CidesCides
19
Abr, 2021

By beatriz balmaceda

Fraude en los Procesos de Compras y Contrataciones – Cómo Prevenirlo y Detectarlo

Fraude en los Procesos de Compras y Contrataciones – Cómo Prevenirlo y Detectarlo

Introducción

El proceso de compras y adquisiciones es “la gran bestia” para las organizaciones del sector público y privado, porque siempre está bajo sospecha de corrupción. De acuerdo con el CSIS- Center for International and Strategic Studies, el costo de la corrupción, de la cual los esquemas fraudulentos de Compras y Contrataciones son el componente central, excede globalmente del BILLÓN de dólares anual.

En este artículo analizaremos brevemente las razones para esta situación, y el mejor abordaje para resolver el problema.

Los fraudes fuera de libros

Un primer problema que se presenta es que los fraudes relacionados con compras y adquisiciones son, inherentemente, fuera de libros. Precisemos el concepto.

Una sustracción de bienes es un “fraude en libros”, porque al sustraer un bien incorporado en los registros contables de la empresa, el faltante surgirá por comparación entre tenencias físicas y contabilidad, al realizar un conteo de las existencias. Esto es de práctica en las auditorías externas, de modo que, a menos que se amañen los libros, el fraude será detectado en un lapso relativamente breve.

Si se opta por la posibilidad de adulterar la contabilidad, esto constituye un nuevo fraude en libros, y una nueva forma en que el fraude de la sustracción puede ser descubierto.

Por el contrario, si un proveedor hace un pago indebido a un comprador u otro representante de la empresa adquirente para ser favorecido con la adjudicación de una compra, esta transacción no se registrará en la contabilidad de la empresa compradora, sino solamente en la de quien realice el pago impropio. Normalmente, sucederá que dicho proveedor intentará recuperar el pago realizado por vía de facturar un precio mayor al correspondiente, o entregando un bien o servicio de calidad menor a la requerida y pactada. En este último caso, es cuando más difícil se torna la detección, porque los sobreprecios pueden descubrirse confrontando precios de adquisición con los de mercado.

Un abordaje integral

La ACFE, Association of Certified Fraud Examiners, recomienda mitigar el impacto de cualquier fraude por vía de acciones orientadas a:

  • La prevención
  • La disuasión
  • La detección

Veamos entonces cómo aplicar estos conceptos al caso del fraude en compras y contrataciones

El programa antifraude integral

Los cuatro pilares de un programa antifraude organizacional reducen el riesgo de todo tipo de fraudes, entre ellos el de compras y contrataciones. Estos pilares son:

  • La promoción y divulgación de un Código de Ética o Conducta
  • La existencia de un sistema de denuncias (línea ética)
  • El monitoreo de transacciones
  • El establecimiento de procedimientos de investigación y sanción de conductas fraudulentas

Analicemos la aplicación específica de cada uno de estos elementos para reducir el riesgo de fraude en compras y contrataciones

La promoción y divulgación de un Código de Ética o Conducta

Es especialmente útil para desalentar la incursión inicial en conductas inapropiadas que luego pueden derivar en acciones decididamente fraudulentas como la recepción de sobornos. Tales conductas son, típicamente:

  • Los conflictos de intereses. Cuando alguien debe comprar y contratar con un tercero, y tiene intereses en común con ese tercero, está en conflicto de intereses. En primer lugar, quienes deban comprar deben evitar incurrir en tales conflictos, y cuando lo estuvieran, reportarlo a sus superiores para que ellos decidan si les asignarán o no la transacción. Un conflicto de intereses podría ser que un comprador debiera considerar una oferta de una empresa en la cual trabaja su esposa. Adicionalmente, un proveedor podría ofrecer empleo al hijo de un comprador/a GENERANDO INTENCIONALMENTE un conflicto de intereses que el comprador/a debe evitar
  • Los beneficios indebidos. Tales como obsequios costosos, u ofertas de bienes a valor menor que el de mercado. Con cortesía, deben rechazarse

La existencia de un sistema de denuncias (línea ética)

Son el mecanismo por el cual se descubre casi la mitad de los fraudes…… ¿Y por qué esto es así?

Porque ni auditores ni supervisores están en la mejor posición para detectar fraudes, y menos cuando éstos son fuera de libros.

En el caso del fraude en compras y contrataciones, quienes están en mejor posición para conocerlos y denunciarlos son:

  • Los proveedores perjudicados por una licitación amañada
  • Los compañeros de labores del corrupto/a. De los cuales este/a no se cuidará con el mismo celo que seguramente lo hará respecto de sus superiores/auditores

El monitoreo de operaciones

Que podríamos dividir en dos categorías:

  • Indicadores “duros”, y éstos a su vez en indirectos y directos
  • Indicadores “blandos”

Indicadores duros indirectos son una evolución de gastos y/o patrimonial apartada de las posibilidades financieras del individuo, en virtud de su salario e ingresos declarados.

Los indicadores duros directos se relacionan con los momentos de vulnerabilidad del proceso de compras y contrataciones:

  • El alta en registro de proveedores. Por caso, exclusión de proveedores calificados e inclusión de proveedores no calificados
  • Los llamados a licitación. Proveedores nunca convocados para ofertar o que nunca ofertan
  • Las adjudicaciones. Adjudicaciones a proveedores que no ofrecen ni la mejor calidad ni el mejor precio
  • Recepción de bienes o servicios sin objeciones pero que luego resultan defectuosos
  • Demoras en los pagos a ciertos proveedores y pago exprés a otros

Los indicadores blandos corresponden a situaciones y comportamientos que pueden indicar que un individuo está bajo gran presión o necesitado/a de dinero:

  • Endeudamiento excesivo
  • Conflictos familiares como divorcios o relaciones sentimentales paralelas
  • Enfermedades propias o de su núcleo familiar
  • Adicciones
  • Irritabilidad
  • Ausentismo excesivo y/o injustificado

El establecimiento de procedimientos de investigación y sanción de conductas fraudulentas

La investigación de fraudes es un proceso costoso y ríspido. En una investigación de presuntos fraudes fuera de libros, se requiere de una labor profesional que examine no solamente transacciones sino circunstancias externas a la organización, tales como reuniones, vínculos entre individuos, evolución patrimonial no declarada, etc.

En consecuencia, no basta con la mera denuncia para iniciar una investigación, sino que debe definirse un procedimiento que indique cuando se considera que una presunción de fraude es verosímil y debe investigarse.

Lo cual debe ser decidido al más alto nivel de la organización, por el Directorio o un subgrupo de este, como el Comité de Auditoría. El cual debe ser también el que reciba el informe de investigación y decida las acciones correspondientes

CONCLUSIÓN

Establecer un contexto en el cual se reduzca el riesgo de fraude en compras y contrataciones requiere de acciones específicas relacionadas con:

  • El establecimiento de un programa antifraude en la organización
  • Un monitoreo específico de las operaciones de compras y contrataciones apuntado a las instancias de vulnerabilidad a corrupción
  • Un redireccionamiento de la auditoría interna para evaluar el debido funcionamiento del programa antifraude y el monitoreo, e intervenciones específicas para asesorar al Directorio o Comité de Ética en la decisión sobre emprender o no una investigación de fraude

Por: Guillermo Casal, facilitador de CIDES Corpotraining y en relación al curso: Prevención y Detección de Fraudes e Irregularidades en Compras y Contrataciones.

, 0
17
Abr, 2021
Ataques a sistemas industriales

By beatriz balmaceda

No lo duden: hay ataques a los sistemas industriales

No lo duden: hay ataques a los sistemas industriales

La seguridad de los sistemas industriales no está exenta de riesgos y de ataques por parte de ciberdelincuentes. Pensar lo contrario es un error que puede costar muy caro. Y por ello hay que ser prevenido y contar con las medidas de ciberseguridad industrial.

Si hacemos un poco de historia, debemos hablar del conjunto de normas ISA99 que se empezaron a desarrollar a principios del siglo XX. En realidad se trataba de un conjunto de documentos que desarrolló la International Society of Automation (ISA), una entidad surgida en Estados Unidos y conformada por ingenieros, comerciantes, estudiantes y técnicos. Gracias a ellos se crearon unos estándares de automatización que en conjunto dieron lugar a las normas antes mencionadas.

Tras la ISA99b se pasó a la nomenclatura de la Comisión Electrotécnica Internacional (IEC), hasta llegar a la IEC62443 ya en este siglo.

Esta automatización no es más que el primer nivel del ISA99, en el que los PLCs (máquinas simples que realizan un programa cíclicamente) toman el protagonismo.

El sistema funcionaba bien, porque se basaba en claves que constituían una barrera física.

Pero en la actualidad hay múltiples elementos de sensorización, detección, posicionamiento, etc. que funcionan basándose en conectividad inalámbrica, ya sea WiFi, Bluetooth, o NFC (Near-Field Communication).

Por supuesto, ofrecen grandes ventajas técnicas, pero a su vez abren una gran puerta hacia los sistemas y comunicaciones que cualquiera puede atravesar.

Además, estos sistemas no tienen ningún tipo de configuración de ciberseguridad, llegando a usar softwares y apps de otras empresas para su configuración.

La conclusión de todo esto es que estamos abiertos a una intrusión no controlada, que puede causar daños muy importantes en nuestros sistemas de control industrial. El daño puede llegar, incluso, a la parte física de la infraestructura.

¿Hay solución?

Por supuesto que sí. Hay que confiar en una empresa especializada en ciberseguridad industrial. Pero hay cosas que podemos hacer directamente. Así, por ejemplo, hay que ser conscientes del tipo de dispositivos que vamos a instalar y establecer credenciales potentes, evitando el acceso no controlado a nuestros sistemas. No debemos olvidar que la infraestructura es como una pirámide que afecta verticalmente al resto del sistema.

Por:
TECNOideas 2.0 ciberseguridad es una empresa española que tiene una importante rama de especialización en ciberseguridad industrial OT. Está en posesión de la certificación profesional de más categoría (nivel negro) del Centro de Ciberseguridad Industrial de España, entidad de referencia del sector. www.tecnoideas20.com

Facilitadores de CIDES Corpotraining
Y en relación a su curso: Ciberseguridad Industrial: Auditorías en Sistemas de Control Industrial.

17
Abr, 2021
Ciberseguridad en la industria

By beatriz balmaceda

¿Por qué se descuida la ciberseguridad en la industria?

¿Por qué se descuida la ciberseguridad en la industria?

Poco a poco la ciberseguridad va ocupando su lugar en los sistemas informáticos de las empresas, despachos profesionales, consultorios y centros médicos, etc. La necesaria protección de datos es un tema que ya está sobre la mesa y las autoridades han redactado leyes específicas para garantizar la protección de los datos de clientes, proveedores, trabajadores y cualquier persona que contacte con quien tenga sus datos.

Pero en este aumento de la sensibilidad cibersegura, hay una mancha: los sistemas industriales. No es nada comprensible si tenemos en cuenta que estos sistemas son la base de las principales infraestructuras. Entonces, ¿por qué se ha dejado de lado?

No hay un motivo único y claro, pero sí varios aspectos importantes, que podemos mencionar:

  • La vida media de los aparatos industriales es mucho mayor que la de cualquier sistema informático, llegando a ser de 30 o 40 años.
  • Por este mismo motivo, a menudo no se han implantado actualizaciones de seguridad ni del propio software.
  • Poco conocimiento de que estos sistemas están conectados a internet y por lo tanto son factibles de recibir ataques de ciberdelincuentes.
  • Los responsables de los aparatos industriales no poseen la formación necesaria en temas de ciberseguridad.

¿Qué podemos hacer?

Naturalmente lo primordial sería contratar los servicios de una empresa de ciberseguridad con certificación industrial.

Pero hay cosas que podemos implantar y tener en cuenta cuando instalamos nuevos elementos en los sistemas industriales.

  • El cortafuegos (firewall). Es muy importante, porque es la primera línea de defensa OT. Sin embargo, las medidas de seguridad deben ser divididas y deben estar dimensionadas según la red de OT que tengamos.
  • El fabricante del firewall suele habilitar varios tipos de interfaces, lo que aumenta de forma considerable la superficie de exposición.
  • Al configurar los firewalls, deben cumplirse unas reglas determinadas para proteger nuestros dispositivos. A menudo este posicionamiento es incorrecto. Además, estas reglas deben actualizarse y revisarse de vez en cuando.
  • Sería conveniente eliminar las reglas que dan acceso OT para las direcciones IP que han usado los trabajadores que han dejado ya la empresa o que han cambiado su lugar de trabajo en la propia empresa.
  • Hay que acordarse de las conexiones remotas que puedan usar otras empresas para tareas de telemantenimiento, ya que normalmente usan software estándar o lo hacen a través de app que deben ser monitorizadas.

Por:
TECNOideas 2.0 ciberseguridad es una empresa española que tiene una importante rama de especialización en ciberseguridad industrial OT. Está en posesión de la certificación profesional de más categoría (nivel negro) del Centro de Ciberseguridad Industrial de España, entidad de referencia del sector. www.tecnoideas20.com

Facilitadores de CIDES Corpotraining
Y en relación a su curso: Ciberseguridad Industrial: Auditorías en Sistemas de Control Industrial.

17
Abr, 2021
Forense informático

By beatriz balmaceda

¿Qué es un forense informático y cuál es su función?

¿Qué es un forense informático y cuál es su función?

Hay palabras que nos resultan muy familiares, aunque no las usemos en nuestro lenguaje diario. Un ejemplo de ello podría ser la palabra forense, que a fuerza de escucharla en películas y series criminales la hemos incorporado sin problemas a nuestro lenguaje. Pero en realidad, ¿qué es un forense? Lo primero que nos viene a la cabeza es el trabajo del médico forense. Pero el término va mucho más allá, porque etimológicamente proviene del latín forum, o sea foro, uno de los principales lugares de las ciudades romanas y donde se celebraban los juicios. Así que la palabra forense se relaciona con todo lo que tiene que ver con el mundo de la justicia. Por ello ha pasado a formar parte de numerosas especialidades, como la antropología forense, la balística forense, la acústica forense, la psicología forense o la informática forense, que es la que nos ocupa hoy.

Según la ciencia forense “cualquier acción deja un rastro”. Esta afirmación válida hasta nuestros días en el ámbito de la ciencia forense médica también puede aplicarse directamente a la informática forense.

¿En qué consiste la informática forense?

Tras un ataque de un ciberdelincuente, un incidente de seguridad, fuga de datos, ramsonware, o cualquier otro incidente en un entorno empresarial, se requiere de técnicos cualificados y formados para afrontar el gran problema en el que se ve inmersa la compañía afectada.

La imposibilidad de acceder a los datos una vez cifrados, o que estos datos se vean expuestos a internet, puede provocar un grave perjuicio a las empresas, ya sea de tipo económico, o de tipo reputacional, que a menudo pueden llegar a ser más dañinos que los económicos.

Y aquí es donde entran en juego los forenses informáticos, técnicos certificados capaces de ir a buscar el inicio del problema o del ataque sufrido. Porque un incidente forense debe iniciarse de una forma totalmente profesional desde sus inicios, ya sea para averiguar lo que pasó, recolectar y salvaguardar las evidencias de forma correcta, como para generar un posterior informe con la total validez para su presentación en un juzgado.

Un profesional preparado para ello será capaz de recoger las evidencias de una forma totalmente correcta sin alterarlas, preservando en todo momento el orden de volatilidad establecido en los diferentes marcos de actuación y normativas aplicables en cada caso concreto.

Una vez finalizada la recolección de evidencias, el forense procede a realizar un pormenorizado análisis, con el objetivo de encontrar e identificar el vector de entrada o fuga de datos. Es en este momento que la figura del forense informático cobra mayor importancia, porque es aquí donde un profesional formado y experimentado se distingue del resto.

Como en el caso del médico forense que realiza una autopsia a un cadáver, su informe tiene total validez jurídica, lo que es muy importante para las empresas que han denunciado el ataque y perseguido a los ciberdelincuentes.

Resumiendo, el forense informático descubre y desvela la verdad de lo que ha acontecido.

Por:
TECNOideas 2.0 ciberseguridad es una empresa española que desde 2008 presta servicios de ciberseguridad ofensiva. Entre ellos se encuentran las auditorías de seguridad y el análisis forense y la pericia judicial.  www.tecnoideas20.com

Facilitadores de CIDES Corpotraining
Y en relación a su Curso: Forense Informático

, 0
17
Abr, 2021
Hacker etico

By beatriz balmaceda

¿Pero qué demonios significa que un hacker es ético?

¿Pero qué demonios significa que un hacker es ético?

¿De verdad existe eso? ¿No son dos palabras antagónicas? La respuesta es muy clara: no, no lo son. Para explicarlo es necesario hacer un poco de historia informático-gramatical, porque estamos ante una de esas palabras que nos llegan del lenguaje informático donde predomina el inglés. Pero también porque eso mismo dificulta el entendimiento en nuestro idioma. Debemos añadir el uso generalizado de este tipo de palabras por los medios y todo esto metido en una batidora da unos resultados equívocos que cuestan revertir.

Un hacker no es un pirata informático

Durante mucho tiempo los principales diccionarios definían a un hacker como “pirata informático” y a su vez a pirata informático como “persona que accede ilegalmente a sistemas informáticos ajenos para apropiárselos u obtener información secreta”.

Poco a poco y no sin esfuerzo, se ha conseguido cambiar la definición de hacker al tiempo que se ha incorporado una nueva palabra: cracker. En la actualidad, los principales diccionarios de inglés y algunos de español (incluido el Diccionario de la Real Academia Española) definen al hacker como “Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora.”

La palabra cracker se aplica a las personas que además de entrar en sistemas ajenos, lo hace con fines delictivos, es un pirata informático o un ciberdelincuente.

Hacker ético

Así pues un hacker es alguien que busca conocimiento, probarse día a día, compartirlo, y demostrar dónde ha llegado, por ejemplo, mostrándole a una empresa dónde tiene vulnerabilidades en sus sistemas para que le pongan solución.

Si lo hace para beneficio propio, secuestrando datos, haciendo que una empresa no pueda trabajar, o en definitiva buscando un lucro económico, es un ciberdelincuente.

Si lo que hace es vulnerar un software o hardware, para copiarlo y revenderlo por su cuenta, es un cracker.

El hacker ético, ya lo habrán deducido, es la persona que analiza los sistemas y softwares informáticos para encontrar posibles vulnerabilidades y, por supuesto, sus posibles soluciones. Y eso lo hace a través de una especialización técnica y del conocimiento compartido.

Para terminar, unas curiosidades, para que vean lo que cuesta cambiar algunas cosas: la nueva definición de hacker de la Real Academia Española (RAE), la que hemos apuntado en los párrafos anteriores, es sólo la segunda acepción del diccionario de la RAE, que mantiene como pirata informático la primera. Más curioso aún es que acepta la forma adaptada al español y escribe jáquer y sus derivados jaqueo y jaquear. Y si mantienen la voz inglesa, en un texto en español, deben escribirla en cursiva.

Así que ya saben: ¡sean ustedes jáqueres éticos! 

Por:
TECNOideas2.0 ciberseguridad es una empresa española que desde 2008 presta servicios de ciberseguridad ofensiva, que incluye auditorías de seguridad informática e industrial, servicio de CISO externo y SOC/SIEM 24/7, análisis forense y pericia judicial, normativas/compliance (ISO 27001) y formación, tanto a nivel de seguridad para empleados y directivos de empresas en general, como una formación específica más técnica para personal de tecnologías de la información. Y por supuesto, ¡somos éticos! .  www.tecnoideas20.com

Facilitadores de CIDES Corpotraining
Y en relación a su Curso: Iniciación al Hacking Ético

,
17
Abr, 2021
Ciberseguridad en el teletrabajo

By beatriz balmaceda

Teletrabajo, inseguro por definición

Teletrabajo, inseguro por definición

La pandemia de la COVID-19 ha cambiado nuestra vida. En casi todos los aspectos. Y también en el laboral. Poco nos podíamos imaginar que llegaría un día en que trabajaríamos en casa. Con todo lo que ello supone de horarios, compartir trabajo con la atención a los niños y niñas, encontrar un lugar adecuado para poder trabajar, compartir con ellos el ordenador familiar, quizá incluso compartir contraseñas… y por supuesto, tener una muy buena conexión a internet.

Esto sí que ha representado un grave problema: ¿una buena conexión? Compartida con un televisor, un juego de vídeo, una consola, la necesidad de que los escolares se conecten con el centro escolar, con el mismo ordenador… ¡y todo ello con el mismo rúter!, que además no habrá sido configurado especialmente para teletrabajar.

¿Dónde queda la seguridad de los documentos empresariales?

El trabajar desde casa tiene muchos riesgos de seguridad. Y las empresas han priorizado que sus trabajadores puedan teleacceder a los sistemas y documentos de la empresa antes que procurarles un sistema de conexión con un mínimo de seguridad.  El resultado es que teletrabajamos al mismo tiempo que abrimos una inmensa puerta a los ciberdelincuentes.

Cuando los empleados de una empresa iban todos a la oficina, la compañía tenía bastante controlado el perímetro de seguridad de sus infraestructuras. Pero con el teletrabajo el perímetro se ha expandido por todos los hogares de los trabajadores.

Toda precaución es poca

No debemos conformarnos con todo ello. Y si queremos que nuestro sistema informático no corra tanto peligro y que podamos trabajar con un mínimo de seguridad, hay que tomar unas precauciones que están a nuestro alcance.

  • Los rúters tienen más de una entrada. Les recomendamos usar varias para diferentes trabajos. Y configurando diferentes contraseñas.
  • Las contraseñas son importantes. Hay que complicarlas tanto como sea posible. Y si usted es de los que no se acuerdan nunca, sepa que existen gestores de contraseñas gratuitos y fáciles de usar.
  • Siempre que sea posible, use el doble factor de autenticación. Ya sabe, móvil y ordenador.
  • Hay que vigilar con atención los correos que recibimos de gente que no conocemos.
  • Cuidado con abrir archivos de dudosa procedencia o clicar enlaces desconocidos.
  • No dar nunca nuestros datos por correo electrónico.
  • Hacer copias de seguridad regularmente. Pero no con un disco externo: se infectan igual. Hay que usar un backup cifrado.
  • No suba a la nube documentos importantes a no ser que lo haga con plataformas securizadas y encriptadas.
  • No use llaves USB si no han sido previamente analizadas.
  • No trabaje nunca con redes públicas.
  • Tenga el mismo cuidado al usar su smartphone o sus redes sociales.
  • Use siempre antivirus.
  • No sea perezoso y actualice los programas cuando se lo pidan: la mayor parte de una actualización contiene nuevas medidas de seguridad.
  • Ante cualquier indicio de problema, no dude: consulte e informe a su empresa.

Por:
TECNOideas2.0 ciberseguridad es una empresa española que desde 2008 presta servicios de ciberseguridad ofensiva, que incluye auditorías de seguridad informática e industrial, servicio de CISO externo y SOC/SIEM 24/7, análisis forense y pericia judicial, normativas/compliance (ISO 27001) y formación, tanto a nivel de seguridad para empleados y directivos de empresas en general, como una formación específica más técnica para personal de tecnologías de la información. www.tecnoideas20.com

Facilitadores de CIDES Corpotraining
Y en relación a su curso: Ciberseguridad en el Teletrabajo

, 0
Fraude en los Procesos de Compras y Contrataciones – Cómo Prevenirlo y Detectarlo
Ataques a sistemas industriales
No lo duden: hay ataques a los sistemas industriales
Ciberseguridad en la industria
¿Por qué se descuida la ciberseguridad en la industria?
Forense informático
¿Qué es un forense informático y cuál es su función?
Hacker etico
¿Pero qué demonios significa que un hacker es ético?
Ciberseguridad en el teletrabajo
Teletrabajo, inseguro por definición