18/05/2024

Consultorías

Seminario Taller PRESENCIAL: Prevención del Fraude

Guido Rosales 04/03/2018

En la ciudad de Santa Cruz. el día 23 de Marzo 2018, durante toda la jornada laboral, se llevara a cabo el Seminario Taller "Prevención del Fraude"

Adjuntamos detalles de esta actividad de modalidad PRESENCIAL:

 

 

1          INTRODUCCION

Toda actividad humana tiende a desarrollar con el tiempo aplicaciones no pensadas, previstas o establecidas inicialmente.

Cuando no existe un adecuado entorno de control, las personas pueden desarrollar acciones de beneficio propio o de perjuicio a la empresa. Cuando las acciones tienen la intencionalidad de lograr un lucro personal o de grupo burlando los controles o la finalidad de los objetivos iniciales y la ausencia de controles, se produce el denominado FRAUDE. De una forma resumida se dice que varios factores deben coincidir en tiempo y espacio, esta teoría fue denominada el triangulo del fraude.

 

Figura 1: Triangulo del fraude

Desarrollar políticas de prevención del FRAUDE son un objetivo inherente al desarrollo de una Cultura Organizacional de honestidad y valores éticos.

2          OBJETIVOS

Analizar los elementos constitutivos del FRAUDE principalmente en su raíz INTERNA para DESARROLLAR un programa de prevención basado en cultura organizacional de honestidad y valores éticos.

Figura 2: Objetivo del Sistema Antifraude

3          CONTENIDO MODULAR

Figura 3: Contenido Modular

3.1          MODULO 1: CONCEPTOS FUNDAMENTALES

Este módulo está orientado a establecer el marco conceptual de la prevención del Fraude. Contempla el análisis de la tipología, los fraudes por tipo de negocio, los métodos tradicionales y el impacto de los sistemas de información o los fraudes digitales. Se analiza casuística internacional y nacional para ir estableciendo el marco de desarrollo del programa, desde fraudes individuales hasta corporativos. Se abarca conceptos tales como el triángulo o diamante del fraude. Se presenta y analiza principales estadísticas del sector financiero en materia de fraudes. Además, se establece el marco metodológico citando estándares y practicas recomendadas de la industria para la formación de especialistas en la lucha contra el fraude. Finalmente se analiza el marco legal y regulatorio existente en el país.

3.2          MODULO 2: DIAGNOSTICO DEL SISTEMA ANTIFRAUDE

Destinado a mostrar técnicas para establecer el nivel de preparación e implementación que tiene el negocio respecto a un sistema antifraude. Se propone el análisis de diferentes aspectos como son el marco normativo, organizacional, códigos y sistemas de información tanto de soporte al negocio como instrumentos de control y alerta temprana. Algo muy importante en el relevamiento es el análisis conductual del factor humano. La patronizacion de conductas y establecimiento de tipos de personas, permite identificar puntos de alerta temprana. Además de las características tradicionales del fraude se analiza el factor EDAD para comprender las tendencias del fraude en el nuevo contexto del ciber espacio. Se analiza la madures forense determinando el nivel y capacidad de respuesta al fraude. Uno de los principales entregables de esta fase en el MAPA DEL FRAUDE donde a partir de un mapa de procesos se determina aquellos que tienen más debilidades de control PDC

3.3          MODULO 3: MODELAMIENTO DEL POTENCIAL FRAUDE

En este módulo se propone el modelamiento de fraudes de escritorio y el hacking operativo donde se simula la preparación, colecta de información, el posible itercriminis hasta la ejecución controlada del fraude para demostrar la probabilidad de ocurrencia. Se toma como insumo el Mapa del Fraude determinado en el modulo 3 y se elige algún proceso.

Se simulan y describen fraudes con alto componente tecnológico y sistemas de información. Se hace especial énfasis en Ciber Fraudes donde la evidencia digital es relevante. En este camino se analiza la posibilidad de generar y además borrar las huellas y evidencias que dejaría un fraude real. Se establecen potenciales Modus Operandi.

El principal entregable de esta fase en la EVIDENCIA DEL FRAUDE, definida como el conjunto de registros que demuestran el intento o la comisión del hecho.

3.4          MODULO 4: RESPUESTA AL FRAUDE

Pese a todos los esfuerzos por prevenir y anticipar situaciones de fraude se debe establecer los procedimientos, recursos, capacitación y entrenamiento para simular la ocurrencia misma de un fraude. En este módulo se propone establecer un plan de gestión de crisis, métodos de detección, sobre todo contención y respuesta oportuna al fraude. Así mismo la fase de mitigación del impacto comprende disparar actividades legales, reputacionales, regulatorias, internas, externas hacia todos los stakeholders relacionados. Algo muy importante durante la respuesta al fraude será la fijación y colecta de evidencias con métodos forenses que permitan eventualmente seguir procesos civiles y penales. Finalmente, en esta parte se instrumenta el desarrollo y fortalecimiento de una Cultura organizacional de honestidad y valores éticos.

El entregable de esta fase es el PLAN DE PREVENCION Y RESPUESTA AL FRAUDE.

4          MATERIAL DE CURSO

Los participantes del curso tendrán acceso de 12 meses a la Plataforma Virtual YOBLAKA, donde tendran a disposición:

  • Material de lectura de libre distribución
  • Videos de documentales relacionados
  • Acceso a cursos libres

 

5          FACILITADOR

GUIDO ROSALES URIONA

Ingeniero de sistemas con maestrías en: Ciencias de la ingeniería, mención sistemas inteligentes y redes (Universidad Internacional de Kiev Ucrania). Gestión Estratégica de TI (Universidad de Leon España).

El Ing. Rosales cuenta con más de 20 años de experiencia laboras desarrollados proyectos relacionados con la seguridad, control, auditoria de sistemas e informática forense. Ha desarrollado varias auditorias forenses y participado como investigador de fraudes en entidades financieras, además de ejercer como perito informático en procesos civiles, penales y arbitrales.

Como experiencia especifica destaca haber investigado fraudes en tarjetas de débito, crédito, transferencias bancarias, tesorería, manipulación de cuentas por cobrar y pagar, sistemas de activos fijos, almacenes, compras, logística, telefonía nacional e internacional, manipulación informática de bases de datos en cajas de ahorro, DPFs, registros biométricos e imágenes.

Los servicios relacionados con Fraudes los ha desarrollado en el sector financiero, entidades de gobierno, sector industrial, minero, comercial y educativo.

Además, ha participado como perito en investigaciones de legitimización de ganancias ilícitas, narcotráfico, homicidios, extorsión, secuestro y terrorismo.

El Ing. Rosales tiene experiencia de consultoría y como facilitador tanto a nivel nacional como internacional.

COSTO

  • El costo es de 700Bs, publico en general.
  • Clientes Yanapti en general - 600 Bs
  • Clientes Yanapti durante la gestión 2017 - 500Bs.

Consultas a capacitacion@yanapti.com

HORARIOS

  • Registro de asistentes: 08:30
  • Mañana de 09:00 a 12:00
  • Tarde de 14:30 a 18:30

 

CCLEANER eliminar o mantener? – Voto por mantener!

Guido Rosales 22/09/2017

Con el analisis realizado, personalmente reitero mi voto de confianza a esta herramienta de la cual soy usuario por mas de 5 años. Se generan dudas que deben ser analizadas, lastimosamente nunca tendremos respuestas concretas. Toca convencerse uno mismo para vertir opinion ante las constantes preguntas sobre que hacer, desinstalar ccleaner? creo que no es la solucion. La seguridad debe tomar por ejemplo el modelo del quezo suizo (James Reazon) donde existen varias capas, controles, herramientas, habitos que en conjunto dan el nivel de seguridad. No hay soluciones magicas, sino estado de alerta, inversion y dedicacion por parte del negocio y los responsables por la seguridad en cada nivel tanto empresarial como domestico.

Comparto parte del analisis realizado en Yanapti SRL:

  1. Segun las estaditicas AVAST, un conocido producto antimalware, producido desde 1988 en la ciudad de praga ha logrado alcanzar una cuota de mercado mundial cerca al 25%, se estima unos 400 millones de instalaciones.
  2. En septiembre de 2016 anuncia la adquisiscion de AVG otro producto antimalware, producido desde 1991 tambien de la republica cheka. AVG se ha ubicado en un septimo lugar en la distribucion de mercado.
  3. Piriform produce ccleaner mas o menos desde el año 2005. Y ha logrado una  cuota de mas o menos 130 millones de instalaciones en PC y unos 15 millones en moviles andorid.
  4. En julio del 2017 se anuncia la compra de piriform por parte de AVAST
  5. En agosto se detecta la infeccion de una version (5.35) con malware espia que aparentemente hubiera sido descargado por unos 700.000 usuarios. Inicalmente se descia que el malware recolectaba datos del equipo victima para enviarlos a algun lugar del ciber espacio. Entonces se creia que pudiera ser la preparacion para un gran ataque de malware o DDOS.
  6. Con el analisis mas profundo se reporta que firmas de tecnología y telecomunicaciones de Japón, Taiwan, Reino Unido, Alemania y Estados Unidos fueron el blanco de este ataque. El objetivo era  atacar directamente a los gigantes de la tecnología como Google, Apple, Amazon, Facebook o Cisco. "Ntdev.corp.microsoft.com, vmware.com, samsung.skhtcgroup.corpamr.corp.intel.com, linksys, hq.gmail.com...." La lista de los servidores a los que apuntaba el malware incluye la mayoría de los gigantes de la tecnología e internet, por lo que los investigadores creen que el ataque masivo se basaba en una demostración que consistía en soltar el mayor número de copias infectadas para ver si había suerte y alguna de ellas recaía en algún equipo corporativo.
  7. Cabe destacar que el ataque no fue controlado por las firmas antivirus hasta despues de haber sido detectado. Es decir el concepto de analisis Heuristico, patrones, etc. no fue capaz de identificar el comportaniemto anomalo de una herramienta que gozaba de la confianza en base a las firmas y certificados de fabricante.

Los cuestionamientos que nacen de este evento son:

 

  1. Que cambio con la compra de Piriform por Avast? se relajo el control y la seguridad? o la fusion no le gusto a alguien y pudo ser un sabotaje?
  2. Si analizamos las cuotas de mercado (fuente; www.av-comparatives.org/) segun el reporte 2016 podemos presumir motivos comerciales:
  4. En el cuadro se puede observar que la posicion de AVAST podria cambiar. Entonces mejor si se frena un poco.
  5. Cuando se implementan reglas de Firewall, normalmente los productos que vienen de fuente fiable tiene tratamiento especial. Paasporte diplomatico. Esto cuestionaria este concepto y nos deberia volver paranoicos y comenzar a analizar todo el trafico? seguramente una tarea imposible de hacer considerando que casi todos los productos generan trafico contra su fuente de actualizacion. Existe cierto grado de confianza que se estuviera poniendo en duda.
  6. Se hubiera hackeado a Piriform o AVAST? de cualquier forma se entiende que empresas como estas deberian tener robustos controles en todos sus procesos. Nuevamente acudimos a la maxima "al mejor cazador se le va la liebre?" o podriamos decir "cazaron al cazador" al final tambien podriamos colocar "en casa de herrero.." finalmente podemos cuestionar nuevamente todo el conjunto de estandares y herramientas de seguridad reactivas que estamos implementando. Con tanta sofisticacion los hechos se revelan cuando ya hay victimas. No queremos ser muy paranoicos, pero estos temas deben ser analizados en diferentes niveles tanto empresariales como nacionales.
  7. Particularmente hemos podido comprobar que los antivirus no funcionaron. recibimos y vimos reportes de herramientas que comenzaron a detectar el malware despues de la publicacion en medios abiertos. Como que la brecha no fue dada a concer en circulos especiales para que el remedio salga por lo menos junto a las noticias.
  8. Esto afecta la confianza en CCLEANER? seguro que si. Pero personalmente soy usuario de ete producto por mas de 5 años con certeza y le doy aun un voto de confianza en lo que hace. He probado soluciones alternativas del otro extremo como las que trae BAIDU Pc faster o su version cloud baidu cleaner y si bien hacen un buen trabajo he podido comprobar que las ultimas actualizaciones de ccleaner superan la limpieza, los reportes, el control que se tiene a nivel de PC. Entonces toca elegir entre Mal conocido o mal por conocer. La confianza se gana en años, puede tambalear en casos como este, pero nadie esta excento de estos hechos.

 

Son los sitios .bo muy caros?

Guido Rosales 12/09/2017

El dia de ayer vi con mucho agrado una convocatoria para intentar dar solución a la problemática sobre el costo de los sitios con extencion .bo.

Es un tema que debió ser prioridad no de los técnicos,  sino de los estrategas de  visión país y marca nacional. Así como se hacen campañas con empresas de turismo BOLTUR y actividades tipo DAKAR donde la intención es promover la industria sin chimenea del turismo, se deben dar facilidades a las empresas que promueven la marca BOLIVIA. El registro de dominios debería haber estado subvencionada desde su creación con un margen de 10 años como mínimo. Conocemos el trabajo de ADSIB y podemos afirmar que existió en teoría durante unos 6 años, recién en los últimos 6 a 10 años es que toma su posición de Agencia para el Desarrollo de la Sociedad de la Información. Y recalco, no por los técnicos que estuvieron en su momento, sino por la falta de visión estratégica. Sin duda he debido asistir a mas de una docena de convocatorias para definir estrategias país para impulsar este tema, que mas allá de la foto y el refrigerio no se plasmaron en nada!!

 

Soy usuario de Internet con casi 20 años comprando dominios, hosting y haciendo registros. Entonces creo que conozco bastante la historio sobre este tema y los pormenores. En estos años he registrado mas de 30 dominios entre los cuales también he tenido.bo.

Esto ha estado rebajando, en promedio puedo decir que casi siempre he pagado 15 dolares, al principio desde 20 y ahora algo de 10$US.

Lo que mas valoro de esto? la facilidad de compra. Tarjeta de crédito o paypal y en minutos tienes comprado el dominio. Los name servers cambiados y propagados en cuestión de horas. Desde decidir tener un dominio, revisar, comprar, direccionarlo y propagarlo se puede tener como 4 horas y esta listo.

En ese tiempo mientras se propaga los nombres y direcciones puedes contratar un hospedaje, hacer una pagina con alguna facilidad o aplicativos como wordpress, jomla, drupal o similares. Activar respaldos, seguridad, bloqueos y demás. Claro que el tema de hosting con todas esas bondades puede costar entre 100 a 200 dolares, pero anuales.

Por otro lado los sitios con extension .bo no se han caracterizado por esa celeridad. Quizá su justificación ha sido comprobar al titular del dominio, pero creo que hace muchos años ya se han dado condiciones como para hacer esa validación.

Este tema de tener depósitos en cuenta sin poder identificar parece algo complejo. Que tan legal es tener un deposito no identificado y revertir el monto a favor del administrado? al final es un ingreso que seguramente es facturado. De alguna manera deberá ser contabilizado. Al margen de esto no debería ocurrir si el registro siempre estaría asociado a personas naturales o jurídicas con nombres de dominio declarados.

Los precios de sitios nacionales no son los mas baratos:

un sitio com.bo esta en 40$US cuando en el mercado internacional tiene un costo de 10$US. Creo que por ahí la elección es muy clara.

Ahora existe una campaña de crear nuevos sitios con extensiones especiales a 55bs. lo cual parece muy interesante.

Pero también tenemos los nombres especiales internacionales como .online, .site,.websit, espace que estan entre 3 y 9 dolares.

Al final creo que el tema no esta tanto en el precio de un .bo, sino en las ventajas que tiene una empresa al comprar este tipo de dominios.

En el tiempo que administro los dominios propios no he podido percibir ninguna facilidad o ventaja competitiva. Al final el éxito de un sitio no se mide por el nombre de dominio, sino por las visitas basadas en contenido. Visitas humanas que puedan en algún momento lograr cumplir el objetivo institucional de publicar un sitio web. Si el objetivo es lucrar, entonces las visitas me debe llevar a vender. si es socializar, entonces deberé poder medir el grado de alcance. posicionamiento, presencia, etc. son objetivos medibles.

Creo que mas alla de pensar en hacer mas barato o mantener precios, se debe pensar en las ventajas que el cliente pueda tener al comprar un dominio .bo. Primero el proceso de comprar debe ser completamente digital. No podemos concebir el pago por caja con comprobante impreso y envió por correo. Con tantas facilidades de pago digital, se debe disponibilizar alguna.

Quiza el nombre de dominio .bo pueda ser un requisito en fundempresa o las cámaras de comercio, industria o gremio alguno, pero no llevar a la obligatoriedad tradicional, sino a que el registrante recibe alguna ventaja por esta compra.

LAMENTABLEMENTE creo que la reacción es tardía!! los sitios www están entrando en obsolescencia. Las redes sociales con todas las facilidades han desplazado el concepto de sitio web. Pero demos el derecho a la duda. En otra nota estaré explicando y sosteniendo esta afirmación.

 

 

 

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023