Archivos Mensuales: agosto 2009

Concientización del Personal

Cuando se habla de informática, se tiende a asociar este concepto con nuevas tecnologías, equipos y aplicaciones (recursos informáticos). Sin embargo, se suele pasar por alto el componente base que hace posible la existencia de dichos elementos: la información.

La gran mayoría de los usuarios, desconoce sobre temas de seguridad de la información y, en especial, el alcance del área. Quién no ha escuchado alguna vez las preguntas; ¿pero cómo, seguridad de la información también se encarga de la seguridad física? ¿Qué tiene que ver seguridad de la información con los papeles impresos? ¿Cómo, seguridad de la información no es lo mismo que seguridad informática?

El desarrollo de un plan y campaña de concientización (Awareness Training) del personal de nuestra compañía es fundamental para mantener altos índices de seguridad. De nada sirve contar con las últimas tecnologías de antivirus, firewalls, bloqueo de USB, etc., si la educación del principal consumidor, “el usuario”, no es llevada a cabo.

Hoy, más del 80% de los ataques provienen desde el interior de las propias empresas (empleados descontentos, fraude interno, accesos no autorizados, falta de motivación, carencia de entrenamiento organizacional) y a través de la ingeniería social. Esto se debe a que resulta más fácil obtener la contraseña de un usuario si lo llamamos como si fuéramos el Help Desk para corroborar sus datos, que vulnerar los sistemas de seguridad y cifrado de los sistemas. Asimismo, con tan sólo recorrer un par de puestos de trabajo podremos encontrar las contraseñas (contenidas en un post-it) pegadas en la pantalla o debajo del teclado.

Existen diferentes métodos para implementar nuestras ideas, si fallamos en la elección, seguramente el objetivo de la concientización no cumplirá nuestras expectativas. Es por ello que se deberá colocar énfasis en este punto. Sin lugar a dudas, las charlas persona a persona son las que poseen mayor llegada al usuario final, pero dependiendo del tamaño de nuestra organización, esto no siempre será factible. Las alternativas más utilizadas son:

  • § Reuniones, charlas o desayunos de trabajo.
  • § Cartelería.
  • § Folletería.
  • § Uso de la Tecnología.

De acuerdo a los canales de comunicación utilizados definiremos otro de los ítems fundamentales, el temario a considerar en cada alternativa.

En el caso de reuniones presenciales, podemos tratar conceptos más generales e introductorios para luego enumerar las buenas prácticas a seguir:

  • § Objetivo del Negocio.
  • § ¿Qué es la seguridad de la información?
  • § Objetivos y alcances del área.
  • § Riesgos y amenazas asociados a la información.
  • § Situación actual de nuestra compañía.
  • § Buenas prácticas de seguridad.

Si decidimos instalar carteles en lugares estratégicos o repartir folletos, debemos nombrar solamente las buenas prácticas adoptadas, al igual que para la opción tecnológica, donde podemos optar entre correo electrónico, protector de pantalla, pop-up, logon script, Intranet o newsletter mensual.

Acorde la criticidad de los activos de la información, debemos incluir los temas básicos vinculados a los usuarios, tales como:

  • § Manejo de contraseñas seguras.
  • § Log-off y bloqueo de PC.
  • § Virus y SPAM.
  • § Escritorio limpio.
  • § Dispositivos móviles.
  • § Destrucción de la información sensitiva.

Para finalizar el ciclo, es conveniente recibir feed-back por parte de nuestros usuarios, utilizando algún tipo de encuesta o métrica. De esta forma tendremos herramientas para realimentar y mejorar nuestro plan de concientización y continuar la campaña.

Recordemos que un cambio de cultura no se lleva a cabo en poco tiempo, por lo que tendremos que:

1. Ser perseverantes y pacientes;
2. Desarrollar e implementar políticas, procesos, procedimientos, normas y estándares acordes con la estructura organizacional, y alineados al negocio;
3. Entrenar y comunicar en forma continua;
4. Contar, de manera especial e incondicional, con el apoyo de la alta gerencia, para que nuestras acciones tengan el respaldo, soporte y grado de aceptación que ameritan.

Vía Cryptex

Auditorías de seguridad informática

Los sistemas informáticos que utilizamos las empresas son cada vez más complejos, más ricos en funcionalidades y por tanto más difíciles de controlar. En ciertas situaciones puede resultar conveniente optar por realizar una auditoría de seguridad de los mismos para conocer exactamente cuáles son los fallos de nuestro sistema y evitar consecuencias indeseables, bien utilizando un software diseñado para ello bien recurriendo a servicios externos que las lleven a cabo, opción de la que vamos a tratar en este caso.

Estas auditorías consisten en analizar el nivel de seguridad de nuestro sistema informático utilizando todo tipo de herramientas y técnicas para averiguar cuales son los problemas a los que nos podemos enfrentar, presentarlos en un informe y proponer las medidas que sería necesario aplicar para solucionarlos. La seguridad informática es un área muy amplia y compleja, que en ocasiones hace necesario recurrir a expertos externos que se encarguen de la tarea (más aún en la pyme, que no suele disponer de personal cualificado).

Lee el resto de esta entrada

Cómo descubrir a un empleado defraudador

ataque de hackers

En marzo pasado la Dijín capturó a Sandra Milena Méndez García, ex funcionaria del Ministerio de Defensa, que por sus conocimientos en sistemas logró traficar información de sueldos, préstamos y descuentos de miles de empleados de las Fuerzas Militares,  que terminó en manos de terceros y cuyos propósitos se desconocen. Por ello recibió cuatro pagos.

En una empresa del sector metalmecánico Luigi Gamboa*, un empleado con más de 12 años de antigüedad, defraudó a su firma por más de 200 millones de pesos.

Y Claudia Cataño*, mano derecha de sus superiores en una empresa de tubos, hizo lo propio y logró beneficiarse con una cifra que sobrepasaba los 35 millones de pesos.

Los tres casos tienen en común que esas personas eran cercanas a los departamentos de nómina y no eran ajenas al manejo de la computación y los sistemas.

En realidad, una de las características en las cuales se pueden encasillar los defraudadores empresariales o los que hacen hurto continuado.

No es, sin embargo, la única. Kroll, consultora que hace análisis e investigación de finanzas y seguridad tecnológica dentro de las empresas, ha estudiado el tema de la defraudación y elaboró un perfil de ese tipo de empleados.

Encontró por lo menos cinco particularidades más:

1. Generalmente no se toman vacaciones. Uno de los casos descubiertos por Kroll se dio porque se detectó un desnivel en la curva del fraude cuando el empleado fue obligado a tomar vacaciones.

2. Son empleados de gran confianza por su antigüedad. Por ejemplo, en el caso de Cataño, ella acompañó a sus jefes durante ocho años, pero durante los últimos cinco estuvo encargada del manejo de la nómina. En el fraude que hizo extraía pequeñas cantidades de los salarios de sus compañeros.

Iban de entre 1.500 a 2.000 pesos, hasta que finalmente logró apoderarse de una cantidad con la que perfectamente podía comprar un carro último modelo.

3. Son los últimos que salen de la oficina al terminar la jornada. Eso se da, explica Ernesto Carrasco, gerente de Kroll Colombia, porque “estas personas necesitan no solo que sus escenarios de trabajo estén con menos gente sino también un remanente de tiempo que les permita maquillar las arbitrariedades que cometen”.

4. Mantienen un bajo perfil dentro de la empresa e incluso recurren a préstamos para ser descontados por nómina para no despertar sospechas entre sus compañeros ni ante sus superiores. Representan al ciudadano común y simulan una vida familiar estable.

Según Carrasco, varias de las exploraciones de Kroll parten desde los escritorios y computadores que maneja cada empleado.

Allí “hay información personal que pone al descubierto patrones y comportamientos de la persona”.

5. Tienen un alto conocimiento de las funciones que desarrollan al punto de proyectar la idea de que manejan el monopolio de las soluciones en sus departamentos. “Es la manera de generar hábitos de trabajo más que para adelantarse a los controles, para generar la idea de que no es necesario ser controlados”, explica Carrasco.

Solo en el último año, la consultora intervino en por lo menos 10 grandes empresas y en cuatro de ellas los fraudes superaron en cada una los 150 mil millones de pesos. Pero en Colombia han auscultado en casi medio centenar de firmas donde han detectado fraudes superiores a los 2 mil millones de pesos.

Siete de cada 10 fraudes tienen su génesis en los departamentos financieros y de tesorería.

En los estudios de Kroll se encontró que en épocas de crisis económicas los fraudes se elevan. Se debe a la incertidumbre y a que las expectativas de trabajo y negocios se reducen.

Una de las variables de la defraudación es el hurto dentro de la compañía para duplicar el negocio. Kroll ha detectado casos en los que empleados montan una empresa paralela, más pequeña, a nombre de cónyuges o familiares.

La Dijín detectó un caso así donde el empleado de un reconocido concesionario sustraía piezas y las vendía en su micro concesionario automotriz.

Llevaba doble vida

Luigi Gamboa, por ejemplo, se había formado desde los cargos de más bajo nivel en la compañía donde trabajaba. Estudió contaduría de noche hasta alcanzar el departamento de nómina y residía en un popular barrio del sur de Bogotá con su esposa y una hija.

Era reiterativo en hablar sobre cómo vivía y se vestía con ropa sencilla.

Pero los fines de semana usaba ropa de marca y cada 15 ó 20 días viajaba fuera de la ciudad. Tenía además un apartamento en el sector del barrio Chicó, pero una fiesta que organizó en este, a la que invitó a tres compañeros de oficina y donde desfiló whisky en abundancia empezaron por delatarlo.

Su fraude consistía en maquillar los pagos dirigidos a proveedores para destinar fondos a cuentas personales. Sin embargo, no eran los proveedores los perjudicados sino la propia firma en sus ganancias.

Hacía operaciones contables específicas que no habían sido detectadas dado el gran volumen de información.

“Más fraudes en los siguientes tres años”: Carrasco

Usted habla de mayor fraude en épocas de crisis como esta. ¿Por qué?

Una razón es que las posibilidades de negocios se reducen y las expectativas de ganar son más escasas, lo que conlleva a que surjan prácticas inapropiadas de competencia como el soborno, fuga de información hacia el competidor, etc.

¿Qué proyecciones ha encontrado Kroll al respecto?

El nuevo informe de Kroll indica que el fraude seguirá en ascenso durante los próximos tres a cinco años debido a la mayor competencia por recursos. Los afectados por la inestabilidad económica, que tienden a involucrarse en prácticas comerciales fraudulentas, trabajarán por conseguir fondos de estímulo por cualquier medio posible.

¿Cómo es el cruce de información con la Fiscalía y la Dijín?

La naturaleza de nuestro trabajo de investigadores privados en casos empresariales, en tanto estemos en casos que tengan repercusión en escenarios penales, nos obliga a trabajar con el debido cuidado para no contaminar las evidencias. Somos unos  facilitadores del trabajo que realiza la Policía Judicial. Podemos colaborar como auxiliares de justicia cuando nuestros investigadores sean llamados como peritos dentro de una actuación judicial en particular.

¿Cuáles son las áreas críticas dentro de las empresas?

Los blancos más frecuentes con grandes cuantías están focalizados a las áreas financieras, especialmente en Tesorerías. Los montos por lo general superan los mil millones de pesos. En el último año tuvimos más de 30 casos de fraudes, el 70 por ciento  superiores a los mil millones de pesos. Los sectores más golpeados fueron el financiero, el de telecomunicaciones, el minero y el de bienes de consumo.

¿Además del dinero qué los incentiva a delinquir en áreas financieras?

Varios factores inciden en esto. Manejan la liquidez de la empresa pero adicionalmente esa liquidez se realiza a través de transacciones electrónicas, la información fluye por medios tecnológicos que son susceptibles de ser manipulados y aún no hay una cultura de la seguridad de la información. Este es un nuevo incentivo.

¿Qué hay en ese 30 por ciento de fraudes en otros departamentos?

El porcentaje es del área comercial. Sus empleados tienen que establecer relaciones de manera permanente con terceros como proveedores, distribuidores y clientes.

La tipología aquí varía y las defraudaciones son de menores montos: comisiones indebidas por ventas, jineteo de facturas, etc. Dependiendo del volumen que se maneja en la práctica se pueden convertir en fraudes

*Nombres cambiados

Vía El Tiempo

A %d blogueros les gusta esto: