Post on 23-Jan-2016
FRAUDE INFORMATICO
José Luis Dominkow
Que es?
ES MANIPULAR LA INFORMACION PARA OBTENER UN BENEFICIO.
AUMENTA A MEDIDA QUE SE DESARROLLA LA TECNOLOGIA.
TIPOS DE FRAUDE
Relacionados con la entrada
1. Creación de entrada de datos
2. Modificación de la entrada
3. Supresión de la entrada
4. Duplicación de la entrada
1. Creación de entrada de datos
En la creación de entrada de datos falsa, es una de las formas mas comunes y simples de perpetrar el fraude, particularmente cuando se realiza junto con un cambio relativo de datos establecidos.
Ejemplo: Insertar una solicitud adicional de gastos en un lote existente o la entrada directa de una orden de venta en un sistema de entrada de ventas.
2. Modificación de la entrada
Involucra hacer un cambio fraudulento en la entrada de datos original, después de que el ítem haya sido aprobado.
Ejemplo: aumentar un reclamo de gastos o cambiar el nombre y la dirección de un solicitante de préstamo.
3. Supresión de la entrada
La supresión de entrada de datos antes de su introducción o capturar en el sistema podría ser tan simple como quitar un ítem de un lote o suprimir todo el lote.
Ejemplo: un empleado encargado de la nomina destruía regularmente los avisos de terminación de contrato de los empleados y luego cambiaba los detalles de la cuenta bancaria para el pago del sueldo. El fraude se detecto cuando el empleado se enfermo.
4. Duplicación de la entrada
El proceso de duplicar la entrada de datos, puede involucrar copiar la entrada de datos y presentar tanto el original como la copia o simplemente volver a entrar el documento posterior, si no hay cancelación de los ítems procesados.
Ejemplo: un empleado a cargo de entrada de datos proceso pagares validos dos veces para un cliente particular el cual reclamaría el reembolso dos veces.
Relacionado con los programas
Cambios no autorizados en los programas
Abuso de los privilegios de acceso
accesos no autorizados a las utilidades de manipulación de datos
Relacionado con la salida de información
Supresión o destrucción de la salida de datos
Creación de salida de datos ficticios
Modificación inadecuada de salida de datos antes de la transmisión
Robo de los datos de salida
Como se puede combatir el fraude ?
1. Fraude relacionado con los programas
2. Fraude relacionado con la salida de datos
3. Uso ilícito de la información
4. Virus y
5. Robo del software
1. Fraude relacionado con los programas
Los fraudes relacionados con los programas involucran la manipulación ilícita de los programas o las operaciones, requiere una comprensión profunda de la información que se esta procesando y conocimiento sólido de los sistemas computarizados involucrados.
Ejemplo: manipulación de un programa de computador de manera que únicamente genere los documentos de despacho y no registre ninguna entrada en los registros financieros cuando se entrega mercancía a un cliente particular.
2. Fraude relacionado con la salida de datos
Involucra la supresión, la creación fraudulenta de datos, la modificación inadecuada, el robo de datos de la salida, el uso ilícito, virus y el robo del software.
2. Fraude relacionado con la salida de datos
Ejemplos
Supresión de datosSupresión de anotaciones contables especificas para un informe
Creación de datos de la salidaCreación de un informe con pólizas de seguros ficticias para apoyar afirmaciones infladas de negocios nuevos
Modificación inadecuada de datos problemas aparentes con el procesamiento pueden requerir arreglos continuos de un miembro particular del personal.
3. Uso ilícito de la información
Implica el acceso no autorizado a los sistemas computarizados, como tratando de entrar a un sistema adivinando la palabra clave o el código de acceso de un usuario, esto podría hacerse a través de un terminal en los locales de la compañía o eternamente a través de una red de telecomunicaciones.
4. Virus
Virus pueden definirse como un programa o código autoduplicado usado para infectar el computador, se dispersa mediante la introducción en un disco o a través de una red.
5. Robo del software
La copia del software sin autorización, viola el acta de derechos de autor, diseño y patentes
Controles posibles para prevención
Fraude relacionado con la entrada de datos
• Segregación de funciones en las áreas de usuarios y entre usuarios y personal it
• Conciliaciones independientes • Autorización de cambios en los datos
existentes • Controles al acceso a los archivos de datos• Lista y revisión periódica de los datos
existentes
Fraude relacionado con los programas
• Autorización y prueba de los cambios en los programas
• Acceso restringido a las librerías del sistema que contienen programas de vida
• Uso de programas especiales de utilidad para comparar las versiones cambiadas de los programas, para asegurarse de que solo se han hecho las modificaciones autorizadas.
• Reducir la dependencia del personal de los sistemas clave
Fraude relacionado con la salida de datos
• Segregación de funciones en las áreas de los usuarios
• Conciliaciones independientes• Buenos controles de custodia sobre la
papelería importante• Buenos controles de acceso
Uso ilícito de la información
• “Paredes de fuego”- sistemas dedicados al manejo de comunicaciones externas, que actúan como una barrera de seguridad entre las redes externas y los computadores de la organización
• Las pantallas de los computadores no deben mostrar el nombre de su organización.
• Vigilancia de las líneas de comunicación para detectar actividades inusuales.
Virus
• Uso de software antivirus actualizado en los computadores personales y en las redes de área local
• Campañas educativas y de concientización para garantizar que todo el personal conozca los riesgos y sus responsabilidades
• Planes de contingencia para limitar el daño cuando se descubre un virus
Robo de software
• Campañas educativas y de concientización para garantizar que el personal este consciente de sus responsabilidades y de los castigos por violar la ley.
• Mantener buenos registros de las compras de software y de los contratos de licencia.
• Realizar auditorias periódicas del software y conciliar los resultados contra los inventarios de compras.
FRAUDE y ERROR
FRAUDE ERRORCon intención o dolo Sin
intenciónA favor de la Empresa
Desconocimiento o equivocaciónA favor de quien lo realiza o un tercero Falta de capacitación
/ Atención
FRAUDE ERROR
Con intención o dolo Sin intención
A favor de la Empresa Desconocimiento o equivocación
A favor de quien lo realiza o un tercero
Falta de capacitación/ Atención
Factores que motivan al fraude
Factores que motivan al fraude
• Problemas financieros no resueltos• Estilo de vida por encima de las posibilidades• Inclinación por las apuestas y/o juegos• Relación estrecha o de excesiva confianza con
proveedores y/o clientes• Oportunidad para obtener recursos• Abusos de confianza• Percibir que no será detectado• Falta de principios• Rapidez, certeza y severidad del castigo
Factores que motivan al fraude
• Resentimientos contra la Empresa producto de: • Fusiones y/o adquisiciones (venganza)• Disconformidad con la remuneración• No ser tenido en cuenta (ascensos)
Factores que motivan al fraude
• Sistemas abiertos con acceso en línea para terceros, socios del negocio, clientes, proveedores, etc.
• Falta de reconocimiento por el desempeño del trabajo
• Presión entre pares• Presiones para mostrar más ganancias• Temor de dar malas noticias a supervisores,
gerentes y/o• directores• Falta de responsabilidades organizativas claras
Factores que motivan al fraude
• Sueldos bajos y beneficios que dependen de las ganancias de la empresa
• La gerencia ha sido demasiado evasiva en el pedido de información
• La reputación de la gerencia y/o accionistas no es buena en el mercado
• Falta de coordinación y comunicación entre departamentos
• Otros factores
Características de un candidato al fraude
Características de un candidato al fraude
Llega temprano, se queda fuera de hora, trabaja fines de semana y feriados sin que su puesto y carga de trabajo lo requiera
Exhibe un estilo de vida que no se corresponde con sus ingresos
No delegan funciones y se manejan en forma autónoma
Se involucran en actividades de otros departamentos
Características de un candidato al fraude
Toma deudas por encima de su capacidad de pago
Piden dinero prestado en pequeñas sumas a compañeros de oficina
Usan vales de caja con frecuencia y/o adelantos de sueldo
Cubren diferencias con ajustes de cuenta contables
Características de un candidato al fraude
Critica a sus compañeros de trabajo para alejar sospechas
Explica por lo general que su alto nivel de vida responde a los ingresos de su esposa y/o herencias recibidas
Trata de desviar el tema de consulta y/o da explicaciones excesivas y sin sentido en cualquier tema de investigación
Evidencia nerviosismo ante cualquier consulta
Características de un candidato al fraude
No se toma vacaciones, va a trabajar enfermo para que no lo descubran
No acepta cambios de sector y/o ascensos
Se disgusta cuando se le pide información
No delega funciones, ni resguardo de archivos o registros
Características de un candidato al fraude
Llamadas y/o visitas excesivas fuera de horario laboral a clientes y/o proveedores
Utilizan en forma excesiva el teléfono o se encuentran fuera de la oficina más tiempo de lo habitual
Tratan de ser socialmente aceptados dentro de la Empresa
Características de un candidato al fraude
Incumbe a cargos jerárquicos Por lo general convencen de sus actos al
personal de la empresa para que estos avalen o realicen como propios determinados actos y/o buscan cómplices internos o externos
Tienen buena relación con casa matriz y tratan de que la Empresa no fije políticas que les impida su accionar
Planifican sus actos de forma tal que no queden involucrados en su accionar
Otras formas de fraude
Otras formas de fraude
PHISHINGconsiste en duplicar una página web para hacer
creer al visitante que se encuentra en la página original en lugar de la copiada. De esta forma se adquieren, de forma fraudulenta y a través de engaño, información personal como contraseñas o detalles de una tarjeta de crédito.
Otras formas de fraude
VISHINGen lugar de pedir al usuario que acceda a un link
determinado como el Phishing, solicita que se haga una llamada por teléfono a un número informado en el correo electrónico. En dicho número, una persona haciéndose pasar por la entidad nos pedirán para verificar los movimientos ingresados nuestros datos, como cuenta bancaria y clave.
Otras formas de fraude
SMISHINGuna variante del Phishing dirigida a los usuarios
de telefonía móvil
TELEMARKETINGoperaciones con tarjeta de crédito, lotería, venta
de libros y revistas, tiempo compartido, servicios telefónicos diferenciales, etc.