16/05/2024

Mes: marzo 2019

FRAUDE EMPRESARIAL ORGANIZADO

Guido Rosales 18/03/2019

El control interno basado en la premisa de segregación de funciones, esta considerando que las posibilidades de fraude pueden venir desde la persona, pero considera que el individuo de alguna manera es absorbido por el grupo en un contexto empresarial. Entonces todos los controles basados en una instancia superior de control pueden ser vulnerados.

Las variables Presión, conocimiento, oportunidad y justificación no se deliberan en la cabeza de una persona sino en todo el grupo. Hablamos entonces no de fraude individual, sino de estructuras de FRAUDE EMPRESARIAL O CORPORATIVO

LAS TEORÍAS

Dentro las teorías que estudian el FRAUDE como una conducta humana individual o grupal, siempre han destacado las siguientes:

  1. El triangulo del fraude del criminologo DONALD CRESSEY
  2. El Iter criminis o camino que sigue el delito desde su concepción hasta su ejecución.

En ese sentido queremos identificar al FRAUDE como una consecuencia de muchos aspectos tanto internos al individuo como característicos del grupo social, es decir vamos a analizar el fraude como acción no de una persona sino del colectivo humano empresarial.

EL GRUPO HUMANO EN LA EMPRESA

Las organizaciones mas allá de sus activos, muebles y herramientas, están compuestas por personas que si bien pueden ser conocidos de algún lugar o momento de tiempo, en general llegan de diferentes caminos encontrándose todos en el lugar de trabajo. Pero estos encuentros no son insignificantes, sino mas bien muy fuertes y cohesionados por el tiempo y vivencias que tiene ese colectivo humano. Al final las personas pasan la mayor parte de su vida laboral con ese grupo. 8 horas activas del día están con las mismas personas.

Las estructuras empresariales pueden suponer estructuras parecidas al momento de pensar en una organización para delinquir, pero no necesariamente.

EL FRAUDE POR DOQUIER

Uno de los mas grandes males se da cunado el fraude ha permeado TODA la organización. En todos los niveles se comenten acciones aisladas o integradas para cometer actos ilícitos.

 

En cada nivel el resultado varia en cuantía y modus operandi, pero acciones fraudulentas menores o mayores se conocen entre si, pero como se dice "entre bomberos no se pisan la manguera"

LA PIRÁMIDE DEL FRAUDE

Tomando como base el Triangulo del fraude, queremos conjugar mas variables

Por un lado están:

Oportunidad, presión, conocimiento y presión, pero debemos entender que esto no se esta dando únicamente en la cabeza o subconsciente de una persona sino de todo el grupo. Puede ser que haya nacido con una persona, pero rápidamente se adueño del grupo humano

 

Y por otro lado esta el ITER criminis que ha llevado desde su fase interna hasta su fase externa venciendo controles y madurado en el tiempo:

 

Bajo esta lógica debemos pensar que controles tradicionales como maker/checker, segregación de funciones y similares llegan a ser inútiles. Es el grupo humano que ha sido comprometido en la comisión de actos fraudulentos.

La respuesta y lógica de control interno y externo debe partir bajo ese enfoque "e grupo puede estar comprometido", tanto para la fase de análisis como para la fase de implementancion de sistemas antifraude.

El gran problema surge cuando las acciones fraudulentas han permeado toda la sociedad y las mismas instancias de control pueden ser contaminados para no detectar el FRAUDE.

 

 

 

El RANSOMWARE – Un completo Dolor de CABEZA empresarial

Guido Rosales 15/03/2019

Definitivamente los Directores, gerentes, dueños de negocios, abogados y mucha gente GENERACIÓN X, no entienden la lógica del Ransomware hasta que deben PAGAR a un desconocido, un monto significativo por recuperar algo que esta en sus manos, pero no pueden usarlo.

1. El ransomware es como un virus humano. Puede llegar por cualquier lado, el paciente cero puede ser solo portador, pero infecta a todos en la red empresarial. No te salva los talismanes virtuales llamados Antivirus. Esos vienen como consejo gratuito "Te lo dije, te lo dije"

2. La vacuna que le sirvió a a alguien no necesariamente aplica en todos los casos. El código de este malware puede tener muchas mutaciones en poco tiempo.

3. Puedes probar una recuperacion manual, siempre y cuando los datos no hayan parado tu negocio. El tiempo juega en contra. Al final esta latente la pregunta. Y si pagamos?. si lo intentas nunca sobre origial. Siempre sobre copia forense

4. Pagar puede no asegurarte la recuperación. Los últimos ataques vienen con una demo de recuperación por ejemplo para archivos pequeños y cantidad limitada. Con eso el atacante te demuestra su "Buena FE" y te garantiza que podrás recuperar tus archivos.

5. Si pagas unos cuantos miles de Dolares se hará difícil contabilizarlos. Quizá sea mejor hacerlo figurar como Soporte técnico.

6. Los de sistemas no son 100% culpables. La mayor parte de las empresas nunca tienen presupuesto para licencias o dispositivos de respaldo. Así que de alguna manera obligan al técnico para conseguir software pirata, acceso a sitios de cracks, donde muy probablemente cogió la infección!!

7. Nadie tiene tiempo de hacer los backups hasta que la información DESAPARECE. Ahi los gerentes preguntan y hasta investigan que hacer respaldos era muy facil y util.

8. No pierdas el tiempo convocando a tu abogado para interponer una demanda. Realmente es muy difícil determinar autoria. Salvo sea un sabotaje de esos que se producen cuando tu escala salarial es una pirámide con 2 niveles. Inmortales 20% y el resto 80%. Ademas puedes estar en la misma situación de desconocimiento de los hechos digitales!!

9. Si nada funciona, entonces CRIONIZACION FORENSE.Puede ser que un un futuro cercano se de la cura a tus males.

 

 

Etc. Etc. Podríamos seguir, pero mejor ire a hacer respaldos!!! hagan lo mismo que este malware esta peor que DENGUE!!

 

Programa CISO V2: Inicio 15 de Abril 2019

Guido Rosales 13/03/2019

El Programa CISO vigente desde el año 2005 ha sido actualizado encontrándose actualmente en su versión 2.

el contenido es actualizado de forma constante, pero la estructura se mantiene.

Director del Programa: MSC. ING GUIDO ROSALES URIONA.

Es un programa que ha ayudado en la formación sin duda alguna, de gran parte de los profesionales en Bolivia que hoy en día trabajan como Oficiales de Seguridad en empresas financieras, del estado, petroleras y muchas mas.

Su contenido esta basado en la experiencia de mas de 20 años de la empresa YANAPTI SRL. Los innumerables trabajos de consultoria en el campo de la seguridad de la información han definido sus módulos, así como la alineación con importantes certificaciones internacionales.

Sus diferentes ciclos se han desarrollado en modalidades presenciales, fastrack y virtuales. En la actualidad es un programa 100% virtual con sesiones en vivo y también asistidas ofline.

Su contenido esta definido en 10 módulos que se desarrollaran en este Ciclo en 5 semanas, los días martes y jueves de 19:30 a 21:45

IMPORTANTE

Este programa ha sido desarrollado unicamente por YANAPTI SRL. Su AVAL ha sido ganado en los mas de 10 años que tiene el mismo.

No esta vinculado a Universidad u Organización alguna para precautelar el objetivo de su creación. INDEPENDENCIA DE OPINIÓN.

 

MODALIDADES

On line – Atendida con sesiones semanales

INICIO 15 de abril

HORARIOS

Dia Martes y jueves de 19:30 a 21:45 con 15 minutos de corte.

Sesiones via Gotomeeting (desde PC o movil)

COSTO:

  • Todo el programa tiene un costo general de 650$US, máximo en 2 pagos de 350 al inicio y 300 a la mitad del programa.
  • El costo modular unitario es de 75$US con un mínimo de 5 módulos = 375$US
  • Personas que hayan cursado algún programa de certificación de Yanapti anteriormente tienen un costo de 450$US por el programa. Máximo en 2 pagos de 300 y 150 a la mitad del programa.
  • La inscripción temprana antes del 5 de abril tiene un costo de 550 $US

 

COMPRENDE:

  • Acceso a sesiones en línea
  • Acceso a la Plataforma virtual por 12 meses desde el inicio del programa
  • Material de apoyo digital
  • Vídeos de análisis
  • Acceso a Biblioteca digital Yanapti (modelos de informes, libros digitales, artículos, videos y muchos más)
  • Seguimiento de tareas y avance
  • Consultas individuales
  • Derecho al examen de certificación durante 12 meses hasta 4 oportunidades
  • Impuestos de Ley

SE EXTIENDEN CERTIFICADOS DE:

  • Asistenciaal 70% o más de las sesiones virtuales. Se valida participación
  • Aprovechamiento– Debe cumplir mínimo el 70% de las tareas modulares
  • Aprobación del Programa: Examen teórico (50%) y Practico (50%)

DIRIGIDO A:

  • Personal de Sistemas
  • Oficiales de Seguridad
  • Oficiales de Riesgos
  • Auditores de Sistemas
  • Auditores internos

 

CONTENIDO MODULAR:

CONTENIDO MÍNIMO

Modulo 1: Ciber seguridad, estrategias y estándares

Modulo destinado a analizar la relevancia de la seguridad en el contexto internacional, nacional y sectorial desde una perspectiva estratégica para el negocio. En este modulo se analiza el rol del OSI en el contexto del negocio, tanto a nivel estratégico como operativo.

Permite analizar tendencias y alinear la seguridad con el Plan Estratégico del Negocio.

Modulo 2: Ciber riesgos y Amenazas

Se estudia aquellas fuentes de Ciber riesgo que pueden afectar al negocio. Se desarrolla la metodología para la gestión de los mismos. Se analizan metodologías y estándares como ISO 27005 e ISO 31000 principalmente ejemplificando para un entorno en el ciber espacio.

Modulo 3: Legislación y cumplimiento en la WEB

Permite conocer el marco de cumplimiento para el ciber espacio. Aquellos detalles cono transnacionalidad, privacidad y derecho internacional vigente en el mundo del Internet.

Modulo 4: Gestion del Ethical Hacking

Permite abordar todo el proceso para la gestión del ethical hacking, desde la definición de necesidades de negocio, su ejecución, control y planes de acción emergentes.

Modulo 5: Ciber Fraudes

Modulo donde se analiza la anatomía particular de los métodos de ciber fraude mas difundidos o de mayor connotación en el mundo. Temas de actualidad como Redes zombies, ransomware, malware corporativo y otros.

Modulo 6: Seguridad de CPD e infraestructura

Permite analizar la parte fisica del mundo ciber. Estándares de seguridad en Data Center, modelos OSI en telecomunicaciones, controles operativos y temas relacionados con infraestructura y facilidades.

Modulo 7: Análisis conductual y Logs

Permite conocer los instrumentos de seguridad predictiva. el analisis de Logs, SIEMs y demás herramientas que combinadas pueden detectar patrones de inseguridad en la conducta de los usuarios.

Modulo 8: Auditoria y evaluación de seguridad

Permite al OSI conocer la gestión de un trabajo de auditoria. Interactuar en todo el proceso y con los mismos auditores. Permite conocer conceptos propios de la auditoria de sistemas y seguridad.

Modulo 9: Ciber incidentes y análisis forense

Conocimientos necesarios para identificar, contener, responder y mejorar ante la ocurrencia de ciber incidentes. permite conocer los procesos y conocimientos básicos para el tratamiento de la evidencia digital en potenciales procesos forenses.

Modulo 10: Ciber continuidad y Resiliencia

Permite conocer y gestionar los riesgos en el ciber espacio que pueden interrumpir la operativa del negocio. Se analizan casos y formas de mitigar el impacto de las interrupciones, desarrollar planes de contingencia, continuidad y gestión de crisis en el ciber espacio.

PLATAFORMA YOBLAKA

 

MAS DETALLES SE PROPORCIONAN A LAS PERSONAS PARTICIPANTES DEL PROGRAMA.

 

 

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023