Professional Documents
Culture Documents
Julio R. Jolly Moore, CFE, CRISC, CRMA, CGEIT, Internal Audit Quality Assessment Socio BDO Consulting de BDO Panam & Osvaldo Lau C., CISA, CRISC, Internal Audit Quality Assessment Director BDO Consulting de BDO Panam
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
Agenda
1. 2. 3. 4. 5. 6. 7. Introduccin El futuro y Fraude Electrnico. Aspectos generales de fraudes electrnicos. Fraudes electrnicos ms comunes. rbol para analizar ataques. Qu se puede hacer para prevenir un fraude electrnico? Prevencin de Fraude Electrnico desde la perspectiva del Cliente y Comercio. 8. Prevencin de Fraude Electrnico desde la perspectiva del Banco. 9. Conclusiones.
Pgina 2
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
INTRODUCCIN
Tcnicas para la prevencin de fraude electrnico en instituciones financieras
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
FRAUDES BANCARIOS
FRAUDES BANCARIOS
FRAUDES BANCARIOS
FRAUDES BANCARIOS
Prdida de ingresos online
4,5 Prdida de ingresos online 4,0 3,5 3,0 2,5 2,0 1,5 1,0 0,5 0,0 2000 2001 2002 2003 2004 2005 2006 2007 2008 1.5$ 1.7$ 2.1$ 1.9$ 2.6$ 2.8$ 3.0$ 3.6$ 4.0$
FRAUDES BANCARIOS
En el 2012 se crearon ms de 27 millones de programas malignos (Malware) lo que se traduce a 74,000 cada da.
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
Pgina 10
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
Pgina 11
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
Pgina 12
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
Pgina 14
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
Page 16
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
Fuente: Retos Clave Contra el Fraude Electrnico en las Instituciones Bancarias y Financieras de Latinoamrica Frost & Sullivan
Page 18
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
ATAQUES
Credencial de usuario comprometida
Inyeccin de comandos
Secuestro se sesin
Comunicacin del usuario con el atacante Instalacin de software malicioso Ingeniera Social Explotacin de vulnerabilidad Correos con cdigo malicioso Ofuscacin de pagina Web Manipulacin de sitio Web
Cdigo oculto
Gusanos
Pharming
Pgina 19
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
QU SE PUEDE HACER PARA PREVENIR UN FRAUDE ELECTRNICO? Qu es la PREVENCIN del fraude electrnico?
Una actividad en conjunto entre la institucin bancaria y el cliente para crear un ambiente para la prevencin del uso inadecuado o no autorizado de recursos tecnolgicos para tomar ventaja sobre una persona o entidad financiera. CLIENTES BANCO
Pgina 21
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL CLIENTE Aspectos clave para la prevencin
El usuario y cliente debe tambin tomar accin proactiva para prevenir el fraude tomando nota de simples prcticas como por ejemplo: REPORTE LA OCURRENCIA O SOSPECHA DE UN FRAUDE. Abra una cuenta aparte para realizar transferencias electrnicas donde pueda hacer retiros o recibir pagos (Planilla por ejemplo). Verifique siempre que el certificado de autenticidad pertenece al banco con que est haciendo la transaccin. Evite contraseas repetidas o muy simples. Cambiar regularmente. Borre mensajes de correos de personas no conocidas. Bloquee ventanas emergentes (pop-up) y no descargue archivos de sitios desconocidos.
Page 23
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL CLIENTE Aspectos clave para la prevencin (Continuacin)
Notificar al banco sobre viajes y por cunto tiempo. Conozca los nmeros de tarjeta, saldos y nmeros telefnicos del banco y gurdelos en un lugar seguro. Nunca proporcionar informacin a nadie a menos que usted haya iniciado la comunicacin. Denunciar inmediatamente las tarjetas extraviadas. Triturar documentos con informacin confidencial antes de tirarlos a la basura. Instalar y mantener actualizados su software antivirus y antispyware en sus equipos.
Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico
Page 24
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL COMERCIO Aspectos clave para la prevencin
Un comercio es tan susceptible al fraude como un usuario tradicional, por lo cual debe tomar accin para prevenir el fraude: REPORTAR LA OCURRENCIA O SOSPECHA DE UN FRAUDE. Realizar auditorias recurrentes sobre sus sistemas e informacin financiera. Segregar las funciones y divida las responsabilidades delicadas (de carcter financiero) entre varios ejecutivos claves. Destruir los cheques anulados o informacin financiera vieja. Cambie las contraseas y usuario si ocurre algn evento sospechoso, o si la persona que la utiliza cambia o sale de la empresa.
Estrategias para la Prevencin, Anlisis y Deteccin de Fraude Electrnico
Page 25
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL BANCO Servicios clave del banco para la prevencin
El banco debe asegurarse de ofrecer a sus clientes servicios importantes que les permitan estar alertas a posibles fraudes, como por ejemplo: Emitir/enviar alertas sobre transacciones por correo electrnico o mensajes de texto. Mensajes frecuentes para educar sobre seguridad de TI.
Page 27
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL BANCO Tecnologas clave para prevencin de fraudeIDS (Intrusion Detection Systems)
Mtodos de autenticacin de Multi-Factor. Soluciones de Anti-Phishing y Anti-Pharming. IDS (Intrusion Detection System)
Detectar escaneo maliciosos o no autorizados y alertar a la administracin o gerencia. Crear bitcoras detalladas para habilitar un anlisis y forense y asistir en las posibles acciones legales. Detectar explotacin de vulnerabilidades (Network IDS) o archivos o bitcoras que se estn borrando (Host IDS) y alertar a la gerencia.
Page 28
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL BANCO Tecnologas clave para la prevencin
Anlisis en tiempo real de transacciones Auditora Continua Monitoreo Continuo Aseguramiento Continuo
Page 29
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL BANCO Implementar buenas prcticas de control interno
Reforzar el proceso de seleccin y reclutamiento. Implementar el uso de herramientas y sistemas para la identificacin de actividades sospechosas o no autorizadas. Realizar charlas o entrenamientos de concientizacin al personal sobre el buen uso de los recursos tecnolgicos. Establecer polticas claras sobre el manejo de incidentes y las sanciones por incumplimiento de las polticas de seguridad. Entrenar y certificar a personal de TI para poder prevenir e investigar incidentes de fraude.
Page 30
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
PREVENCIN DE FRAUDE ELECTRNICO DESDE LA PERSPECTIVA DEL BANCO Implementar buenas prcticas de control interno (Continuacin)
Establecer una cultura corporativa de control. Establecer una polticas para la denuncia confidencial de posibles fraudes. Identificar los riesgos de manera oportuna y establecer los planes para administrarlos. Monitorear y probar la eficiencia de los controles.
Page 31
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
Page 34
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
Historialdeeventos
Cantidad Descripcin
Nombre
NiveldeRiesgo
Alto Medio
Riesgos/ Fraudes
Controles
Detalle/Objetivo Tipodecontrol
Automtico Manual
Efectividaddelcontrol
Alta Media Baja
Recomendaciones
Page 35
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
CONCLUSIONES
Tcnicas para la prevencin de fraude electrnico en instituciones financieras
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.
Pgina 38
Todos los derechos reservados. Prohibida su reproduccin no autorizada. autorizada por BDO Consulting.
GRACIAS
TCNICAS PARA LA PREVENCIN DE FRAUDE ELECTRNICO EN INSTITUCIONES FINANCIERAS
XVII CONGRESO LATINOAMERICANO DE AUDITORA INTERNA Y EVALUACIN DE RIESGOS
Julio R. Jolly Moore, CFE, CRISC, CRMA, CGEIT, Internal Audit Quality Assessment Socio BDO Consulting de BDO Panam jjolly@bdo.com.pa & Osvaldo Lau C., CISA, CRISC, Internal Audit Quality Assessment Director BDO Consulting de BDO Panam olau@bdo.com.pa
Todos los derechos reservados. Prohibida su reproduccin no autorizada por BDO Consulting.