Gestión del riesgo y avances tecnológicos contra el fraude

Publicado por Carlos Guerra - 06/02/2018

El fraude es algo inerente a todo tipo empresas, sean del sector que sean.

Siempre que existe la posibilidad de ganar algo, puede darse a lugar algún tipo de fraude.

Desgraciadamente, el fraude no es tratado por las organizaciones como se debería, ya sea porque no sucede con mucha frecuencia o porque las propias organizaciones no consiguen gestionarlo de una forma adecuada.

A pesar de todo, el fraude es una realidad innegable y se ha vuelto cada vez más relevante en las discusiones estratégicas de las organizaciones.

El desarrollo de las nuevas tecnologías, al mismo tiempo, se convierte en una variable que influye sobre la seguridad y facilita el tipo de fraude que sufrimos hoy día.

Los avances tecnológicos permiten a las empresas, públicas y privadas, defender su patrimonio, sus datos y sus processos. Pero esta misma tecnología, proporciona un mecanismo a aquellos dispuestos a robar o a conseguir ganancias inmediatas. 

En este año que ha terminado (2017), hemos podido asistir a una gran cantidad de ataques que han tenido lugar con el único propósito de cometer un fraude contra los equipos y conseguir ganacias sobre la información robada. Los casos de Wanna Cry, Petya y Bad Rabbit, demuestran hasta qué punto estamos expuestos al fraude y los cibercriminales.

anti-fraud-technology-03.jpg

A pesar de que muchas empresas se mantuvieron incólumes por estos sucesos, el hecho es que fueron reales y pusieron en riesgo a los sistemas y sus informaciones.

La investigación de Kroll – “Relatório Global de fraude e Risco 2016-2017”; disponible en Internet, demostró un aumento considerable en la exposición de las empresas entrevistadas.

En las preguntas sobre fraude, el 82% de los ejecutivos entrevistados relatan al menos un incidente de fraude en sus organizaciones, resultando un crecimiento significativo del 75% en relación a la encuesta anterior.

Por otro lado, otra cifra de interés es el aumento de Ciberataques, pues el 85% de los entrevistados afirman haber sufrido un ataque de estas características.

A pesar de la dificultad de determinar la cuantía del impacto, sí podemos afirmar que resulta sigificativa sobre los ingresos de las compañías.

Volviendo a la cuestión tecnológica, las empresas reconocen la tendencia creciente del fraude, impulsada por la tecnología y procuran implantar soluciones que permitan mitigar o eliminar dicho fraude.

Sin embargo estas soluciones, comerciales o desarrolladas internamente, pueden no ser adecuadas contra los riesgos a los que están expuestas las organizaciones dado que se implementan sólo para solucionar algo específico o para mitigar una brecha que ya ha sido explotada.

Muchas de las soluciones de mercado no son predictivas y no proporcionan información nueva o desconocida. Aunque el sector está trabajando cada vez más con Deep Learning y Machine Learning, los ataques crecen en paralelo.

Es necesario que las organizaciones, antes de elegir una determinada solución, desarrollen un profundo análisis del riesgo del fraude de manera más profunda y con una visión más amplia.

La gestión del riesgo del fraude debe considerarse como una función destinada a mitigar o eliminar la exposición a dicho riesgo, por lo tanto, no se debe considerar como una actividad independiente y sin una estrategia, donde las cuestiones identificadas y analizadas sólo se abordan desde el punto de vista del impacto de un posible fraude.

Para combatir el fraude, las organizaciones deben comprender primero sus limitaciones e identificar cuál es el riesgo al que pueden estar expuestas. Y ésto no puede alcanzarse sin un análisis estrucutrado del estado actual de la organización desde un punto de vista global. Las organizaciones deben establecer un marco apropiado de gestión de riesgo de fraude empresarial alineado con los objetivos estratégicos de la organización, apoyado por una buena planificación de las acciones a realizar.

No es posible pretender contener los riesgos del fraude en una organización sin desarrollar un marco que tenga en consideración: la Gobernanza, los Procesos de Negocio, los Desarrollos Tecnológicos y la Madurez de la organización en relación a las cuestiones del riesgo y el fraude.

Existen diferentes marcos de trabajo que pueden ayudar a las organizaciones a tener éxito en la gerencia de sus riesgos de fraude. Es importante conocerlos y referenciarlos para permitir a la organización trabajar según sus verdaderas necesidades.

La gestión del riesgo de fraude es un proceso que debe desarrollarse en todos los niveles de la organización. Es fundamental que establezcan e implementen las políticas, las normas y los procedimientos, así como que identifiquen los procesos y la tecnología que va a ser utilizada, de manera apropiada a las realidades del negocio, aplicando estos componentes de forma integrada para poder combatir con efectividad los fraudes.

Los principios, la cultura y la ética de la empresa proporcionan la orientación práctica para el comportamiento organizacional deseado para la gobernanza y la gestión del día a día. Incluye actividades que ayudan a definir el rumbo a seguir, así como establece un código de conducta y supervisión que facilita el desarrollo de una cultura antifraude.

anti-fraud-technology-02.jpg

Una cultura de este tipo, facilita que el fraude sea más difícil de perpetrar. Asi, cuando se detecta, se identifica y se trata de una manera eficaz y eficiente.

En este punto, la Tecnología debe ser un factor determinante, las organizaciones necesitan gestionar y mantener un equilibrio entre el control y la velocidad de los análisis de eventuales ocurrencias, a fin de identificar y poder trabajar en los eventos con agilidad.

El enfoque de la gestión de riesgos debe ser el de preservar los activos de TI a fin de que la Integridad, Confiabilidad y la Disponibilidad de la información no sea comprometida y esté a disposición de la organización.

En el escenario actual, utilizar software de Análisis Predictivo Avanzado puede permitir que se identifiquen patrones sospechosos que facilitarán la detección y prevención del fraude antes de que ocurra. El uso de este tipo de software es una necesidad para las organizaciones debido a la constante evolución de los cibercriminales, que se adaptan rápidamente y transforman sus vectores de ataque en algo cada vez más complejo.

Las organizaciones deben estar preparadas para anticiparse a estos ataques, utilizando tendencias emergentes y software que tenga mecanismos inteligentes que permitan la identificación, bloqueo y contra medidas cuando impacta un ataque.

Como se viene comentando en este artículo, lo que vemos actualmente es que las organizaciones que más éxito han tenido en el combate al fraude son aquellas que gestionan las cuestiones de riesgo y fraude de una manera integrada, usando un marco que las oriente y que creen una organización adecuada para integrar las cuestiones de Gobernanza, Proceso, Tecnología y Madurez.

Estas organizaciones, en su cultura, ya han entendido que las cuestiones del riesgo de fraude pertenecen a un ecosistema que integra sistemas y procesos, todos alimentados por una estrategia tecnológica que atiende a los requisitos definidos por la organización.

Es evidente que estas organizaciones implementan tecnologías avanzadas que soportan varias fuentes de datos, independientemente de la estructura, volumen o velocidad, con una integración adecuada en sistemas y procesos a nivel corporativo.

Estos sistemas se basan en los análisis inteligentes y predictivos, considerando un conjunto amplio de atributos (por ejemplo, identidad, relaciones, comportamientos, patrones, anomalías, visualización) y exhiben tendencias inteligentes (por ejemplo, predecir, detectar y gestionar). Estas funciones son de vital importancia para contener acciones de fraude y dar la seguridad necesaria a los usuarios.

Por lo tanto, es necesario que la gestión del riesgo de fraude sea un proceso continuo y que forme parte de la estrategia de la organización de manera sistémica para, en última instancia, permitir que sus capacidades evolucionen continuamente.

 

Carlos Guerra es administrador de TI MBA en Administración y Finanzas por INSPER - São Paulo / Brasil - y graduado en Ciencias de la Computación y Matemáticas por la Universidad Mackenzie / Brasil.

Ha centrado su carrera profesional en desarrollo de software, con especial atención en sistemas de gestión y riesgos. Dirijó equipos de desarrollo y fue CIO de una unidad de negocio del grupo Accor. Especializado en el mapeo de procesos y gestión de proyectos. Así como en la Gestión Financiera, con énfasis en los controles y en la orientación al Board. Poseé la certificación COBIT, habiendo impartido varios cursos sobre este tema. Estuvo vinculado a servicios para empresas como: Eco Vias, Dieboldi, GR S / A, Colinas Carreteras, Hospital Albert Einstein, Pro-business.

Guerra está especializado en proyectos de GCN, habiendo actuado como líder en proyectos de empresas como UNICRED, Capgemini y otras. Actualmente trabaja en su propia empresa como consultor. Y compagina su carrera profesional con la dirección de la organización ISACA, capítulo de Brasil.

 

Deep Learning for Online Fraud Prevention 

Temas: ciberataques, gestión del riesgo, estrategia tecnológica

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Open Banking y PSD2 en 4 pasos

read more

Entendiendo el impacto de la PSD2

read more

Perfil del insider II. Características

read more