Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
REPORTAJE VII Encuentro de Seguridad Integral

La gestión del fraude, a debate en Seg2

28/09/2015 - Tx.: D. Marchal / B. Valadés y E. González. Ft.: Francisco Lorente
Con el apoyo del Instituto Nacional de Ciberseguridad y la Fundación Borredá, las revistas Seguritecnia y Red Seguridad celebraron en la sede de Cecabank, en Madrid, el VII Encuentro de Seguridad Integral (Seg2). En esta ocasión, el evento estuvo centrado en la prevención, detección, análisis, respuesta y gestión del fraude, para lo cual contó con una destacada representación de expertos provenientes de empresas privadas, asociaciones y Administraciones Públicas.

La gestión integral de la seguridad es fundamental para la lucha contra el fraude en las organizaciones. Así lo apuntó Ana Borredá, directora de RED SEGURIDAD y SEGURITECNIA, en la inauguración del VII Encuentro de la Seguridad Integral (Seg2) -que contó con el patrocinio de Eulen, S21 Sec, Panda y Deloitte, y el copatrocinio de GMV y Symantec. E igualmente lo refrendó Miguel Rego, director general del Instituto Nacional de Ciberseguridad (Incibe), quien remarcó la complejidad que actualmente tiene analizar este problema. Por un lado, comentó, “su categorización es compleja, puesto que hay varios tipos de fraude (interno, externo, ocupacional, de la alta dirección…)”; y por otro, “se puede abordar desde distintas perspectivas (seguros, banca, energía…)”. En este contexto, y según el informe sobre las predicciones de fraude para 2015 de la Asociación de Examinadores de Fraude Certificados (ACFE), la tecnología ayuda a incrementar la sofisticación en los esquemas de fraude. Ahora bien, paralelamente resulta ser una clara facilitadora para su detección. Por eso, afirmó Rego, “es prioritario en este aspecto mejorar la seguridad de la información”.

El directivo recordó que el fraude online es considerado como uno de los riesgos globales con mayores probabilidades de que ocurran, y constató que tres de cada cuatro brechas de datos se pueden atribuir a temas financieros o fraudes. Es más, desveló que de los 23.000 incidentes de seguridad registrados por parte del centro de respuesta tecnológica de Seguridad e Industria, el CERTSI, de enero a mayo de este año, el 25 por ciento está relacionado con el fraude online. “En este sentido, una de nuestras mayores preocupaciones son los ransomware, un tipo de malware que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción, como el famoso Cryptolocker: de hecho, mensualmente hay entre 500 y 600 incidentes relacionados con esto”, aseguró. Con todo ello, no resulta extraño que el 37,8 por ciento de los españoles considere que el fraude online (la pérdida económica) es el principal riesgo en la navegación, según datos del Eurobarómetro ONTSI 2015. 

A continuación, el directivo destacó la importancia de abordar este concepto por parte de las empresas desde un punto de vista integral. “La gestión del fraude es una buena oportunidad para ello, porque al ser multidisciplinar, requiere el trabajo conjunto de diversas áreas de la compañía. Ahora bien, sí es cierto que el departamento de Seguridad tiene la responsabilidad de identificar perfectamente las tareas que se han de llevar a cabo en este sentido”, concluyó. 

Responsabilidad

Seguidamente, el moderador, Enrique Polanco, experto en seguridad, dio paso a Guillermo Llorente, subdirector general de Seguridad y Medio Ambiente de Mapfre. El directivo abordó la necesidad de que el departamento de Seguridad participe en la lucha contra el fraude, porque en una empresa es “responsabilidad de todos”. Y es que esta área debe poner control en cada una de las capas de seguridad para cumplir un doble objetivo: “mejorar el control y detectar ataques ilícitos, lo cual contribuye a evitar el fraude”.

Llorente analizó las dos caras del fraude: interno y externo. Desde su punto de vista, en el primer caso los departamentos ya tienen experiencia en trabajar con el problema mediante una visión reactiva; mientras que en el segundo es preciso apoyarse en la tecnología para ayudar a prevenir el fraude proporcionando investigación, diagnóstico, prevención y detección. Para ello, según el directivo, no es necesario comprar una herramienta, sino “coger las que ya se tienen y ponerlas a mirar fuera”. Es más, comentó, “ahí es donde reside la aportación de valor de los departamentos de Seguridad”.

Es lo que han hecho en su propia compañía. “Utilizando la tecnología que teníamos, con la experiencia que hemos ido adquiriendo y con un enfoque integral y proactivo hemos podido avanzar en la lucha contra el fraude”, afirmó. Por ejemplo, han desarrollado un sistema con 21 variables, de tal forma que pueden comparar cada una de ellas con la media de los últimos seis meses para observar su variación. “Eso se clasifica, da un scoring y luego se analiza. En el momento en el que algún parámetro se separe de la curva de Gaus establecida es que algo pasa. Cuando se confirma que es fraude, generamos un patrón, lo que da lugar a un segundo scoring. Así, gracias a la tecnología, hemos puesto los datos en valor”, puntualizó.

Prevención

Con este planteamiento coincidió José Luis Moya, representante de la Dirección de Seguridad Corporativa de Gas Natural Fenosa, para quien el área de Seguridad es necesaria en la gestión del fraude “no sola ni como protagonista”, sino más bien “como forma de integrar a todas las unidades de la compañía”. Por eso, la misión de este departamento ha de ser “desarrollar un modelo de investigación del fraude de forma preventiva”.

70_seg2_3

Para ello, Moya aportó algunos datos interesantes respecto al fraude interno. Y es que un 10 por ciento de los empleados de las compañías nunca van a realizar actos delictivos; mientras que otro 10 por ciento lo va a hacer en cualquier caso. El 80 por ciento restante lo hará sólo si tiene oportunidad o necesidad de ello. Por lo tanto, las compañías se tienen que dotar de los mecanismos antifraude necesarios para disuadir a ese porcentaje de empleados.

Moya enumeró algunas de las amenazas habituales a las que se enfrenta su empresa, como la manipulación de los contadores, la extorsión a proveedores con facturas modificadas, el aprovechamiento de información privilegiada… Para hacerles frente, la empresa dispone de un comité donde se analizan todo este tipo de cuestiones; fomenta el uso de herramientas tecnológicas de inteligencia que apoyen la labor de la operativa, analicen la información y detecten el fraude; y potencia la relación tanto entre las áreas de la compañía como con otras empresas e instituciones. 

Entidades financieras

Tras el habitual coffee break, tuvo lugar el segundo panel de la jornada, moderado por Antonio Borredá, adjunto a la dirección de la editorial Borrmart. En primero en intervenir fue Mario Maawad, director de Seguridad Digital e Innovación de CaixaBank, que se refirió al concepto habitual de fraude como algo obsoleto, al menos en lo que al sector bancario se refiere. “Tradicionalmente, el fraude ha tenido una connotación económica. Pero en la actualidad, curiosamente, el activo principal de las entidades financieras es la información, compleja y difícil de tratar. No es de extrañar que si preguntamos a nuestros superiores cuál es el activo que más desean proteger, ya no se refieran al dinero, sino a la reputación”, puntualizó.

Durante su intervención, Maawad se refirió a los fraudes que se cometen a través de Internet, los dispositivos móviles o las tarjetas, si bien hizo hincapié en el eslabón más débil de la cadena: las personas. Con el fin de evitar su vulnerabilidad, consideró esencial concienciar a los clientes y empleados de los peligros que pueden acecharlos. En cuanto a las medidas internas que se están llevando a cabo en CaixaBank, el ponente esclareció que las mismas, en base al conocimiento que se tiene del usuario, están claramente encaminadas a detectar las operaciones fraudulentas, mientras que en el canal se ha reforzado la autenticación a través de contraseñas de un solo uso (OTP) y biometría.

Fraude interno

José Damián García, director de Seguridad Corporativa de Vodafone, centró su exposición en el sector de las telecomunicaciones. Respecto al impacto económico que puede suponer el fraude en las compañías, García hizo alusión a la Oficina de Fraudes Graves (SFO, por sus siglas en inglés) de Reino Unido, que lo cifra en un 2,4 por ciento de los ingresos. Así, teniendo en cuenta que los ingresos del sector en España fueron de casi 33.000 millones de euros en 2013, las actividades fraudulentas alcanzaron un volumen cercano a los 800 millones ese año.

Y si inquietantes resultaron dichas cifras, las aportadas por el representante de Vodafone sobre el fraude interno, espina dorsal de su ponencia, tampoco pasaron desapercibidas. Según García, sirviéndose de informes de ACFE, de los cerca de 1.500 casos detectados en 2014, el 19 por ciento fue cometido por altos ejecutivos. Se trata de los conocidos como individuos o machos alfa, quienes, “por su capacidad de gestión y las veces que se les requiere, consideran que las reglas no están establecidas para ellos. Se trata de personas para las que la línea que separa la ética y el fraude es muy difusa. Son capaces de alterar las cifras y de manipular los intereses y objetivos finales de la compañía sencilla y únicamente para lucrarse”, matizó.

Con el fin de hacer frente al fraude interno, García consideró esencial que los directores de Seguridad cuenten con el apoyo de los departamentos de Auditoría Interna, Finanzas, Gestión de Riesgos, Recursos Humanos y Asesoría Jurídica. “Una política clara y respaldada por la alta dirección de las organizaciones”, concluyó.

Buen gobierno

Pedro Pablo López abordó el buen gobierno en el seno de las compañías. El gerente de GRC y PIC de Rural Servicios Informáticos (RSI) aludió, entre otras, a iniciativas como COSO para reforzar el control interno en las compañías y evitar así el fraude o cualquier ejercicio de mala praxis. Igualmente, valoró positivamente COBIT como marco de referencia, “puesto que ayuda a salvar las brechas entre los riesgos del negocio, las necesidades de control y los asuntos técnicos”.

En sintonía con otros ponentes, recordó que en las funciones y responsabilidades del control interno han de tomar parte todos los actores de la organización, desde el Consejo de Administración, que fija las pautas y la visión global del negocio, hasta los empleados, encargados de comunicar al nivel superior las desviaciones que detecten en los códigos de conducta, las políticas establecidas o la legalidad de las acciones realizadas.

Como conclusión, López invitó a generar una cultura en las empresas cuyo ADN incluya las disciplinas de gobierno, riesgos, compliance, seguridad, continuidad, emergencias y calidad del servicio.

Dimensión del fraude

A lo largo de la jornada, la gravedad del fraude y la necesidad de que las organizaciones le hagan frente quedó de manifiesto. Pero fue Gertrudis Alarcón, presidenta de ACFE en España, quien más afinó a través de los datos para comprender la dimensión del problema. Según indicó, de media el cinco por ciento de los ingresos de las empresas se pierden por este motivo. Es uno de los datos “más preocupantes” del informe Report to the nations on occupational fraud and abuse 2014, que elabora anualmente la entidad a escala global. Se trata de un estudio en el que se analizaron 1.438 casos de fraude, que ocasionaron pérdidas por valor de 3.000 millones de dólares.

Del estudio se desprende también que en el 22 por ciento de los casos el fraude interno ocasionó la pérdida de más de un millón de dólares y que un solo fraude representa, de media, el menoscabo de 145.000 dólares. “La banca, los servicios financieros, las administraciones públicas y las gubernamentales continúan siendo las que tienen más casos dentro”, señaló Alarcón.

La responsable de ACFE, una asociación con 75.000 miembros y presente en más de 150 países dedicada al estudio del fraude, explicó además que no todos los “esquemas de fraude producen el mismo nivel de pérdidas”. Los de tipo financiero “son los que provocan mayor impacto”, a una distancia “significativa” de la corrupción o apropiación de activos. 

Frente a este problema, el método de detección por excelencia dentro de las empresas fueron las aportaciones de los propios empleados. “Más del 40 por ciento de todos los casos de fraude fue detectado gracias a pistas y, de estas, más de la mitad fueron provistas por los propios trabajadores”, aseguró la experta.

Nuevo reglamento

70_seg2_2

Tras la aprobación de la Ley de Seguridad Privada, que incluye a la seguridad informática como “actividad compatible”, el sector está pendiente de conocer de qué forma se va a concretar esta especialidad en el nuevo reglamento de desarrollo. Como anticipo, el Seg2 acogió un panel dedicado a la normativa, moderado por Francisco Muñoz Usano, presidente de la Sociedad de Estudios de Derecho de la Seguridad.

El comisario Esteban Gándara, jefe de la Unidad Central de Seguridad Privada del Cuerpo Nacional de Policía (UCSP) explicó que la norma abordará la integralidad de la seguridad “a través de cuatro conceptos que aparecen a lo largo de la nueva ley”. El primero de ellos es la “cultura de seguridad”, que “es el que va a expandir la idea de unicidad de la seguridad y va a construir el modelo”. El segundo concepto es el de “seguridad corporativa”, que se contempla en el reglamento “con carácter de integralidad”. Algo que guarda relación con la tercera idea a la que se refirió Gándara como parte del reglamento: el director de seguridad. Para el responsable policial, este perfil es “el protagonista” y la “figura clave sobre la que pivota la legislación”.

El cuarto elemento que influirá en la norma es el “departamento de seguridad”, que definió como “una medida de seguridad de carácter organizativo y al frente del que necesariamente ha de haber un director de seguridad habilitado”.

Desde el punto de vista de Gándara, estos cuatro elementos han de inspirar no sólo la legislación sino también la configuración de la seguridad en cualquier tipo de entidad. “Si no se entiende la seguridad así, con independencia de la normativa, estarán equivocados y estarán haciendo un flaco favor a sus organizaciones”, aseveró ante los asistentes.

Para José Ignacio Carabias, jefe de Área del centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), “el nuevo reglamento tiene que quedar bien definido y, sobre todo, tienen que quedar bien plasmadas la colaboración, coordinación y complementariedad entre la seguridad pública y la privada”.

El representante del CNPIC señaló algunos aspectos de la Ley de Seguridad Privada sobre los que este organismo está expectante en cuanto a su concreción en el reglamento. Entre ellos están conocer los requisitos “referentes a medios personales y materiales” que podrían tener que ampliar las empresas que presten servicios en infraestructuras críticas o en servicios esenciales (como marca el artículo 19.3 de la nueva ley) o conocer la certificación que necesitarán las compañías  para  prestar servicios en estos entornos.

En cuanto a la seguridad de la información, el ponente destacó el hecho de que vayan a existir “ciertas obligaciones por parte de los proveedores y los usuarios”. “A las empresas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad informática, se les podrá imponer requisitos específicos para garantizar la calidad de los servicios que presten”, recordó.

El coronel César Álvarez, en la que fue su última intervención en una jornada como jefe del Servicio de Protección y Seguridad de la Guardia Civil (SEPROSE), apuntó que las medidas de seguridad informáticas que figuren en el reglamento serán “aquellas que tiendan a proteger la disponibilidad, confidencialidad o integridad de la información”. 

También se refirió a la gestión de las ciberalarmas, que, según su definición, “serán aquellas que impliquen un impacto real en los activos o sistemas de seguridad que ponga en peligro la confidencialidad, la integridad o la disponibilidad de los datos”. La Oficina de Coordinación Cibernética (OCC) es el órgano que debe recibir las comunicaciones, porque “la Administración quiere saber cuáles son los ataques para poner medidas que les hagan frente”, apuntó Álvarez. 

Por otra parte, otro de los puntos que cree que deben concretarse en el futuro reglamento es la formación de los profesionales del ámbito de la seguridad informática. Su apuesta es una capacitación similar a la del director de Seguridad, pero indicó que “no se ignorarán las titulaciones internacionales ni las españolas”.

PARA VER EL VÍDEO DE LA JORNADA PINCHE AQUÍ

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual