Síguenos:

Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
NOTICIA

La gestión del fraude, eje principal de la octava edición del Seg2

15/07/2016 - Por E. González, D. Marchal y B. Valadés.
Al igual que la celebrada en 2015, la octava edición del Encuentro de la Seguridad Integral (Seg2), organizado por ‘Seguritecnia’ y ‘Red Seguridad’, se centró en la prevención, detección, análisis, respuesta y gestión del fraude, contando para ello con destacados expertos tanto del sector privado como de la administración pública. Tras el evento se entregaron los Trofeos de la Seguridad TIC que otorga ‘Red Seguridad’.

El pasado mes de junio, el auditorio de la sede corporativa de Gas Natural Fenosa en Madrid acogió la octava edición del Encuentro de la Seguridad Integral (Seg2), evento que anualmente organizan Seguritecnia y Red Seguridad y que, en esta ocasión, contó con el patrocinio de Deloitte, Eulen Seguridad, GMV y S21sec y la colaboración de la Fundación Borredá, Global Technology 4E y el Observatorio de Seguridad Integral, Gestión de Emergencias y Continuidad Operativa (Sigeco).

Bajo el lema Gestión del fraude, la jornada se inició con una breve introducción a cargo de Ana Borredá, directora de Seguritecnia y Red Seguridad, y José Márquez, responsable de Seguridad de Gas Natural Fenosa en la región EMEA (Europa, Oriente Medio y África). Y, a continuación, la también presidenta de la Fundación Borredá dio paso al primer panelista, Guillermo Llorente, al que agradeció haber estado presente en todas y cada una de las ediciones del Seg2 que se han celebrado hasta la fecha.

El ejemplo de Iniesta

Siempre original y didáctico, el subdirector general de Seguridad y Medio Ambiente de Mapfre reconoció haber modificado el contenido de su ponencia, la noche anterior, tras haber visto el partido de fútbol entre España y la República Checa –el primero de nuestra selección en la Eurocopa de Francia–. Deslumbrado por el juego de Andrés Iniesta, Llorente invitó a los profesionales de la seguridad a imitar al de Fuentealbilla. “Para luchar contra el fraude debemos mover la pelota y dar un paso al frente”, advirtió.

En cuanto a las acciones que han de materializarse para lograr dicho objetivo, consideró esencial prevenir –“para crear un ambiente de control”–, detectar, investigar, perseguir y, finalmente, culminar –como Iniesta ante Holanda en el Mundial de Sudáfrica de 2010–. “Al igual que el futbolista del Barça, yo deseo ser campeón del mundo [de la seguridad]. Y para lograrlo, debo dar un paso al frente y aportar valor”, concluyó. 

Análisis de información

Seguidamente, Francisco Faraco, responsable de Servicios de Prevención y Detección de Fraude de Deloitte, hizo hincapié en la importancia de analizar la información para prevenir y detectar el fraude. Para ello, consideró necesario superar barreras como la resistencia interna de las organizaciones y contar con una tecnología adecuada que posibilite, entre otros fines, focalizar los recursos en casos relevantes. Respecto a estos últimos, puso algunos ejemplos de fraude detectados por los expertos de Deloitte en sectores como el hospitalario o el de la restauración. Situaciones que, al ser descubiertas, dejaron perplejos a los directivos de las entidades inspeccionadas.

Por último, instó a definir un modelo objetivo que se inicie en el área de la compañía con mayor facilidad y capacidades técnicas y concluya con una consulta interactiva de investigación que permita acceder de forma eficiente a la información necesaria.

Perspectiva integral

No menos interesante fue la ponencia de Roberto Baratta. El vicepresidente ejecutivo de Prevención de Pérdida, Continuidad de Negocio y Seguridad de Abanca explicó cómo esta entidad financiera, perteneciente al Grupo Banesco, inició su lucha contra el fraude en 2015. Y lo hizo, según el directivo, desde una perspectiva integral, ya que era necesario implicar a todas las áreas de la organización y definir los objetivos de las seguridades física y lógica.

Teniendo claro que el fraude perjudica tanto a la organización, al impactar en la cuenta de resultados, como al cliente, en Abanca optaron por dibujar un mapa en el que se recogen, por producto, canal, aplicación y operativa, los controles existentes y se prioriza la cobertura de brechas en base a la estrategia de la entidad. Y por lo que respecta a las líneas estratégicas para prevenir pérdidas y fraudes, Baratta consideró esenciales la concienciación, el reporte, la detección-prevención, la monitorización y la innovación.

Inteligencia contra el fraude

Por su parte, Carlos Blanco, jefe de la Unidad de Inteligencia de Eulen Seguridad, puso especial énfasis en que el fraude está reflejado en el Capítulo VI –De las defraudaciones– del Código Penal y esclareció que, según The Economist Intelligence Unit, el 75 por ciento de las compañías se siente víctima del fraude.

En sintonía con Guillermo Llorente, Blanco expuso que, para dar un paso al frente, “los profesionales de la seguridad hemos de servirnos de inteligencia. La prevención, la detección y la mitigación son de vital de importancia, ya que el impacto de la amenaza puede extenderse con repercusiones devastadoras a largo plazo en términos de privacidad, propiedad intelectual, reputación y clientes. Y en este esquema no podemos olvidarnos del relevante papel que juega la tecnología”, añadió.

El ‘detective’ de GMV

Y antes del siempre agradecido coffee break, José Carlos Baquero, jefe de la División de Software y Tecnologías de GMV, dio a conocer Marlowe, una herramienta desarrollada por este grupo tecnológico global con sede en Madrid. Con un nombre inspirado en Philip Marlowe, detective privado ficticio creado por el escritor estadounidense Raymond Chandler, se trata de una solución robusta y flexible que posibilita expandir o complementar los sistemas SIEM (información de seguridad y administración de eventos).

Entre otras características, Marlowe permite obtener información de fuentes diversas y homogéneas; procesar y analizar grandes volúmenes de información; analizar casuísticas y comportamientos complejos más allá de las posibilidades que ofrece un SIEM tradicional; dar una respuesta rápida facilitando la creación de nuevas reglas o modificando las existentes en un tiempo reducido; disponer de una solución escalable basada en tecnologías de código abierto; y un coste de implementación asequible y una curva de aprendizaje muy rápida al implementar una arquitectura flexible soportada por tecnologías estándar.

Inteligencia empresarial

A continuación, tomó la palabra Enrique Polanco, socio de la empresa Global Technology, para seguir desarrollando el concepto de fraude desde otra perspectiva. Precisamente, para explicar su punto de vista, el directivo mostró a los presentes la imagen de una moneda de 50 euros. A primera vista, podría parecer un fraude. Sin embargo, se trata de una edición especial de curso legal. El ejemplo le sirvió a Polanco para demostrar que “muchas veces el fraude no es lo que se cree y está donde no se ve, como por ejemplo, en un billete de 50 euros”, puntualizó.

Por eso, es imprescindible utilizar la inteligencia para poder detectar el fraude. “Para mí, la palabra inteligencia lo es todo, aunque luego a partir de ahí se pueden poner distintos apellidos como ‘competitiva’, ‘económica’, ‘corporativa’…”, apuntó. En cualquier caso, e independientemente de su nomenclatura, las organizaciones deben realizar análisis de inteligencia, los cuales han de ser “locales, convergentes y multidireccionales”. Precisamente, el directivo abogó por la convergencia de todas ellas hacia una “inteligencia empresarial” y manifestó: “El fraude es el riesgo para la empresa. Por eso, es conveniente realizar análisis de riesgos, observar las vulnerabilidades y establecer medidas de defensa, todo lo cual lleva a la inteligencia empresarial”, que para Polanco sería “la contramedida”.

Seguidamente, el directivo recalcó la importancia de contar con distintos sistemas de obtención de inteligencia, entre los que mencionó la electrónica, las comunicaciones, las señales, las finanzas, la humana… Todo ello, de manera coordinada y conjunta, sirve para luchar contra el fraude no sólo en las organizaciones privadas, sino también en las instituciones públicas. “La Unión Europea cuenta con avanzados sistemas de información e inteligencia para combatir el fraude. E incluso dispone de la OLAF, la Oficina Europea Antifraude, que coordina todas sus acciones”, explicó Polanco, la cual lleva recuperados 1.100 millones de euros desde su fundación en 1999. Ahora bien, dependiendo del tipo de empresa u organismo, su estructura, el sector donde opera y sus particularidades intrínsecas habrá que enfocar esa inteligencia de una forma u otra.

Finalmente, Polanco dedicó la última parte de su intervención al fraude interno de las organizaciones, cómo se puede descubrir y de qué forma se debe actuar frente a este tipo de empleados que pueden sacar información privilegiada de dentro de cualquier compañía e institución y después venderla en el mercado negro de Internet.

Fraude e infraestructuras críticas

La siguiente ponencia estuvo dedicada a analizar el fraude destinado a causar daño en los servicios esenciales para el buen funcionamiento de la sociedad como la energía, el gas, el petróleo o las finanzas. Para ello, Enrique Martín, key account manager de S21Sec, expuso su punto de vista al respecto, el cual se basó en que existe una gran cantidad de infraestructuras consideradas críticas que no guardan la protección adecuada, sobre todo por malas prácticas. “Hay redes de control que utilizan los mismos sistemas operativos que hace muchos años, los cuales no se han parcheado; conexiones de las redes con el exterior que desconocen los CISO; redes abiertas a los proveedores; o mecanismos de seguridad obsoletos…”, explicó el directivo. Sin embargo, la ley de Protección de Infraestructuras Críticas intenta que las empresas pongan remedio a todos esos inconvenientes apostando por la seguridad integral.

En este sentido, el directivo abogó por la cooperación entre los organismos públicos y privados y por la adaptación de todos ellos a los nuevos tiempos. “Un malware en una infraestructura de TI puede ser un problema, pero si se detecta en una central nuclear, las consecuencias pueden ser catastróficas”, puntualizó. Por tanto, tan decisivo es controlar y vigilar las soluciones de TI como las de OT, porque, tal y como confirmó, “se está evolucionando hacia ataques a los procesos; por ejemplo, poniendo en riesgo tuberías y generadores o abriendo y cerrando válvulas de paso. Todo con el objetivo de causar daños económicos y un impacto en la cuenta de resultados”, añadió Martín. De hecho, ahora ya no resulta extraño atacar piezas que empiezan a incorporar protocolos TCP/IP como los variadores de motores o los sistemas de detección de incendios y de videovigilancia.

Para ejemplificar todo lo comentado, el directivo recordó el caso que se produjo el pasado mes de diciembre en Ucrania, en el que un ciberataque contra una distribuidora de energía dejó fuera de control treinta subestaciones eléctricas. “El ataque estuvo perpetrado en varias fases. En un primer paso, infectaron los programas SCADA. Por otro lado, lograron hacerse con credenciales válidas de empleados del control; a continuación, desengancharon las subestaciones, borraron los discos duros SCADA y simularon miles de llamadas para colapsar el sistema”, contó el directivo. Todo ello se hubiera podido evitar con unas mínimas medidas de seguridad. Por eso, precisó Martín, es conveniente que los operadores críticos cuenten con “equipos multidisciplinares que detengan este tipo de ataques partiendo del análisis de riesgos y la detección de anomalías”.

Seguridad integral en infraestructuras críticas

Profundizando aún más en la idea de la ponencia anterior, seguidamente intervino un representante del CNPIC, quien explicó a los asistentes la situación actual de la implantación del sistema español de protección de infraestructuras críticas. “Desde el punto de vista sectorial, ya hay diez planes elaborados, por lo que faltan otros ocho. Eso significa que actualmente contamos con 97 operadores y más de 350 infraestructuras críticas declaradas de forma oficial”, reveló.

Para profundizar en la protección de estas instalaciones, el CNPIC está apostando por el concepto de seguridad integral. “Nosotros siempre hemos abogado por la convergencia de la seguridad física y lógica y la concienciación de que las empresas avancen en el uso de ambos términos de manera conjunta”, explicó. A esto se une, además, una necesaria cooperación público-privada, y destacó la labor que están realizando los operadores en este sentido, “cumpliendo hasta el momento con los planes previstos”.

A continuación, pasó a analizar los pasos que los operadores de infraestructuras críticas han de dar para proteger sus instalaciones, tanto desde el punto de vista organizacional como operacional. En el primer aspecto, el representante del CNPIC ratificó la importancia del apoyo de la alta dirección a la hora de gestionar su seguridad, así como cuál ha de ser su estrategia en este sentido, para lo que “es preciso crear estructuras como las mesas de coordinación”, añadió. Posteriormente, se ha de realizar un análisis de riesgos integral; esto es, que engloben tanto las amenazas físicas como las cibernéticas. “Recomendamos que cuando el operador haga esta evaluación la lleve a cabo de forma amplia, impulsando la convergencia en la identificación de amenazas y vulnerabilidades”, manifestó.

Puestos todos estos parámetros sobre la mesa, el representante del CNPIC confirmó que, desde el punto de vista organizacional, “la experiencia está siendo buena”, y “los operadores están adecuando sus estructuras a los requerimientos”. Eso sí, confirmó, “algunos han hecho los deberes a la primera, mientras que otros los están haciendo poco a poco”.

En segundo lugar, desde el ámbito operacional, el directivo detalló la necesidad de utilizar herramientas convergentes para hacer los análisis de riesgos y utilizar un lenguaje común para que el operador identifique las amenazas que puedan afectar a sus infraestructuras. El objetivo es “implementar todas estas medidas para garantizar el servicio esencial para los ciudadanos. El operador nos propone un tipo de medida y se evalúa si está bien en función de su criticidad”, puntualizó. Para concluir, el representante del CNPIC se ratificó en la idea de que abordando de forma integral la gestión del riesgo “se obtienen resultados más eficaces y eficientes”.

Ejemplo de seguridad

Todo lo analizado hasta el momento por los distintos ponentes tuvo su ejemplo práctico con la intervención de José Márquez, director de Seguridad para EMEA de Gas Natural Fenosa. El directivo contó el recorrido que está haciendo su compañía para asegurar y proteger sus infraestructuras. Todo empezó en 2014, año en el que la empresa fue designada como operador crítico, y a partir del cual pusieron en marcha una nueva estrategia de seguridad, InCrit. “Desde un primer momento quisimos que nuestro proyecto no se ciñera sólo a España y que tuviéramos un visión integrada de todas las unidades del negocio, trabajando todos juntos en un proyecto transversal”, afirmó. Sin duda, el reto era muy grande, puesto que Gas Natural Fenosa se encuentra presente en más de 30 países, cuenta con 23 millones de clientes y dispone de muchos tipos de instalaciones de generación y distribución en todo el mundo, de las cuales tuvieron que identificar las que consideraron más críticas.

Una vez con todo esto claro, el siguiente paso fue realizar un análisis de riesgos y un nuevo marco de control, con productos y servicios para este proyecto y otras áreas de la organización. “Empezamos con los planes de seguridad del operador, la protección específica, la seguridad de la información, la resiliencia y la integración del CESEC y del SOC”, explicó el directivo. A esto se añadió la coordinación y la relación con los organismos oficiales y otros sectores con las mismas necesidades. Todo esto dio lugar, según contó Márquez, “a la creación de una nueva estructura organizativa en comités de dirección de negocio, de donde deriva el comité del proyecto InCrit, y dentro de él hay grupos de trabajo que desarrollan los planes de protección específicos”.

Seguidamente, el directivo habló sobre el fraude en infraestructuras críticas, en general, y en su empresa, en particular. En este último aspecto, reveló que la organización realizó un mapeado completo de su red para poder encontrar todas las vulnerabilidades posibles. Además, alertó sobre el crecimiento en los últimos meses de ataques de ransomware como una muestra clara de hacia dónde van las tendencias en este sentido. Y en concreto, en el sector energético, se están detectando otros tipos de fraudes como es “el uso indebido de información para la elaboración de ofertas competitivas a clientes y la suplantación de contratas”, afirmó.

En resumen, la estrategia antifraude de Gas Natural pasa por la investigación integrada del área lógica y física bajo una misma dirección. “Después hay que implantar un modelo integral de gestión del fraude, para lo que hemos creado un comité que engloba a todas las áreas de la empresa; a lo que sigue la formación y concienciación de los empleados, la colaboración con las Fuerzas y Cuerpos de Seguridad del Estado y  con el CERT, y la detección de amenazas y delitos con la inteligencia”, concluyó.

Para finalizar el evento, Joaquín Castellón, director operativo del Departamento de Seguridad Nacional de Presidencia del Gobierno, fue el encargado de clausurar las jornada, haciendo una mención a lo mucho que se ha avanzado, tanto desde el punto de vista de la Administración como del sector privado, en fomentar la ciberseguridad en nuestro país en los últimos años; aunque, según remarcó, “todavía queda mucho por hacer”.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual