20/04/2024

Mes: octubre 2017

DELITOS DE CUELLO BLANCO REQUIEREN INVESTIGADORES DE CUELLO BLANCO

Guido Rosales 25/10/2017

La investigación del Banco Unión mas allá de Fiscales y policías requiere de un equipo multidisciplinario para investigar las causas y controles vulnerados que dieron origen al delito cometido. Nos estamos ocupando más de cómo se gastó el dinero y menos de como se hizo de tales cantidades. Destituir funcionarios tampoco soluciona la falta de controles.

Las peleas y disputas entre el Ministerio Publico y la Policía deberían estar acompañadas de la demostración en cuanto a equipo profesional de investigadores. Mas allá de mostrar cargos o grados deberían demostrar experiencia, capacidad y habilidades en la investigación de este tipo de delitos.

Lamentablemente el uso propuesto del polígrafo no tiene efectividad operativa y sobre todo capacidad de prevención. En una entidad financiera, el personal maneja todos los días importantes sumas de dinero. Quienes lo hacen de manera física son los menos, gran parte lo hace de manera digital. Aplicar polígrafo a todos ellos sería una tarea muy compleja. Necesitaríamos gran cantidad de unidades y personal entrenado. Los delitos de cuello blanco o guante no son conductas que vengan premeditadas. Por la experiencia, se puede decir que los responsables en casos ocurridos no entraron a una entidad financiera precisamente porque quieren delinquir, sino que es una fuente más de trabajo. Analizando el itercriminis de un fraude se concluye que las variables: presión, capacidad, oportunidad y justificación se dan de manera aleatoria en tiempo y espacio restando con seguridad eficacia a un control tan limitado como un polígrafo.

En Norteamérica cuan del polígrafo se tienen los delitos de cuello blanco más sonados, véase ENRON por ejemplo o el caso Madoff.

Sin entrar en mucho detalle de los llamados delitos de cuello blanco o un grupo similar pero no idéntico denominado delitos de guante blanco vamos a decir que el termino blanco va en contraposición a los delitos cometido con violencia. Cometido por personas con formación académica, cargos profesionales, respetables socialmente, etc.

En Wikipedia podrán encontrar una definición mas completa. https://es.wikipedia.org/wiki/Delitos_de_guante_blanco_o_de_cuello_blanco

El objetivo de este articulo apunta a la necesidad de contar con personal capacitado y entrenado para combatir este tipo de delito, pero desentrañando las causas con la finalidad de generar acciones de prevención.

Un delito cometido debe ser investigado por el ministerio público y la policía para evaluar las sanciones penales y civiles, pero más allá debe ser investigado por especialistas en FRAUDE y delitos de cuello blanco para detectar las vulnerabilidades atacadas y evaluar las responsabilidades internas.

Es importante desarrollar como país ese tipo de especialistas tanto en el ministerio publico como en la policía. Estos días vemos como se disputan la jurisdicción entre ambas instituciones y el derecho o el deber de participar en la ya tan famosas investigación del Banco Unión.

Como ciudadano y más aun como especialista en seguridad e informática forense, habiendo participado en varios casos de investigación criminal en delitos económicos financieros me pregunto si ambas instituciones están en la capacidad de realizar técnicamente esta investigación. ¿Por el lado de la Policía Boliviana nacional sabemos que gran parte de los oficiales son también abogados, entienden mucho de leyes, pero entienden de contabilidad, auditoria financiera, riesgo operativo, riesgo de liquides, riesgo de mercado, teorías del fraude y demás tópicos que le son exigidos a un especialista en investigación de fraudes?

Tomo recomendaciones internacionales para la conformación de un equipo multidisciplinario:

https://www.auditool.org/blog/fraude/4117-14-profesionales-para-una-investigacion-de-fraude

Con ligeras modificaciones adaptadas al contexto nacional

  1. Certified Fraud Examiner (CFE), están entrenados para conducir y liderar complejos casos de fraude desde su concepción hasta su conclusión.
  2. Consejero Legal, para que toda la examinación se realice con asesoría legal y ninguna actividad se salga de la legitimidad.
  3. Consejero internacional, para lidiar con las investigaciones que enfrentan problemas de jurisdicción al llevarse a cabo fuera del país.
  4. Auditor de procesos, soportan las investigaciones evaluando la efectividad de los controles y procedimientos de una organización.
  5. Auditor contable, para que examine y audite los documentos financieros involucrados en la investigación.
  6. Personal de seguridad, que realiza las entrevistas, identifica testigos externos, obtiene registros públicos y documentos externos.
  7. Recursos humanos, considera las leyes y derechos de los empleados para abogar por su respeto, cumplimiento y no violación.
  8. Ingeniero de sistemas, si un fraude ocurre de seguro hay un computador involucrado y podría ayudar a la identificación de los datos.
  9. Analista Forense Informático, para adquirir, preservar, analizar y presentar evidencia digital en la investigación.
  10. Especialista en analítica de datos, para diseñar mecanismos de adquisición, procesamiento y análisis de grandes volúmenes de datos.

Una de las certificaciones internacionales mas reconocidas en materia de Investigación de fraudes es CFE – Certified Fraud Examiner y se puede conocer mas en http://www.acfe.com/become-cfe-qualifications.aspx

Finalmente cuando hablamos de Fraude en términos simples analizamos 4 variables

  1. Conocimiento /Capacidad: todos los funcionarios logran esta capacidad con el ejercicio profesional.
  2. Oportunidad: Aquí está el detalle de los controles. Si estos no son eficaces y eficientes se encuentra el momento para delinquir.
  3. Presión: Todos tenemos todo tipo de presión: económica, familiar, social, política, etc.
  4. Justificación: Tiene que ver con los valores morales de cada persona. En la práctica muchos opinan que robarle a un banco nunca trae víctimas, al final el seguro termina pagando y todos felices.

 

 

Cuando estas 4 variables coinciden en tiempo y espacio la probabilidad de delinquir se hace muy elevada. Por tanto, los controles de riesgo contra el fraude generalmente implementan controles para monitorear los cambios y patrones de conducta peligrosos.

Las personas somo animales racionales de hábitos. Una línea de control y monitoreo que esta cobrando mucha efectividad a nivel mundial es precisamente el Estudio conductual sobre las personas. El cambio de hábitos es una señal de alerta. Todos los sistemas de información pueden monitorear ese cambio de hábitos basados en el análisis de Patrones Conductuales. Considero que las medidas de prevención del fraude deben ser actuales y considerar inteligencia de negocio, minería de datos e inteligencia artificial orientado a la prevención del fraude mediante la patronizacion de recursos y personas

La timidez de la regulación en seguridad y la falta de métricas

Guido Rosales 16/10/2017

Sin duda tener un marco regulatorio muy tímido para establecer aspectos tangibles y objetivos es tan malo como no tener dicho marco.

Resulta que en materia de Seguridad y Auditorias de sistemas tenemos 17 años aproximadamente de marco regulatorio, pero se aplica desde Bancos hasta cooperativas pasando en su momento por las diferentes entidades reguladas en el sector financiero.

Sin duda ha sido un proceso de maduración, pero en 17 años ya debió haber madurado. Y no estamos haciendo referencia a que el gobierno actual esta solo 10 años, sino que el sistema de regulación ya lleva muchos años con esta responsabilidad.

Desde la recordada circular SBEF 443/03 que tuvo varias versiones modificadas en su momento hasta la circular ASFI 395/16 vemos que la subjetividad e interpretación del regulado se ha mantenido. Incluso ahora se ha adicionado un trozo que mas parece un rezo que un hecho regulado "En función del tamaño, la complejidad de las operaciones...", es decir, la seguridad debe ser interpretada por el regulado en función de sus características, pero esto no funciona de esa manera. Casi el total de regulados pertenecientes a un sector donde manda la rentabilidad sabe que la mejor ecuación es aquella donde se maximiza la utilidad reduciendo los costos y gastos.

Estamos fallando desde la concepción de los proyectos. Recién en la circular ASFI 395/16 se han animado a colocar que las EEFF, por ejemplo deben solicitar la NO objeción al ente regulador para implementar servicios en la nube. Por cierto algo muy curioso por cuanto la nube es un concepto que se usa desde el primer momento que se ha colocado un sitio web y una pagina. La regulación no es retroactiva entonces solo aplica a los nuevos proyectos cuando debería obligar que TODOS envíen su solicitud no para nuevos servicios, sino para mantener los actuales.

Por que pensar en los proyectos? Simple. En este momento el negocio debe analizar los riesgos y la seguridad sera un elemento a tomar en cuenta. Es en este momento que por ejemplo la regulación debe ser especifica y obligar que por lo menos el 10 o 20% de la inversión en un proyecto este destinada a su seguridad.

Tenemos servicios que salen sin adecuadas medidas de seguridad, impulsados por las áreas de negocio, marketing y publicidad. Las medidas de seguridad se verán luego!! Algo que muchas veces no llega hasta que surgen problemas.

Las auditorias de cumplimiento tienen diferentes riesgos inherentes, por un lado se ha observado que el factor humano esta afectando cuando el revisor no tiene las barbas suficientes, o dicho de manera mas formal, no tiene la experiencia y conocimientos suficientes para evaluar el riesgo y su nivel de cumplimiento en la entidad auditada. Si a esto sumamos que el marco regulatorio en su característica de timidez, ha definido su mismo nombre como "Requisitos mínimos.." entonces el regulado siempre esta en la posibilidad de cumplir con ellos. Desde una cooperativa de nos mas de 10.000 clientes, hasta un banco con casi un millón. dicho de forma mas cruda, con la regulación subjetiva, el regulado despista al regulador!!

Que se puede hacer?

Sin duda muchas cosas, pero ahora que se esta tocando por ejemplo la medida de lo significativo, se debería establecer proporcionalidad numérica.

La inversión en seguridad durante cada gestión debería ser aproximadamente el 20% (por dar un ejemplo), pero esto deberia ser propio de cada proyecto de negocio.

  1. Si lanzo un producto en redes sociales, este debe tener su proyecto y debe reflejar la asignacion de un 20% en temas de control de prevención, detección y correcion.
  2. Si lanzo una nueva agencia, lo propio, minimamente el 20% costaran las cámaras, guardias, seguridad fisica y otros.
  3. Si tengo un sitio web transaccional, lo propio. sistemas antiphishing, firewalls de aplicacion, firewall de base de datos, etc.

 

En general si pensamos en seguridad de la información, todos los recursos orientados a la prevención, detección y corrección de incidentes y violaciones de seguridad van a su presupuesto.

También en términos generales se puede llegar a imponer que el x% del patrimonio debe haber sido invertido en Seguridad, de esa manera la misma regla es aplicada a un banco múltiple, pyme, EFV, cooperativa o servicios complementarios. Lo que para un Banco múltiple es insignificante, puede ser vital para una cooperativa de ahorro y crédito.

Actualmente el ítem seguridad se negocia como pidiendo una limosna cuando debería ser obligatorio para cada negocio.

Así como esta métrica se puede disponer que personal en seguridad de la información debería ser por lo menos un 1  a 3 % de la cantidad de usuarios. Y no estamos hablando de auditoria por cuanto  ahí también tenemos un problema. Hacer una revisión anual de auditoria de sistemas es demasiado extemporáneo. El control de seguridad debe ser muy cercano al hecho ocurrido. Entonces lo que se debe reforzar son herramientas de seguridad y personal que monitoree los resultados.

En conclusión, volvemos a la rememorada frase. "si no se puede medir, no se puede administrar", las métricas serán comunes, pero los indicadores harán la diferencia en cada tipo de Entidad Financiera. Es tiempo que el regulador le ponga los cascabeles al gato en materia de seguridad de la informacion!!

 

 

 

 

 

Caso en Bancos: mañas conocidas con nuevos instrumentos

Guido Rosales 16/10/2017

El caso de los Bancos UNION y PRODEM deben cuestionar nuestro sistema de control, auditoria y regulación invocando nuestra capacidad de resiliencia. Más allá de buscar culpables que sin duda es necesario, debemos pensar en mitigar este tipo de situaciones.

Por supuesto que la tarea de encontrar controles vulnerados y responsables será la parte más liviana. Es más fácil hacer leña del árbol caído que definir y ejecutar medidas para evitar que el árbol caiga.

Llevo 20 años participando de investigaciones similares, fraudes, desfalcos, estafas, y otros nombres que se le da a la situación donde una o varias personas aprovechando niveles de confianza a veces excesiva, realiza actos contrarios a los inicialmente definidos.

¿El nuevo instrumento? Sistemas de información digital

Queremos definirlos como actos contrarios a los definidos y esperados por cuanto la ley es demasiado compleja y no se los puede tildar de otra manera sin un debido proceso que muchas veces no llega a hacerlo. Pero veamos ciertas lecciones aprendidas que lastimosamente no son aplicadas en la realidad, dando permanente continuidad a estos ACTOS CONTRARIOS.

Que se haga más, pero paguemos menos

    1. Típica conducta impulsada por los manejadores de presupuesto que no ven los riesgos de la concentración de funciones. No identifican que la relación hecho contra verificado no puede realizarse por la misma persona o, por otro lado, la persona que verifica no puede controlar actividades en exceso o con carencia de instrumentos. La sola existencia del rol verificador no puede ser tomada como un talismán que asegure su cumplimiento.
    2. Si la empresa no puede estructurar un organigrama donde claramente se identifique las instancias de control, el error no es operativo, sino nació en un nivel estratégico.

 

El mundo digital se administra y controla con herramientas digitales

  1. Los cinco sentidos de una persona le permiten controlar cosas materiales. El mundo digital donde se trafica bits, no puede ser controlado sin adecuados y oportunos instrumentos. La cantidad inmensa de datos que se generan hace imposible su administración sin la adecuada instrumentación del control. Herramientas, capacitación y entrenamiento mitigan el riesgo del desbordamiento de datos.
  2. Toda empresa debe poder identificar en su balance la proporción entre instrumentos operativos e instrumentos de control. Deberíamos llegar mínimamente a un 80/20 entre la inversión para funcionar contra la inversión para controlar. Pero controles dedicados, no un ADEMAS como generalmente se coloca en manuales de funciones. Los instrumentos de control deben ser especializados y no una navaja suiza que se pueda adaptar a cualquier finalidad y sirve para salvar el momento.
  3. La información digital en un negocio tan complejo como Banco es inmensa, tanto para el nivel operativo como para el de control. Los sistemas de control en esta fase previa a un ACTO CONTRARIO deben ser PREDICTIVOS y anticiparse ante la desviación de ciertos parámetros.

¡Los junior cobran menos y hacen más!!

  1. Cuando se hace la valoración de riesgo operativo y se valoran los controles se debe tomar en cuenta no solo el conocimiento de los responsables de control, sino su pericia y experiencia. Salvo sea un superdotado con la capacidad de leer información de muchos casos y digerirlos para generar una Pseudo experiencia, la mayor parte de los responsables de control necesitan equilibrar la relación “Experiencia/trabajo”.
  2. En las instancias de control y auditoria está pasando que el 80% del trabajo es realizado por junior. El 20% lo realiza un senior, pero el riesgo esta que aplica su experiencia en la información colectada por el junior.
  3. Un junior conoce la tecnología de información, pero le falta experiencia. Al contrario de un senior principalmente de auditoria clásica.
  1. La seguridad fisica es también centralizada
    1. En entidades con ofician centralizada y también concentrada en la casa matriz, la seguridad física y control sigue la misma línea. La experiencia ha demostrado que en oficinas regionales, sucursales y similares el nivel de control es muy diferente al existente en la central. Mientras más lejos, más relajada.
    2. Sin embargo, la seguridad digital no tiene esa limitación, puede estar con la misma intensidad tanto en la central como en el último punto donde llegan los datos. Siempre y cuando se tengan instrumentos digitales

Los malos estan fuera, cierren las puertas

  1. Definitivamente el exceso de confianza nos hace pensar que el mal vendrá de afuera y no desde el interior mismo. No queremos pensar que alguien conocido sea capaz de hacer ACTOS CONTRARIOS.
  2. Los controles al interior de las empresas tienden a ser más relajados por que se han personalizado y dependen de la persona en el cargo. Se va perdiendo la lógica que los controles se hacen a los cargos y no a las personas.

El diamante del fraude

  1. Teoría que dice sobre la coincidencia en tiempo y espacio de 4 factores para laocurrencia de un fraude
    1. Oportunidad: Los funcionarios de una empresa tienen la oportunidad permanentemente. Reciben dinero ajeno constantemente. Tienen acceso a los sistemas de información.
    2. Justificación: Depende mucho de la formación y valores de las personas. Sin embargo, cuando se trata de actos contrarios contra entidades financieras el remordimiento es casi nulo, por cuanto casi nunca hay víctimas humanas. Al final es seguro cubre todo
  • Capacidad: Los funcionarios llegan a conocer y dominar su trabajo con el paso de los años. Son expertos en hacer, pero también pueden deshacer.
  • Presión: Social, familiar, de salud, financiera, etc. Todos tenemos alguna forma de presión.

Los delitos de cuello blanco no son violentos o descuidados

  1. Sin necesariamente entrar en el ámbito digital, desde hace mucho se sabe que los actos contrarios denominados delitos de cuello blanco tienen una característica principal “paciencia y premeditación”. Se modelan con buen colchón financiero y van sentando sus ramificaciones por todo lado. Van creando una red interna y compleja en el negocio.
  2. El NEPOTISMO es un botón que debía servir de muestra, pero ahora es totalmente OBSOLETO. La relación de parentesco consanguíneo ha cedido terreno a los lazos fraternales que se establecen por ejemplo en 12 años de colegio, una fraternidad, una logia y similares. Por supuesto que no podríamos tachar de nepotismo esta vinculación, pero se podrían activar más controles y evitar estas relaciones perjudiciales, pero muy enraizadas en nuestra sociedad. Al final se privilegia la confianza frente a la capacidad.

En arca abierta justos pecan

  1. La seguridad debe ser proporcional al activo protegido: Es un principio muy básico, sin embargo, no entra en la lógica del GERENTE que busca una mayor utilidad con menor inversión. Tenemos un problema desde las aulas universitarias donde los catedráticos han sellado la lógica de tener negocios rentables en desmedro de los negocios seguros.
  2. Si la persona ve que no existe control o es muy relajado va definiendo su ITERCRIMINIS rumbo a esos ACTOS CONTRARIOS. Hace el modelamiento y si no ve respuesta de los encargados de control, llega un punto donde los 4 elementos del diamante del fraude se juntan y convierten a una persona normal en un perpetrador de ACTOS CONTRARIOS.
  3. La sanción, el proceso legal y el juicio son acciones correctivas que lamentablemente priman como instrumento de disuasión, favorecidas por personas inclusive con cierto tipo de formación profesional. Lo más importante no es ganar el juicio y meterle a la cárcel, sino tener una empresa donde se respire CONTROL y las personas cumplan sus funciones, protegidas por la misma empresa.

Los procedimientos de negocio definen no solo hábitos de trabajo sino modus vivendi

  1. La cultura organizacional a través de sus normas y procedimientos calan hondo en las personas, sus hábitos laborales y hasta su forma de vida (modus vivendi). Cuando se quiere ejercer control, se debe monitorear esa habitualidad para detectar alteraciones o cambios al patrón regular. Al final es posible patronizar casi TODO con mucha exactitud. Por ejemplo, el habito de una persona, de un proceso, de un sistema, de una agencia, etc. Por supuesto que se necesitan herramientas tecnológicas primero para patronizar conductas y segundo para determinar esos cambios.
  2. El contagio de hábitos de trabajo es mutuo. Las personas al negocio y este a las personas. Si tienes una mezcla de personas con diferentes antecedentes, tendrás un negocio muy heterogéneo en el espíritu de control. Tomara tiempo hacer que las personas reciban la influencia del negocio. Pero en algunos años el efecto será de arriba/abajo.

Sin duda es un tema de largo aliento. Ambos casos le están haciendo un daño reputacional al país más allá de las mismas instituciones. No solo merman la confianza en un sistema financiero, sino siguen afectando la capacidad de gestión del mismo gobierno como Gestor de negocios. El desafío sigue creciendo y tendrá esta orientación. Lo que ha pasado en estos bancos sin duda ha pasado en TODOS los otros. “El que esté libre de pecado que tire la primera piedra! Y ojo, no solo estamos hablando de Bancos, nos está tocando en TODO tipo de negocio. No estamos asimilando el cambio entre el mundo físico y el mundo digital. El primero era controlado con nuestro sentido. El nuevo orden digital requiere otras capacidades. Debemos buscarlas e implementarlas.

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023