco sobre viajes y por cunto tiempo. Conozca los nmeros de tarjeta, saldos y nmeros telefnicos del banco y gurdelos en un lugar seguro. Nunca proporcionar informacin a nadie a menos que usted haya iniciado la comunicacin. Denunciar inmediatamente las tarjetas extraviadas. Triturar documentos con informacin confidencial antes de tirarlos a la basura. Instalar y mantener actualizados su software antivirus y antispyware en sus equipos.
Page 24
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL COMERCIO Aspectos clave para la prevencin
Un comercio es tan susceptible al fraude como un usuario tradicional, por lo cual debe tomar accin para prevenir el fraude: REPORTAR LA OCURRENCIA O SOSPECHA DE UN FRAUDE. Realizar auditorias recurrentes sobre sus sistemas e informacin financiera. Segregar las funciones y divida las responsabilidades delicadas (de carcter financiero) entre varios ejecutivos claves. Destruir los cheques anulados o informacin financiera vieja. Cambie las contraseas y usuario si ocurre algn evento sospechoso, o si la persona que la utiliza cambia o sale de la empresa.
Page 25
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL BANCO

PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL BANCO Servicios clave del banco para la prevencin
El banco debe asegurarse de ofrecer a sus clientes servicios importantes que les permitan estar alertas a posibles fraudes, como por ejemplo: Emitir/enviar alertas sobre transacciones por correo electrnico o mensajes de texto. Mensajes frecuentes para educar sobre seguridad de TI.
Page 27
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL BANCO Tecnologas clave para prevencin de fraudeIDS (Intrusion Detection Systems)
Mtodos de autenticacin de Multi-Factor. Soluciones de Anti-Phishing y Anti-Pharming. IDS (Intrusion Detection System)
Detectar escaneo maliciosos o no autorizados y alertar a la administracin o gerencia. Crear bitcoras detalladas para habilitar un anlisis y forense y asistir en las posibles acciones legales. Detectar explotacin de vulnerabilidades (Network IDS) o archivos o bitcoras que se estn borrando (Host IDS) y alertar a la gerencia.
Page 28
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL BANCO Tecnologas clave para la prevencin
Anlisis en tiempo real de transacciones Auditora Continua Monitoreo Continuo Aseguramiento Continuo
Page 29
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL BANCO Implementar buenas prcticas de control interno
Reforzar el proceso de seleccin y reclutamiento. Implementar el uso de herramientas y sistemas para la identificacin de actividades sospechosas o no autorizadas. Realizar charlas o entrenamientos de concientizacin al personal sobre el buen uso de los recursos tecnolgicos. Establecer polticas claras sobre el manejo de incidentes y las sanciones por incumplimiento de las polticas de seguridad. Entrenar y certificar a personal de TI para poder prevenir e investigar incidentes de fraude.
Page 30
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL BANCO Implementar buenas prcticas de control interno (Continuacin)
Establecer una cultura corporativa de control. Establecer una polticas para la denuncia confidencial de posibles fraudes. Identificar los riesgos de manera oportuna y establecer los planes para administrarlos. Monitorear y probar la eficiencia de los controles.
Page 31
ANLISIS DE RIESGOS DE VULNERABILIDADES ASOCIADAS A FRAUDE ELECTRNICO


El anlisis de riesgo de un sistema debe estar basado en su vulnerabilidad al fraude, abuso interno o externo, mal uso o administracin y/o control interno. Debe considerar por lo menos: Factores de riesgo (como por ejemplo, propsito del sistema, documentacin existente, frecuencia de las auditoras, etc.) Categorizar cada factor de riesgo (alto, medio o bajo) para asignar un valor (3, 2 1). Asignar un peso o valor de importancia para cada factor identificado, por ejemplo muy importante, importante, etc.
Page 33

El anlisis de riesgo permite identificar que sistemas son de mayor riesgo, es decir alta probabilidad a propiciar un fraude. Conlleva a determinar donde se deben enfocar los esfuerzos e inversiones para mantener la seguridad y prevenir fraudes. Indica la frecuencia de la revisiones que se deben realizar.
Page 34
PREPARACIN DE INFORMES Y MATRICES

TabladeEvaluacindeFraudesElectrnicos RiesgosyControles
Sistema Personalconacceso
Valor Usuario Perfil
Bajo
Historialdeeventos
Cantidad Descripcin
Nombre
NiveldeRiesgo
Alto Medio
Riesgos/ Fraudes
Controles
Detalle/Objetivo Tipodecontrol
Automtico Manual
Efectividaddelcontrol
Alta Media Baja
Recomendaciones
Page 35
CONCLUSIONES
CONCLUSIONES Tcnicas para la prevencin de fraude electrnico en instituciones financieras

El mundo de tecnologa y servicios financieros de hoy, es un mundo diferente lleno de nuevos riesgos y fraudes. La mejora herramienta para la prevencin es la colaboracin entre el cliente y el banco. Toda empresa debe mantener y propiciar un ambiente de control interno adecuado para ayudar a prevenir el fraude. Un anlisis de riesgos es necesario para saber que sistemas son ms susceptibles al fraude. Se requiere de una metodologa y pasos definidos (rbol de ataque) para aplicar tcnicas y herramientas de prevencin y deteccin de fraude de manera correcta.
Pgina 37
CONCLUSIONES Consideraciones para la prevencin de fraude electrnico

Sabes? Esto sera ms fcil si lo haces en lnea
Pgina 38
GRACIAS
TCNICAS PARA LA PREVENCIN DE FRAUDE ELECTRNICO EN INSTITUCIONES FINANCIERAS
XVII CONGRESO LATINOAMERICANO DE AUDITORA INTERNA Y EVALUACIN DE RIESGOS
Julio R. Jolly Moore, CFE, CRISC, CRMA, CGEIT, Internal Audit Quality Assessment Socio BDO Consulting de BDO Panam jjolly@bdo.com.pa & Osvaldo Lau C., CISA, CRISC, Internal Audit Quality Assessment Director BDO Consulting de BDO Panam olau@bdo.com.pa

Tecnicas para La Prevencion Del Fraude Electronico, CLAIN 2013 - J.jolly

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Tecnicas para La Prevencion Del Fraude Electronico, CLAIN 2013 - J.jolly

Загружено:

Авторское право:

Доступные форматы

TCNICAS PARA LA PREVENCIN DE FRAUDE ELECTRNICO EN INSTITUCIONES FINANCIERAS

XVII CONGRESO LATINOAMERICANO DE AUDITORA INTERNA Y EVALUACIN DE RIESGOS

Fuente: http://eleconomista.com.mx/internacional/2010/09/30/fraudes-crecen-expertos Pgina 4

Fuente: http://www.nacion.com/2011-09-07/Economia/fraudes-electronicos-encabezan-la-lista----de--estafasbancarias.aspx Pgina 5

Fuente: http://eleconomista.com.mx/finanzas-personales/2011/09/19/mas-700-horas-se-invierten-revertir-roboidentidad Pgina 6

Fuente: http://www.mcafee.com/es/resources/reports/rp-financial-fraud-int-banking.pdf Pgina 7

Fuente: http://www.mcafee.com/es/resources/reports/rp-financial-fraud-int-banking.pdf Pgina 8

EL FUTURO Y FRAUDE ELECTRNICO

EL FUTURO Y FRAUDE ELECTRNICO El panorama futuro del mundo tecnolgico

EL FUTURO Y FRAUDE ELECTRNICO El panorama futuro del mundo tecnolgico

EL FUTURO Y FRAUDE ELECTRNICO El panorama futuro de los servicios financieros

ASPECTOS GENERALES DE FRAUDES ELECTRNICOS

DEFINICIONES Qu es el fraude electrnico?

FRAUDES ELECTRNICOS MS COMUNES

FRAUDES ELECTRNICOS MS COMUNES Tipos de fraudes ms comunes en Latinoamrica

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

RBOL PARA ANALIZAR ATAQUES

RBOL PARA ANALIZAR ATAQUES Desarrollar un rbol de ataques

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Cuenta Bancaria Comprometida

Descifrado de credencial de usuario

Uso de una sesin iniciada por el atacante

Vigilancia del usuario

Manipulacin de lector de tarjetas inteligentes

Ataques de Hombre en el Medio

Ataques de fuerza bruta

Autenticacin de usuario con ID de sesin especfico

Robo de token y notas manuscritas

Analizadores de tarjetas inteligentes

Ataques de fuerza bruta con calculo de PIN

Ataques de fuerza bruta

Redireccin de comunicaciones hacia sitios fraudulentos

QU SE PUEDE HACER PARA PREVENIR UN FRAUDE ELECTRNICO?

Prevencin del fraude

PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL CLIENTE Y COMERCIO

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL BANCO

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

ANLISIS DE RIESGOS DE VULNERABILIDADES ASOCIADAS A FRAUDE ELECTRNICO

ANLISIS DE RIESGOS DE VULNERABILIDADES ASOCIADAS A FRAUDE ELECTRNICO

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

ANLISIS DE RIESGOS DE VULNERABILIDADES ASOCIADAS A FRAUDE ELECTRNICO

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

PREPARACIN DE INFORMES Y MATRICES

Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico

CONCLUSIONES Tcnicas para la prevencin de fraude electrnico en instituciones financieras

CONCLUSIONES Consideraciones para la prevencin de fraude electrnico

Вам также может понравиться