SEGURIDAD CORPORATIVA
Fraudes corporativos, ¿cómo combatirlos desde la seguridad informática?
Ulrich Sieber, profesor de Derecho en la Universidad de Wurzburg y experto internacional en fraudes corporativos, señala el caso de un empleado que ingresó un programa al sistema informático de la empresa donde trabajaba para imputar pagos correspondientes a salarios de empleados ficticios en su propia cuenta.
Como el ardid habría sido descubierto por los mecanismos de seguridad del banco, el autor introdujo modificaciones en el programa de pago de salarios para que los "empleados ficticios" y los pagos realizados no aparecieran en los listados de control. La situación era particularmente grave porque, tras descubrir la falla en el sistema, el agresor tenía la posibilidad de repetir el hecho delictivo cuantas veces quisiera.
Según un estudio de la Asociación de Examinadores de Fraude de los Estados Unidos, los fraudes corporativos causan pérdidas de nueve dólares diarios por empleado y una merma del seis por ciento en los ingresos anuales de las empresas.
La Ley Sarbanes-Oxley (SOX) dictada por el gobierno estadounidense tras los escándalos de Enron y WorldCom, exige que las empresas y sus auditores evalúen los controles internos de las compañías, es decir, las prácticas o sistemas para mantener los registros e impedir fraudes o abusos.
En diciembre de 2006, el Banco Central de la República Argentina emitió la Comunicación "A" 4609 sobre Registros de seguridad y pistas de auditoría. Esta comunicación se refiere específicamente a las "normas sobre requisitos mínimos de gestión, implementación y control de los riegos relacionados con tecnología informática y sistemas de información", y en el punto 8.2 señala concretamente: "todos los sistemas aplicativos deben generar registros de auditoría que contengan mínimamente las actividades de los usuarios, las tareas realizadas, las funciones monetarias y no monetarias utilizadas..."
Sin embargo, más allá de las regulaciones públicas, es sorprendente la escasa concientización sobre la necesidad de implementar medidas de seguridad anti fraude. En 2006, la filial local de la consultora Ernst & Young realizó la 1º Encuesta Nacional sobre Fraude. Entre otras cosas, determinó que el 51 por ciento de las compañías combate el fraude a través de la auditoría interna. Esto implica que NO lo hace un 49 por ciento de las empresas (¡casi la mitad!).
A diferencia de lo que creen muchas empresas, los auditores internos no resuelven todos los problemas de control. Los sistemas de seguridad, por su parte, permiten o deniegan el acceso a las aplicaciones y datos pero no controlan lo que hacen los usuarios autorizados.
Así, ya sea motivadas por seguridad interna, regulaciones del BCRA o de la Comisión Nacional de Valores (CNV), las empresas hoy necesitan obtener una pista completa de las aplicaciones utilizadas; cumplir regulaciones de protección de datos; tener controles detallados en los sistemas "legacy" (esto requiere de conocimiento y recursos que normalmente no están disponibles o son muy costosos) y realizar un control y seguimiento sobre los accesos malintencionados.
Los sistemas más avanzados de seguridad informática permiten, por ejemplo, analizar la actividad del usuario a través de múltiples plataformas, reconstruir las pantallas y acciones realizadas, identificar transacciones efectuadas, seguir patrones de comportamiento y generar alertas sobre excepciones en tiempo real.
Accediendo al repositorio de datos colectados e indicadores de comportamiento, los investigadores pueden analizar la actividad de usuarios sospechosos y compararla con el comportamiento de sus pares. Muchas empresas argentinas y del exterior conocen estas herramientas y ya las están utilizando (principalmente, las grandes corporaciones y firmas de los rubros de finanzas y seguros).
De esta manera, la informática ayuda a las grandes organizaciones a manejar sus exigencias de control interno, así como las provenientes de directivas del BCRA, la Comisión Nacional de Valores o instituciones del exterior, y a protegerse del fraude corporativo. (MATERIABIZ)