CASOS REALES DE FRAUDE INFORMTICO EN BOLIVIA

Ing. Wilson Andia Cuiza, CISA, ISO 27001 LA www.auditsrl.com wandia@auditsrl.com

Ing. Wilson Andia Cuiza, CISA, ISO 27001 LA Auditor de Sistemas de Informacin Certificado CISA por ISACA de EEUU. Auditor Lder de Seguridad de la Informacin ISO 27001 certificado en Madrid-Espaa. Ingeniero de Sistemas, Post-Grados en: Gestin de la Seguridad y Auditora de Sistemas de Informacin y Educacin Superior. Ex - Analista Programador de la Contralora General de la Repblica. Ex - Auditor de Sistemas de la Contralora General de la Repblica efectuando Auditoria de Sistemas a Entidades Pblicas Ex - Consultor de Desarrollo y Seguridad del SIGMA Proyecto ILACO Ministerio de Hacienda Financiado por el BID y Banco Mundial. Ex - Consultor Lder de Gestin y Control de Calidad de Sistemas del Proyecto RUAT Ex - Consultor Auditor de Sistemas del Fondo Nacional de Desarrollo (FNDR). Actualmente Socio y Gerente General de AUD IT Consulting Group S.R.L. Actual docente en la EMI Maestra en Gestin de la Seguridad de la Informacin Docente pre-grado: Universidad Franz Tamayo, Universidad Salesiana de Bolivia Perito en Deteccin de Fraude Informtico Experto en Software de Auditora (IDEA, ACL, TEAM MATE, MEYCOR COBIT, EnCase Forensic ToolKit) Experto en COBIT, COSO, ITIL, Ley Sarbanes Oxley (SOX) Experto en Normas ISO 27001, 17799, 12207, 9126, 15504 Coordinador de investigacin y estndares ISACA Bolivia Captulo 173

CASOS REALES DE FRAUDE INFORMTICO EN BOLIVIA

CASO 1 Fraude Informtico en recaudacin de impuestos de Inmuebles
El ao 1999 2001 la Contralora General de la Repblica de Bolivia, a travs de la Gerencia de Evaluacin de Sistemas Informticos (GESI) detectamos indicios de fraude informtico en las bases de datos de recaudacin de inmuebles de 6 Gobiernos Municipales entre grandes y medianos, todos con el mismo modus operandi. Un 85% de los municipios en esas fechas utilizaban sistemas en FOXPRO y efectuaban el cobro de impuesto con personal/cajeros del mismo municipio (a la fecha 25% continan)

Modus Operandi
Los cajeros con pocas habilidades informticas o en colusin con personal de sistemas: Se instalaban el FOXPRO en las terminales Indagaban las bases de datos donde se registraban los cobros de recaudaciones y los parmetros de construccin de inmuebles que hacen al clculo del impuesto. Al finalizar el da de la recaudacin lograban acceso a las bases de datos Modificaban parmetros de construccin del inmueble para reprocesar la liquidacin del impuesto de algunos inmuebles logrando que se reduzca el importe a pagar. Reimprimian boletas de pago, quedndose con el saldo en efectivo del cobro. En otros casos, modificaban directamente en la base de datos, el importe cobrado o cambiaban la fecha de cobro para evitar que se reporte en el arqueo de cajas. Esto por la ausencia de seguridades y deficiente ambiente de control interno

CASOS REALES DE FRAUDE INFORMTICO EN BOLIVIA

CASO 2 Empresa de distribucin de productos de consumo masivo El ao 2006 a travs de la Empresa AUD IT Consulting Group S.R.L. detectamos indicios de fraude informtico en las bases de datos de ventas en una Empresa privada. El cajero que reciba la liquidacin de las ventas de los vendedores y los cobros por los crditos de otras fechas, tena experiencia en programacin y bases de datos. Modus Operandi A fin de da, en das feriados y/o domingos, una vez que los vendedores hacan su liquidacin tanto de las ventas diarias como de los cobros efectuados por ventas al crdito el cajero experimentado en tecnologa: Lograba los accesos a las bases de datos de ventas, cobros y cuentas x cobrar de los clientes. Efectuaba las modificaciones tanto a importes cobrados, fechas de cobro y/o precios unitarios para afectar el importe cobrado. Efectuaba modificaciones en las cuentas x cobrar de los clientes que efectuaron el pago ese da De ambos tipos de modificacin el cajero tomaba el dinero sobrante

CASOS REALES DE FRAUDE INFORMTICO EN BOLIVIA

CASO 3 Empresa de ventas al por mayor y menor de autopartes
El ao 2006 a travs de la Empresa AUD IT Consulting Group S.R.L. detectamos fraude informtico en las bases de datos de ventas de algunas sucursales de una Empresa privada dedicada a la venta de autopartes con altos volmenes de ventas. El cajero vendedor encargado de su sucursal efectuaba las ventas, reciba el dinero, llevaba un control de sus saldos en existencia y reportaba sus ventas ms la entrega del dinero a fin de da o el lunes tratndose de ventas en sbados.

Modus Operandi El cajero vendedor desde la sucursal en colusin con el encargado de cmputo de la central efectuaban: Modificacin de los saldos del inventario en la base de datos Salida fsica de autopartes de la sucursal o venderlas sin reportarlas debido a que esa cantidad ya fue retirada de los saldos. Hacan coincidir los saldos fsicos con los saldos del sistema cuando se vena un inventario fsico de autopartes, para ello el encargado de computo desde la central ya alertaba al vendedor de tener todo en orden, para evitar tener diferencias en saldos. Llevaban un control particular de sus movimientos en archivos y se contactaban por correo electrnico.

CASOS REALES DE FRAUDE INFORMTICO EN BOLIVIA

CASO 4 Planillas de Sueldo de personal de sistemas

El ao 2006 a travs de la Empresa AUD IT Consulting Group S.R.L. detectamos fraude informtico en programas fuente con cdigo malicioso que efectuaba el proceso de las planillas de sueldo de una Entidad Publica y no tomaba en cuenta los atrasos, faltas en el clculo de descuentos nicamente para el personal de sistemas, por lo que ninguno tena un descuento cada mes, pese a que era evidente los continuos atrasos y faltas al trabajo.

Modus Operandi El analista/programador que desarroll el sistema de planillas de sueldo para la Entidad: Inclua dentro del programa fuente, luego compilarlo, instrucciones de condicin que preguntaban si el registro en curso para el proceso de planillas corresponda a un tem del personal de sistemas no llamaba a la funcin para el clculo de multas por atrasos o faltas, caso contrario efectuaba el proceso normal para todo el resto del personal. La incorporacin del cdigo malicioso efectuaba das antes del procesamiento de planillas cerca de fin de mes. Pasado el proceso de planillas y emisin de boleas de pago, el Analista/Programador restitua el programa original sin el cdigo malicioso.

CASOS REALES DE FRAUDE INFORMTICO EN BOLIVIA

CASO 5 Cobro por tarifas del servicio elctrico El ao 2001 la Contralora General de la Repblica de Bolivia, a travs de la Gerencia de Evaluacin de Sistemas Informticos (GESI) detectamos indicios de fraude informtico en las bases de datos de recaudacin por el servicio de luz elctrica en 3 municipios que hacan uso de un sistema de facturacin y cobranzas desarrollado en Lenguaje 4th Dimension con bases de datos informix.

Modus Operandi Las cajas se cerraban a las 5 de la tarde, sin embargo, una de las cajeras cerraba la caja 10 minutos antes de la cinco de la tarde. Retena entre cinco y diez comprobantes diarios que fueron introducidos al sistema Inmediatamente entregaba al encargado de sistemas, quien abra la base de datos y les borraba como ingresos del da realmente recaudado y les registraba en un mes anterior con importes mnimos. Ambos, la cajera y el encargado de sistemas tomaban el dinero

SOLUCIONES Y RECOMENDACIONES PARA MINIMIZAR EL FRAUDE INFORMTICO EN BOLIVIA

Ing. Wilson Andia Cuiza, CISA, ISO 27001 LA www.auditsrl.com wandia@auditsrl.com

SOLUCIONES Y RECOMENDACIONES PARA MINIMIZAR EL FRAUDE INFORMTICO EN BOLIVIA

Apoyo del Gobierno y de las Mximas Autordades Ejecutivas en las Entidades Pblicas para la aplicacin de Polticas Gubernamentales en temas de seguridad en Tecnologas de la informacin (a la fecha no se hizo nada). Apoyo de los Directores Ejecutivos en las Empresas Privadas para la implementacin de Sistemas de Gestin de la Seguridad de la Informacin

SOLUCIONES Y RECOMENDACIONES PARA MINIMIZAR EL FRAUDE INFORMTICO EN BOLIVIA

Entidades Pblicas y Privadas, lograr la Certificacin en el Sistema de Gestin de la Seguridad de la Informacin basado en Norma ISO 27001 (En Bolivia no hay Empresa certificada).
Japn 1.850 Reino Unido 333 India con 255. Mxico 11. Brasil 11 Espaa 9 Argentina 3 Colombia 2 Chile 1 Per 1 Uruguay 1 Bolivia ?
Fuente http://seguinfo.blogspot.com/2006/12/3233-empresas-certificadas-en-iso-27001.html

SOLUCIONES Y RECOMENDACIONES PARA MINIMIZAR EL FRAUDE INFORMTICO EN BOLIVIA

Fortalecer a las Direcciones de Tecnologa, en infraestructura tecnolgica de seguridad tanto en hardware y software. Implementacin de polticas, procedimientos, instructivos de trabajo en las Empresas/Entidades referidas a la seguridad de la informacin as como se hace en la base documental de las normas ISO 9000. Implementacin de mejores prcticas y controles de seguridad basados en Normas ISO 17799 y 27001. Efectuar Auditoras a la Seguridad de la Informacin basados en COBIT, ISO 27001 y 17799.

SOLUCIONES Y RECOMENDACIONES PARA MINIMIZAR EL FRAUDE INFORMTICO EN BOLIVIA

Efectuar Auditoras de Sistemas basados en COBIT, Normas ISO 27001, 17799, 12207 y 9126. Incorporar a Oficiales de Seguridad de la Informacin (OSI) con certificaciones internacionales en las Empresas Pblicas y Privadas. Fortalecimiento de las Unidades de Auditora Interna con Auditores de la seguridad de la informacin y Auditores de Sistemas. Realizacin de conferencias, seminarios, talleres, cursos relacionados con la Seguridad de la Informacin y la Auditora de Sistemas.

!! MUCHAS GRACIAS!!
Ing. Wilson Andia Cuiza, CISA, ISO 27001 LA

www.auditsrl.com wandia@auditsrl.com