La NASA reveló que 10 computadoras usadas en el programa de transbordadores se vendieron al público sin haber borrado en forma segura los datos sensibles.
Una otra computadora que fue confiscada antes que fuera vendida, contenía información relacionada a tecnología del programa de transbordadores, que está sujeta a control de exportación por Regulaciones Internacionales de Tráfico de Armas.
Además, computadoras que se preparaban para la venta fueron encontradas en el Centro Espacial Kennedy en su depósito de desechos conteniendo información de Protocolos de Internet de la NASA, la cual según dijeron los investigadores podría proporcionar a los hackers detalles necesarios para explotar las vulnerabilidades de la red de la NASA.
La NASA estaba vendiendo las computadoras al prepararse para retirar el programa de transbordadores después de 38 años con el lanzamiento del transbordador espacial progrmado para Junio 2011.
En una revisión interna, la agencia espacial encontró que los Centros Espaciales Kennedy y Johnson y el Centro de Investigación Ames utilizan software para borrado seguro (wipe) del equipamiento antes de disponer de ellos. El Centro de investigación Langley no requiere esta tecnología debido a que remueve los discos duros (hard drives) en forma previa a su disposición final. Aunque el centro Kenedy era el único que tenía un procedimiento de prueba implementado para verificar que los discos fueron realmente sometidos al proceso de borrado seguro (wiped) tal como los requieren las políticas de la NASA.
No obstante se identificaron debilidades en los cuatro centros sobre políticas de "sanitización".
Por ejemplo, Kennedy, Johnson y Ames utilizaban software de borrado seguro no aprobado, Langley no registraba o dejaba pista sobre los discos duros removidos, y en Kennedy no se notificaba a los administradores cuando la prueba de verificación de sanitización de las computadoras fallaba.
Se encontraron fallas en el proceso de verificación del centro Kennedy que resultó en la venta (y casi venta) de computadoras que contenían todavía datos sensibles.
"Esto ocurre porque los administradores de la NASA no supervisan adecuadamente el proceso de sanitización y disposición," dijo en su informe el inspector general de la oficina de la agencia espacial, el informe se denomina 'Preparación para el retiro del programa espacial de transbordadores: Una revisión de la disposición de equipos de tecnología de información de la NASA'
"Las políticas de sanitización de la NASA están incompletos y el personal responsable no sigue consistentemente las políticas aplicables o no eran conscientes de ellas"
Los investigadores independientes recomendaron al CIO (Chief Information Officer) de la NASA llevar a cabo futuras revisiones, tomar acciones correctivas y seguir la mejores prácticas.
Traducción por: frauditor
Fuente: www.networkworld.com
sábado, 11 de diciembre de 2010
Hacking de ATMs
Barnaby Jack en el Black Hat 2010 hizo una demostración de como insertar código no autorizado en un cajero automático (ATM) y luego sacar el efectivo del mismo.
Fuente: http://www.youtube.com/user/SecurityWeek
Entrevista a Barnaby Jack respondiendo a preguntas sobre cómo atacó el ATM.
Fuente: http://www.youtube.com/user/SCMagazineUS
Ahora "Infectan todos los cajeros automáticos de la ciudad":
"...los delincuentes infectaban directamente el cajero automático, y no solo uno, sino todos los de la ciudad rusa de Yakutsk, de 250.000 habitantes aproximadamente. Esta banda estaba bien organizada y cada componente de la misma conocía bien su función. Según informaron las autoridades rusas mientras uno de los componentes de la banda conseguía el acceso a los caeros automáticos, otro se encargaba de infectarlos mientras que el tercero se encargaba de recoger el dinero. También se identificó una cuarta persona que sería la que programó el código malicioso por encargo."
Fuente: http://blogs.protegerse.com/laboratorio
Fuente: http://www.youtube.com/user/SecurityWeek
Entrevista a Barnaby Jack respondiendo a preguntas sobre cómo atacó el ATM.
Fuente: http://www.youtube.com/user/SCMagazineUS
Ahora "Infectan todos los cajeros automáticos de la ciudad":
"...los delincuentes infectaban directamente el cajero automático, y no solo uno, sino todos los de la ciudad rusa de Yakutsk, de 250.000 habitantes aproximadamente. Esta banda estaba bien organizada y cada componente de la misma conocía bien su función. Según informaron las autoridades rusas mientras uno de los componentes de la banda conseguía el acceso a los caeros automáticos, otro se encargaba de infectarlos mientras que el tercero se encargaba de recoger el dinero. También se identificó una cuarta persona que sería la que programó el código malicioso por encargo."
Fuente: http://blogs.protegerse.com/laboratorio
martes, 7 de diciembre de 2010
CURSO IDEA 8
CURSO IDEA 8
Buenos Aires - Argentina
(Curso de 8 horas)
Objetivo: El participante aplicará los conceptos, componentes y estructura del software IDEA, así como la definición de sus funciones para poder aplicarlos en condiciones reales dentro de su organización.
Dirigido a: Contadores Públicos, Auditores de Sistemas, profesionales encargados de realizar actividades de control posterior, y otros profesionales que utilizan el análisis de datos para el desarrollo de su trabajo.
Tipo de curso: In Company
Es un curso de aplicación práctica de las funcionalidades del software.
Nivel: Introductorio - Intermedio
Precio y Duración:
Precio Consultar a 
El precio incluye: Tutorial Interactivo, Texto, Presentaciones y Material adicional en formato digital.
- Curso 8 horas
Fechas disponibles: Del 20/12/2010 al 30/12/2010
CONTENIDO DEL CURSO
PLANIFICACIÓN DE LA DESCARGA DE DATOS
OBTENCIÓN DE DATOS
- Definir la carpeta de trabajo
- Importación de Datos a IDEA
- Navegar a través de la Base de Datos
CRITERIOS DE BÚSQUEDA / EXTRACCIÓN
- Editor de ecuaciones
- Operadores y Funciones
- Extracciones Top, Clave, Directa
RESUMIR DATOS
- Sumarización
- Estratificación Numérica y por Fecha
- Antigüedad de Fechas
- Tablas Pivot
ORDENAMIENTO Y DUPLICADOS
- Índices: ordenamiento de registros
- Detección de claves duplicadas
- Detección de Omisiones
CAMPOS Y FUNCIONES AVANZADAS
- Manejo de campos virtuales
- Funciones condicionales
- Funciones fecha/hora – conversiones
CRUCE DE DATOS
- Totales de Control
- Agregar, unir
- Conector Visual
- Campos de Acción
- Comparar BD
- Días Feriados y Vacaciones
ESTADÍSTICA Y MUESTREO
- Estadísticas de Campos
- Muestreo por Atributos
- Selección de muestra: Aleatorio, Sistemático
LA LEY DE BENFORD Y DETECCIÓN DE FRAUDES
- Aspectos Teóricos
- Análisis Digital
- Interpretación de Resultados
EXPORTACIÓN DATOS Y REPORTES
- Exportar datos
- Reportes
- Gráficos
- Impresión
- Revisión del Historial
PRÁCTICAS DE APLICACIÓN:
- Asientos de Diario
- Logs de Auditoria
- Transacciones de Caja
- Tamaño y Selección de la Muestra
viernes, 29 de octubre de 2010
VIDEO TUTORIAL IDEA 7.3
1. Se establece la carpeta de trabajo y se importa el archivo.
Cursos CAATTs:
Curso IDEA 8 Caseware
Curso ACL 8 (Audit Command Language)
Cursos CAATTs:
Curso IDEA 8 Caseware
Curso ACL 8 (Audit Command Language)
miércoles, 6 de octubre de 2010
Tecnologías Antiforense
DISI 2008: Tecnologías Antiforense
D. Fernando Fernández, Cuerpo Nacional de Policía. Tecnologías Antiforense Ponencia invitada al Tercer Día Internacional de la Seguridad de la Información, celebrada el 1 de diciembre de 2008 en la EUITT de la UPM y organizada por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI.
Fuente: http://www.youtube.com/user/UPM
D. Fernando Fernández, Cuerpo Nacional de Policía. Tecnologías Antiforense Ponencia invitada al Tercer Día Internacional de la Seguridad de la Información, celebrada el 1 de diciembre de 2008 en la EUITT de la UPM y organizada por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI.
Fuente: http://www.youtube.com/user/UPM
martes, 5 de octubre de 2010
CÓMPUTO FORENSE
Seguridad y Redes - Analisis forense: la CSI de la informática
Tambien conocido como análisis forense digital, su objetivo es explicar el estado actual de un aparato digital. Esto incluye computadoras, dispositivos de almacenamiento como discos duros y cd-roms, un documento electrónico (correo electrónico o una imagen en jpg) incluso una secuencia de paquetes moviéndose dentro de una red computacional.
Andrés Velásquez realiza la presentación, algunos aspectos aspectos interesantes del video son:
¿Qué es el cómputo forense?
08:33
Es la aplicación de técnicas científicas y analíticas a infraestructuras tecnologícas para poder identificar, preservar, analizar y presentar datos que sean válidos en procedimiento legal.
Etapas del Cómputo Forense
12:40
1. Identificación
2. Preservación
3. Análisis
4. Presentación
¿A qué se pude aplicar el cómputo forense?
14:15
Computadoras, PDAs, Cámaras digitales, Discos Duros, Memory Sticks, Impresoras, Celulares, .... y cualquier dispositivo que tenga "memoria".
¿Qué cable desconectar al identificar un servidor hackeado?
19:25
Al desconectar un cable se genera un daño, entonces se debe estar consciente hasta donde se puede generar el daño y por supuesto se debe documentar y elegir de acuerdo a las circunstancias el evento que genere menor daño.
¿Qué es el $MFT?
33:27
Si una máquina con Windows y sistema de archivos NTFS y uno borra archivos, el disco duro sigue creciendo.
Cada archivo que uno crea en una máquina crea a su vez una entrada en el archivo $MFT de 1024 Bytes con el nombre del archivo, fecha de creación y parte de la cabecera, todo archivo creado en la computadora queda en ese archivo, si se borra, se corrompe el sistema. Es el log (bitácora) que revisan los especialistas en cómputo forense.
Otra explicación de lo que es MFT: Detectando 'timestamp'
Fuente: http://www.youtube.com/user/campusparty
Libros Relacionados:
Computer Forensics & Privacy
By Michael Caloyannides
Hardcover / September 2001 / 1580532837
Windows Forensic Analysis Including DVD Toolkit
Harlan Carvey (Author), Dave Kleiman (Technical Editor)
Paperback
File System Forensic Analysis
By Brian Carrier
Paperback / March 2005 / 0321268172
Más libros: http://www.e-evidence.info/books.html
Tambien conocido como análisis forense digital, su objetivo es explicar el estado actual de un aparato digital. Esto incluye computadoras, dispositivos de almacenamiento como discos duros y cd-roms, un documento electrónico (correo electrónico o una imagen en jpg) incluso una secuencia de paquetes moviéndose dentro de una red computacional.
Andrés Velásquez realiza la presentación, algunos aspectos aspectos interesantes del video son:
¿Qué es el cómputo forense?
08:33
Es la aplicación de técnicas científicas y analíticas a infraestructuras tecnologícas para poder identificar, preservar, analizar y presentar datos que sean válidos en procedimiento legal.
Etapas del Cómputo Forense
12:40
1. Identificación
2. Preservación
3. Análisis
4. Presentación
¿A qué se pude aplicar el cómputo forense?
14:15
Computadoras, PDAs, Cámaras digitales, Discos Duros, Memory Sticks, Impresoras, Celulares, .... y cualquier dispositivo que tenga "memoria".
¿Qué cable desconectar al identificar un servidor hackeado?
19:25
Al desconectar un cable se genera un daño, entonces se debe estar consciente hasta donde se puede generar el daño y por supuesto se debe documentar y elegir de acuerdo a las circunstancias el evento que genere menor daño.
¿Qué es el $MFT?
33:27
Si una máquina con Windows y sistema de archivos NTFS y uno borra archivos, el disco duro sigue creciendo.
Cada archivo que uno crea en una máquina crea a su vez una entrada en el archivo $MFT de 1024 Bytes con el nombre del archivo, fecha de creación y parte de la cabecera, todo archivo creado en la computadora queda en ese archivo, si se borra, se corrompe el sistema. Es el log (bitácora) que revisan los especialistas en cómputo forense.
Otra explicación de lo que es MFT: Detectando 'timestamp'
Fuente: http://www.youtube.com/user/campusparty
Libros Relacionados:
Computer Forensics & Privacy
By Michael Caloyannides
Hardcover / September 2001 / 1580532837
Windows Forensic Analysis Including DVD Toolkit
Harlan Carvey (Author), Dave Kleiman (Technical Editor)
Paperback
File System Forensic Analysis
By Brian Carrier
Paperback / March 2005 / 0321268172
Más libros: http://www.e-evidence.info/books.html
sábado, 2 de octubre de 2010
Cursos CAATTs Modalidad Virtual
Los cursos que ofertamos tienen una carga horaria de 10 Horas
* Software Generalizado de Auditoria
Prácticas con software IDEA-ACL o software libre
* Muestreo para Auditoria y Control
* Auditoria Contínua
* Auditoria de Sistemas TI
Cursos CAATTs Modalidad Virtual mediante plataforma GoToMeeting.
Las ventajas que ofrecemos son:
* Capacitación sin necesidad de desplazarte de tu lugar de residencia.
* Se puede realizar desde cualquier parte del mundo.
* Interacción directa con el facilitador como si fuera un curso presencial, ya que se interactúa con el expositor, se lo pude ver, escuchar, y preguntarle todas las dudas.
* Material en formato digital el cual podras descargarlo y tenerlo para futuras referencias.
* Fechas y Horarios Flexibles
Contacto:
Fuente: www.caatts.com.ar
* Software Generalizado de Auditoria
Prácticas con software IDEA-ACL o software libre
* Muestreo para Auditoria y Control
* Auditoria Contínua
* Auditoria de Sistemas TI
Cursos CAATTs Modalidad Virtual mediante plataforma GoToMeeting.
Las ventajas que ofrecemos son:
* Capacitación sin necesidad de desplazarte de tu lugar de residencia.
* Se puede realizar desde cualquier parte del mundo.
* Interacción directa con el facilitador como si fuera un curso presencial, ya que se interactúa con el expositor, se lo pude ver, escuchar, y preguntarle todas las dudas.
* Material en formato digital el cual podras descargarlo y tenerlo para futuras referencias.
* Fechas y Horarios Flexibles
Contacto:
Fuente: www.caatts.com.ar
MUESTREO ESTADÍSTICO PARA AUDITORIA Y CONTROL - Modalidad Virtual
Contenido:
1. Introducción y Conceptos
2. Normas Relacionadas
3. NIA 530
4. Planes de Muestreo
- Aplicación práctica: Muestreo estadístico para Pruebas de cumplimiento
- Aplicación práctica: Muestreo estadístico para Pruebas Sustantivas
5. Técnicas de Selección de Muestras
- Aplicación práctica: Selección Aleataria
- Aplicación práctica: Selección Periódica
6. Aplicación práctica
Detalles del Curso:
Dirigido a: Auditores Financieros, Auditores de Sistemas, y profesionales encargados de realizar actividades de control posterior.
Tipo de curso: CAPACITACIÓN PERSONALIZADA MODALIDAD VIRTUAL
Nivel: Introductorio - Intermedio
PRECIO: Consultar via email
Los pagos se recepcionan via Western Union y la comisión corre a cargo del participante.
Duración: 8 horas reloj
Los horarios se establecen previo acuerdo y disponibilidad.
IMPORTANTE: EL CURSO INCLUYE LA DOTACIÓN DE UN PROGRAMA UTILITARIO PARA MUESTREO Y DOCUMENTACIÓN DEL TRABAJO REALIZADO.
Cursos CAATTs Modalidad Virtual mediante plataforma GoToMeeting.
Las ventajas que ofrecemos son:
* Capacitación sin necesidad de desplazarte de tu lugar de residencia.
* Se puede realizar desde cualquier parte del mundo.
* Interacción directa con el facilitador como si fuera un curso presencial, ya que se interactúa con el expositor, se lo pude ver, escuchar, y preguntarle todas las dudas.
* Material en formato digital el cual podras descargarlo y tenerlo para futuras referencias.
* Fechas y Horarios Flexibles
Contacto:
Fuente: www.caatts.com.ar
OTROS CURSOS:
CURSOS CAATTs MODALIDAD VIRTUAL
Fuente: www.caatts.com.ar
1. Introducción y Conceptos
2. Normas Relacionadas
3. NIA 530
4. Planes de Muestreo
- Aplicación práctica: Muestreo estadístico para Pruebas de cumplimiento
- Aplicación práctica: Muestreo estadístico para Pruebas Sustantivas
5. Técnicas de Selección de Muestras
- Aplicación práctica: Selección Aleataria
- Aplicación práctica: Selección Periódica
6. Aplicación práctica
Detalles del Curso:
Dirigido a: Auditores Financieros, Auditores de Sistemas, y profesionales encargados de realizar actividades de control posterior.
Tipo de curso: CAPACITACIÓN PERSONALIZADA MODALIDAD VIRTUAL
Nivel: Introductorio - Intermedio
PRECIO: Consultar via email
Los pagos se recepcionan via Western Union y la comisión corre a cargo del participante.
Duración: 8 horas reloj
Los horarios se establecen previo acuerdo y disponibilidad.
IMPORTANTE: EL CURSO INCLUYE LA DOTACIÓN DE UN PROGRAMA UTILITARIO PARA MUESTREO Y DOCUMENTACIÓN DEL TRABAJO REALIZADO.
Cursos CAATTs Modalidad Virtual mediante plataforma GoToMeeting.
Las ventajas que ofrecemos son:
* Capacitación sin necesidad de desplazarte de tu lugar de residencia.
* Se puede realizar desde cualquier parte del mundo.
* Interacción directa con el facilitador como si fuera un curso presencial, ya que se interactúa con el expositor, se lo pude ver, escuchar, y preguntarle todas las dudas.
* Material en formato digital el cual podras descargarlo y tenerlo para futuras referencias.
* Fechas y Horarios Flexibles
Contacto:
Fuente: www.caatts.com.ar
OTROS CURSOS:
CURSOS CAATTs MODALIDAD VIRTUAL
Fuente: www.caatts.com.ar
History of Hacking
Serie de videos sobre hackers del blog de StreetLegendHackers, desde los primeros hasta uno de los más actuales: STEVE MOZNIAK (Co-Founder Apple Computers); JOHN DRAPER (a.k.a. Captain Crunch); DENNY TERESI (Phone Phreak); MIKE GORMAN (Phone Phreak); LEE FELSENSTEIN (Hacker); JIM WARREN (Hacker); KEVIN MITNICK (Hacker Wanted by FBI 1992-95)
1/5
2/5
3/5
4/5
5/5
1/5
2/5
3/5
4/5
5/5
viernes, 17 de septiembre de 2010
Ciberguerrilla
"Este es un docuemental en el que se nos enseña acerca de las futuras guerras de la informática, también enseña como prevenirnos sobre viruses, troyanos, etc., y a concienciar sobre el peligro de la internet, también habla sobre los hackers, los terroristas informáticos, sobre las primeras computadoras, y sus diferentes tipos, software, personas relacionadas con la política, todo aspecto relacionado con la informática."
Fuente: http://www.youtube.com/user/MlK6000
1/6
2/6
3/6
4/6
5/6
6/6
Fuente: http://www.youtube.com/user/MlK6000
1/6
2/6
3/6
4/6
5/6
6/6
jueves, 16 de septiembre de 2010
Echelon: The Most Secret Spy System
Echelon es un sistema mundial de interceptación de comunicaciones privadas y económicas en el que participan los Estados Unidos, el Reino Unido, Canadá, Australia y Nueva Zelanda en el marco del Acuerdo UKUSA. El sistema desarrollado durante la guerra fría, no se utiliza para interceptar comunicaciones militares, sino privadas y económicas (gobiernos, organizaciones y empresas en prácticamente todos los países). El sistema Echelon permite interceptar comunicaciones de teléfono, radio o de Internet.
Propiedades del Sistema Echelon
- Todo mensaje enviado por teléfono, telefax, Internet o correo electrónico, sea cual sea su remitente, puede captarse mediante estaciones de interceptación de comunicaciones por satélite y satélites espía, lo que permite conocer su contenido.
- funciona a escala mundial gracias a la cooperación de distintos Estados (el Reino Unido, los Estados Unidos, el Canadá, Australia y Nueva Zelanda), lo que significa un valor añadido en comparación con los sistemas nacionales.
Los satélites de Echelon no son los únicos elementos de este sistema de espionaje, además de ellos, podemos encontrarnos con sistemas “capturadores“ de señales de radio, Escaneres y sistemas informáticos.
Echelon vigila a todo el mundo, desde Diana, Princesa de Gales hasta los mensajes que el Papa mandó a la Madre Teresa de Calcuta, pasando por ciudadanos de a pie.
El sistema [Echelon] fue descubierto por primera vez en la década de los 70 por un grupo de investigadores del Reino Unido.
Desde el 3 de julio de 2001 Echelon existe de forma oficial. Esa fue la fecha en la que la comisión de Investigación del Parlamento Europeo despejó cualquier posible duda sobre su existencia.
El Parlamento Europeo en su PROYECTO DE INFORME sobre la existencia de un sistema mundial de interceptación de comunicaciones privadas y económicas, promueve así la defensa contra Echelon y otros sistemas de espionaje con una técnica clara y bien conocida: el cifrado (Cabe mencionar a Phil Zimmerman y Pretty Good Privacy [PGP], así como herramientas similares de cifrado personal como GnuPG, S/MIME...).
En el terreno práctico, los Estados UKUSA sólo tienen acceso a una parte muy reducida de la comunicación por Internet a través de cable, y por comunicación por ondas.
Cada Estado miembro de ECHELON dispone de un ordenador "Diccionario" que analiza por palabras clave las comunicaciones captadas, tiene capacidad para interceptar toda la información transmitida vía satélite (aproximadamente un 1% de todas las llamadas internacionales), siempre que se realice una búsqueda mediante palabras clave, y que sus capacidades en lo relativo a la descodificación son muy superiores a lo indicado por parte de los Estados Unidos.
Dentro de las nuevas formas de control, podemos mencionar a Enfopol (Europa) y Carnivore.
Resumen del “Artículo publicado en Novática, septiembre 2001”. Juan Vte. Oltra Gutiérrez – Universidad Politécnica de Valencia. jvoltra@omp.upv.es
Los siguientes son una serie de videos subidos por:
http://www.youtube.com/user/minimumrage
1/5
2/5
3/5
4/5
5/5
El siguiente enlace nos dirige a un documento del parlamento europeo del año 2004, tiene una extensión de 195 páginas y trata "sobre la existencia de un sistema mundial de interceptación de comunicaciones privadas y económicas (sistema de interceptación ECHELON) (2001/2098(INI))"
rapport_echelon_es.pdf
Propiedades del Sistema Echelon
- Todo mensaje enviado por teléfono, telefax, Internet o correo electrónico, sea cual sea su remitente, puede captarse mediante estaciones de interceptación de comunicaciones por satélite y satélites espía, lo que permite conocer su contenido.
- funciona a escala mundial gracias a la cooperación de distintos Estados (el Reino Unido, los Estados Unidos, el Canadá, Australia y Nueva Zelanda), lo que significa un valor añadido en comparación con los sistemas nacionales.
Los satélites de Echelon no son los únicos elementos de este sistema de espionaje, además de ellos, podemos encontrarnos con sistemas “capturadores“ de señales de radio, Escaneres y sistemas informáticos.
Echelon vigila a todo el mundo, desde Diana, Princesa de Gales hasta los mensajes que el Papa mandó a la Madre Teresa de Calcuta, pasando por ciudadanos de a pie.
El sistema [Echelon] fue descubierto por primera vez en la década de los 70 por un grupo de investigadores del Reino Unido.
Desde el 3 de julio de 2001 Echelon existe de forma oficial. Esa fue la fecha en la que la comisión de Investigación del Parlamento Europeo despejó cualquier posible duda sobre su existencia.
El Parlamento Europeo en su PROYECTO DE INFORME sobre la existencia de un sistema mundial de interceptación de comunicaciones privadas y económicas, promueve así la defensa contra Echelon y otros sistemas de espionaje con una técnica clara y bien conocida: el cifrado (Cabe mencionar a Phil Zimmerman y Pretty Good Privacy [PGP], así como herramientas similares de cifrado personal como GnuPG, S/MIME...).
En el terreno práctico, los Estados UKUSA sólo tienen acceso a una parte muy reducida de la comunicación por Internet a través de cable, y por comunicación por ondas.
Cada Estado miembro de ECHELON dispone de un ordenador "Diccionario" que analiza por palabras clave las comunicaciones captadas, tiene capacidad para interceptar toda la información transmitida vía satélite (aproximadamente un 1% de todas las llamadas internacionales), siempre que se realice una búsqueda mediante palabras clave, y que sus capacidades en lo relativo a la descodificación son muy superiores a lo indicado por parte de los Estados Unidos.
Dentro de las nuevas formas de control, podemos mencionar a Enfopol (Europa) y Carnivore.
Resumen del “Artículo publicado en Novática, septiembre 2001”. Juan Vte. Oltra Gutiérrez – Universidad Politécnica de Valencia. jvoltra@omp.upv.es
Los siguientes son una serie de videos subidos por:
http://www.youtube.com/user/minimumrage
1/5
2/5
3/5
4/5
5/5
El siguiente enlace nos dirige a un documento del parlamento europeo del año 2004, tiene una extensión de 195 páginas y trata "sobre la existencia de un sistema mundial de interceptación de comunicaciones privadas y económicas (sistema de interceptación ECHELON) (2001/2098(INI))"
rapport_echelon_es.pdf
PELIGROS CON LAS TARJETAS DE CREDITO
ROBO DE DATOS DE TARJETAS DE CREDITO/DEBITO
El siguiente video es una producción de The eLearning Solutions, video educativo que nos enseña 3 métodos de robo de datos de tarjetas de débito/crédito en los cajeros automáticos y recomendaciones de cómo podemos prevenirlos.
* Primer Método: Copia de datos mediante lector falso de tarjetas al ingresar al recinto del cajero y camara escondida
* Segundo Método: Réplica de Cajeros mediante un dispositivo colocado encima del cajero en el cual el usuario ingresa los datos verdaderos
* Tercer Método: Lazo Libanés que consiste en una funda que se mete en la ranura del cajero.
ROBO DE TARJETAS DE CREDITO
Una producción de The REal Hustle una demostración REAL de como pueden robarnos nuestra tarjeta de crédito utilizando el método del Lazo Libanés, todo esto sin que tengamos la más mínima sospecha.
CLONACION DE TARJETAS DE CREDITO
Una producción de The Real Hustle, una demostración REAL de Clonación de Tarjetas de Crédito, esto le puede pasar a cualquiera, en un restaurante y con un(a) meser@. "La regla general es: si algo se fabrica, se puede copiar".
El siguiente video es una producción de The eLearning Solutions, video educativo que nos enseña 3 métodos de robo de datos de tarjetas de débito/crédito en los cajeros automáticos y recomendaciones de cómo podemos prevenirlos.
* Primer Método: Copia de datos mediante lector falso de tarjetas al ingresar al recinto del cajero y camara escondida
* Segundo Método: Réplica de Cajeros mediante un dispositivo colocado encima del cajero en el cual el usuario ingresa los datos verdaderos
* Tercer Método: Lazo Libanés que consiste en una funda que se mete en la ranura del cajero.
ROBO DE TARJETAS DE CREDITO
Una producción de The REal Hustle una demostración REAL de como pueden robarnos nuestra tarjeta de crédito utilizando el método del Lazo Libanés, todo esto sin que tengamos la más mínima sospecha.
CLONACION DE TARJETAS DE CREDITO
Una producción de The Real Hustle, una demostración REAL de Clonación de Tarjetas de Crédito, esto le puede pasar a cualquiera, en un restaurante y con un(a) meser@. "La regla general es: si algo se fabrica, se puede copiar".
martes, 10 de agosto de 2010
Continuous Auditing Tool (CAT)
Continuous Auditing Tool (CAT)
Herramienta de Auditoria Continua
La Auditoría Contínua "es un método usado para ejecutar automáticamente controles y evaluación de riesgos con mayor frecuencia, y la tecnología es clave para el éxito de este enfoque." (David Coderre, Global Technology Audit Guide - GTAG 3).
Coninuous Auditing Tool (CAT) se diseñó como una herramienta tecnológica para implementar el enfoque de "Auditoría Contínua".
CAT permite ejecutar más de 50 procedimientos de auditoría predefinidos agrupados en diferentes módulos entre los cuales se tiene: Libro Diario, Inventario, Cuentas por Pagar/Cobrar, Logs de Seguridad.
Con CAT se podrá implementar un enfoque de "Auditoría Contínua" en el Departamento de Auditoría realizando las evaluaciones casi en tiempo real mediante la ejecución automática de procedimientos y con mayor frecuencia entre una Auditoría y Otra.
CAT es una de las tecnologías necesarias para acceder, manipular y analizar los datos contenidos en sistemas de información diferentes.
Lo único que tendrá que hacer con el software es importar los datos sujetos a análisis y todos los procedimientos de auditoría se realizan en forma automática, optimizando el tiempo del auditor para dedicarlo al análisis de los resultados, ya no tendrá que dedicarse a la tediosa tarea de diseñar sus pruebas.
El software garantiza la integridad de los datos importados ya que estos son de solo lectura.
Los resultados se pueden exportar a formatos como MS Excel.
Entre las funciones que aplicará cada procedimiento de auditoría se tienen:
- Análisis de Frecuencia Digital
- Pruebas redondeo de números
- Análisis de Duplicados
- Identificación de Faltantes
- Identificación de Registros Fantasmas
- Detección de Outliers
- Detección de Patrones Sospechosos
- Localizar Inconsistencias en datos
- Análisis de Registros por Usuario
- Identificación de registros con fechas/horas inusuales
- Localizar Registros con fechas aproximadas
- Cálculo de Antiguedad de fechas
- Cálculo de Índices
- Identificar Tendencias de Performance y Eficiencia
- Recálculo de fórmulas
- Cálculo del Tamaño de la Muestra
- Proyección de Resultados muestrales a la Población
- Selección Aleatoria de muestras
Nota1: Se podrá realizar la "customización" del software y añadirle nuevos módulos o nuevos procedimientos de auditoría de acuerdo a los requerimientos del Auditor.
Nota2: Se realiza la implementación del software CAT para los Programas Generalizados de Auditoria (IDEA, ACL) en los cuales se implementa los procedimientos de auditoría del software CAT mediante Scripts específicos para cada herramienta.
Fuente: www.caatts.com.ar
Herramienta de Auditoria Continua
La Auditoría Contínua "es un método usado para ejecutar automáticamente controles y evaluación de riesgos con mayor frecuencia, y la tecnología es clave para el éxito de este enfoque." (David Coderre, Global Technology Audit Guide - GTAG 3).
Coninuous Auditing Tool (CAT) se diseñó como una herramienta tecnológica para implementar el enfoque de "Auditoría Contínua".
CAT permite ejecutar más de 50 procedimientos de auditoría predefinidos agrupados en diferentes módulos entre los cuales se tiene: Libro Diario, Inventario, Cuentas por Pagar/Cobrar, Logs de Seguridad.
Con CAT se podrá implementar un enfoque de "Auditoría Contínua" en el Departamento de Auditoría realizando las evaluaciones casi en tiempo real mediante la ejecución automática de procedimientos y con mayor frecuencia entre una Auditoría y Otra.
CAT es una de las tecnologías necesarias para acceder, manipular y analizar los datos contenidos en sistemas de información diferentes.
Lo único que tendrá que hacer con el software es importar los datos sujetos a análisis y todos los procedimientos de auditoría se realizan en forma automática, optimizando el tiempo del auditor para dedicarlo al análisis de los resultados, ya no tendrá que dedicarse a la tediosa tarea de diseñar sus pruebas.
El software garantiza la integridad de los datos importados ya que estos son de solo lectura.
Los resultados se pueden exportar a formatos como MS Excel.
Entre las funciones que aplicará cada procedimiento de auditoría se tienen:
- Análisis de Frecuencia Digital
- Pruebas redondeo de números
- Análisis de Duplicados
- Identificación de Faltantes
- Identificación de Registros Fantasmas
- Detección de Outliers
- Detección de Patrones Sospechosos
- Localizar Inconsistencias en datos
- Análisis de Registros por Usuario
- Identificación de registros con fechas/horas inusuales
- Localizar Registros con fechas aproximadas
- Cálculo de Antiguedad de fechas
- Cálculo de Índices
- Identificar Tendencias de Performance y Eficiencia
- Recálculo de fórmulas
- Cálculo del Tamaño de la Muestra
- Proyección de Resultados muestrales a la Población
- Selección Aleatoria de muestras
Nota1: Se podrá realizar la "customización" del software y añadirle nuevos módulos o nuevos procedimientos de auditoría de acuerdo a los requerimientos del Auditor.
Nota2: Se realiza la implementación del software CAT para los Programas Generalizados de Auditoria (IDEA, ACL) en los cuales se implementa los procedimientos de auditoría del software CAT mediante Scripts específicos para cada herramienta.
Fuente: www.caatts.com.ar
miércoles, 4 de agosto de 2010
Barra de Herramientas Excel 2003-2007
Una de las características de MS Excel 2007 es el cambio de las Barras y Menús de Herramientas por la Cinta de Opciones con la dificultad que todos los cambios generan, en este caso los usuarios de Excel de las versiones 97 a 2003 estábamos acostumbrados a la barra de menús, la barra de herramientas estándar y a la barra de herramientas formato, con el cambio se nos hace difícil encontrar algunos comandos por ejemplo Formulario, el Asistente para Tablas dinámicas y la nueva Cinta de Opciones es difícil de configurarla a pesar de que se pueden agregar botones a la QAT (Quick Access Toolbar).
Para solucionar estos inconvenientes, se pone a disposición el archivo “BarraHerramientas2003-2007.xls”
DESCARGAR ARCHIVO
el cual deberá descargarlo y luego abrirlo con MS Excel 2007, una vez abierto se habilitará la ficha Complementos con 3 barras: la Barra de Menús 2003, la Barra de Herramientas Estándar 2003 y la Barra de Herramientas Formato 2003
Una vez abierto el archivo, y teniendo las barras habilitadas, podrá cerrar Excel y cuando abra la siguiente vez el Excel 2007 tendrá en la ficha Complementos las opciones en las que encontrábamos todo sin ningún problema, así podrá usar el Excel 2007 como si estuviera trabajando con una versión 2003 pero con todas las ventajas que trae el Excel 2007.
Para solucionar estos inconvenientes, se pone a disposición el archivo “BarraHerramientas2003-2007.xls”
DESCARGAR ARCHIVO
el cual deberá descargarlo y luego abrirlo con MS Excel 2007, una vez abierto se habilitará la ficha Complementos con 3 barras: la Barra de Menús 2003, la Barra de Herramientas Estándar 2003 y la Barra de Herramientas Formato 2003
Una vez abierto el archivo, y teniendo las barras habilitadas, podrá cerrar Excel y cuando abra la siguiente vez el Excel 2007 tendrá en la ficha Complementos las opciones en las que encontrábamos todo sin ningún problema, así podrá usar el Excel 2007 como si estuviera trabajando con una versión 2003 pero con todas las ventajas que trae el Excel 2007.
miércoles, 23 de junio de 2010
Fraud Patterns
¿Qué son los patrones de fraude?
Para contestar esta pregunta se recurrió a la definición de la Real Academia Española(RAE):
Patrón: Modelo que sirve de muestra para sacar otra cosa.
Fraude: Acción contraria a la verdad y a la rectitud, que perjudica a la persona contra quien se comete.
Acto tendente a eludir una disposición legal en perjuicio del Estado o de terceros.
Delito que comete el encargado de vigilar la ejecución de contratos públicos, o de algunos privados, confabulándose con la representación de los intereses opuestos.
La definición de patrón que nos da la RAE no nos parece la más adecuada para expresar "patrones de frade", por lo que buscamos otra, encontramos una definición bastante adecuada en "Collins English Dictionary And Thesaurus" que viene en inglés:
Pattern:
- Plan or diagram used as a guide in making something.
- Standard way of moving, acting, etc.
- Model worthy of imitation.
- Representative sample.
Para expresar "Patrones de fraude" se me antoja utilizar una de las 2 primeras definiciones de Collins para "Pattern" y utilizar las definicioes de "Fraude" de la RAE, por tanto podremos expresar:
* Un Patrón de Fraude es un plan o diagrama utilizado como una guía para faltar a la verdad y a la rectitud que perjudica a una tercera persona.
* Un Patrón de Fraude se puede defininir como una forma estandar de moverse, actuar, etc. para cometer un acto tendente a eludir una disposición legal en perjuicio del Estado o de terceros.
Para contestar esta pregunta se recurrió a la definición de la Real Academia Española(RAE):
Patrón: Modelo que sirve de muestra para sacar otra cosa.
Fraude: Acción contraria a la verdad y a la rectitud, que perjudica a la persona contra quien se comete.
Acto tendente a eludir una disposición legal en perjuicio del Estado o de terceros.
Delito que comete el encargado de vigilar la ejecución de contratos públicos, o de algunos privados, confabulándose con la representación de los intereses opuestos.
La definición de patrón que nos da la RAE no nos parece la más adecuada para expresar "patrones de frade", por lo que buscamos otra, encontramos una definición bastante adecuada en "Collins English Dictionary And Thesaurus" que viene en inglés:
Pattern:
- Plan or diagram used as a guide in making something.
- Standard way of moving, acting, etc.
- Model worthy of imitation.
- Representative sample.
Para expresar "Patrones de fraude" se me antoja utilizar una de las 2 primeras definiciones de Collins para "Pattern" y utilizar las definicioes de "Fraude" de la RAE, por tanto podremos expresar:
* Un Patrón de Fraude es un plan o diagrama utilizado como una guía para faltar a la verdad y a la rectitud que perjudica a una tercera persona.
* Un Patrón de Fraude se puede defininir como una forma estandar de moverse, actuar, etc. para cometer un acto tendente a eludir una disposición legal en perjuicio del Estado o de terceros.
viernes, 11 de junio de 2010
JURISPRUDENCIA USO(¿Abuso?) DE email
Los siguientes son fallos de diferentes salas pertenecientes a la "Cámara Nacional de Apelaciones del Trabajo" de la República Federal Argentina. si uno se pone a revisar los distintos fallos encontrará cierto grado de contradicción entre un fallo y otro, pero a la conclusión a la que nos llevan es que en una empresa se deben tener Políticas, Normas y Procedimientos (PNPs) debidamente Formalizados, Implementados(comunicados al personal) y Actualizados. Las PNPs además deberán incluir aspectos relacionados a la Gestión de la Seguridad Informática tomando como buenas prácticas por ejemplo la ISO 27002.
G.D.M.d.R. c/Y.P.F Yacimientos Petrolíferos fiscales S.A. s/ despido
"Corresponde considerar suficientemente cumplidos los requisitos de causalidad, proporcionalidad y oportunidad en la decisión de la ruptura contractual, si se tiene por acreditado que la actora dedicó cierta cantidad de tiempo durante su jornada de labor en trabajos que ninguna relación tenían con sus funciones y utilizaba para ello los medios de comunicación de la compañía (correo electrónico)."
Pereyra, Leandro Ramiro c/Servicios de Almacen Fiscal Zona Franca y mandatos S.A. s/ despido
"La accionada no ha acreditado que haya dictado norma alguna -escrita o verbal- sobre el uso que debían hacer los empleados del correo electrónico de la misma, con el agravante de que procedió a despedir al actor directamente, sin hacerle ninguna advertencia previa sobre el uso particular del correo electrónico."
V.R.I. c/Vestiditos S.A. s/ Despido
"Considerando que si bien la actora al utilizar en forma indebida la cuenta de correo provista por la empresa puede afirmarse que defraudó la confianza en ella depositada ya que dispendiaba tiempo de trabajo en su beneficio, en la medida en que lo acontecido no fue sino un intercambio de correos electrónicos que no trascendió los límites de la empresa ni tomó estado público, el despido dispuesto deviene una medida excesiva e injustificada."
Acosta, Natalia Mariel c/ Disco S.A. s/ despido
"Se hace lugar a la demanda interpuesta, por cuanto la causa de despido invocada -uso indebido del correo electrónico de la empresa- resulta arbitraria e infundada. Ello, en tanto no se precisó ni se acreditó el contenido de las comunicaciones enviadas por la actora, a qué personal injuria o cuál sería la falta de respeto invocada."
Greppi, Laura Karina c/ Telefónica de Argentina S.A. s/ despido
"Resulta un acto discriminatorio el despido de la reclamante que remitiera una misiva por vía de e-mail a sus compañeros de trabajo instándolos a adoptar acciones colectivas pacíficas en solidaridad con los trabajadores de Aerolíneas Argentinas."
Rojas César Osvaldo c/ G. M. F. s/ daños y perjuicios
"Se hace lugar a la demanda de mala praxis impetrada por la actora contra su abogada al iniciar una demanda laboral en forma extemporánea, y en tanto existían grandes posibilidades de que la demanda prosperara se reconocen los daños y perjuicios reclamados. Ello, considerando que el despido fue causado por la utilización desmedida y constante del mail por parte del trabajador, y que la empresa no invocó al contestar demanda la existencia de reglamentación alguna ni de instrucciones dadas a los empleados acerca del uso del correo electrónico."
Delgado Nancy Marcela c/ Catering Argentina S.A. s/ ordinario – despido
"Trabajador que envía a sus compañeros correo electrónico con contenido pornográfico. Improcedencia del despido cuando dicha práctica es habitualmente tolerada por la empleadora."
Prato Carolina c/ Hoyts General Cinema de Argentina S.A. s/ despido
"Es ajustado a derecho el despido por pérdida de confianza de una trabajadora que no guardó reserva y confidencialidad sobre una comunicación recibida en su correo electrónico."
Fuente: www.leyeslaborales.com.ar
OTROS fallos relacionados
López Marcela Edith c/ C.C.R. S..A. Concord Consumer Comunication Research Development S.A. s/ despido
Castello, Marcelo Jose c/Price Waterhouse & Co. S.R.L. s/ despido
Alvarez Armando Jorge c/ CPC S.A.
B. M. c/ SGS Société Genérale de Surveillance S.A.
C. María c/ Universidad Católica de la Plata
Cabral Zarza Cristina c/ Ambrogi Guillermo
Gelonch Giselle Araceli c/ Carda S.A.
Gonzalez Suarez, Silvana Mariela c/ Almagro Construcciones S.A.
Guila Alejandro Daniel c/ E.P.S.A. Electrical Products S.A.
Guilhem Gastón Damián c/Netpro S.A
Kustner Alejandro c/ Daimler Chrysler Leasing Argentina S.A. y Otros
Lenain María Paula c/ Technisys S.A.
Meek Esteban Hugo c/ Total Austral S.A.
Muñoz Yanina Vanesa c/ Klas Juan y otro
Peiro Ricardo Fernando c/ Ceteco Argentina S.A.
Vidal Gustavo Sergio c/ Microstar S.A.
Viloria Myriam Analia c/ Aseguradora de Créditos y Garantías S.A.
Otros documentos
Uso del Correo Eletronico en el Ambito Laboral (pdf)
EL USO LEGÍTIMO DEL CORREO ELECTRÓNICO
El uso del correo electrónico en el trabajo
G.D.M.d.R. c/Y.P.F Yacimientos Petrolíferos fiscales S.A. s/ despido
"Corresponde considerar suficientemente cumplidos los requisitos de causalidad, proporcionalidad y oportunidad en la decisión de la ruptura contractual, si se tiene por acreditado que la actora dedicó cierta cantidad de tiempo durante su jornada de labor en trabajos que ninguna relación tenían con sus funciones y utilizaba para ello los medios de comunicación de la compañía (correo electrónico)."
Pereyra, Leandro Ramiro c/Servicios de Almacen Fiscal Zona Franca y mandatos S.A. s/ despido
"La accionada no ha acreditado que haya dictado norma alguna -escrita o verbal- sobre el uso que debían hacer los empleados del correo electrónico de la misma, con el agravante de que procedió a despedir al actor directamente, sin hacerle ninguna advertencia previa sobre el uso particular del correo electrónico."
V.R.I. c/Vestiditos S.A. s/ Despido
"Considerando que si bien la actora al utilizar en forma indebida la cuenta de correo provista por la empresa puede afirmarse que defraudó la confianza en ella depositada ya que dispendiaba tiempo de trabajo en su beneficio, en la medida en que lo acontecido no fue sino un intercambio de correos electrónicos que no trascendió los límites de la empresa ni tomó estado público, el despido dispuesto deviene una medida excesiva e injustificada."
Acosta, Natalia Mariel c/ Disco S.A. s/ despido
"Se hace lugar a la demanda interpuesta, por cuanto la causa de despido invocada -uso indebido del correo electrónico de la empresa- resulta arbitraria e infundada. Ello, en tanto no se precisó ni se acreditó el contenido de las comunicaciones enviadas por la actora, a qué personal injuria o cuál sería la falta de respeto invocada."
Greppi, Laura Karina c/ Telefónica de Argentina S.A. s/ despido
"Resulta un acto discriminatorio el despido de la reclamante que remitiera una misiva por vía de e-mail a sus compañeros de trabajo instándolos a adoptar acciones colectivas pacíficas en solidaridad con los trabajadores de Aerolíneas Argentinas."
Rojas César Osvaldo c/ G. M. F. s/ daños y perjuicios
"Se hace lugar a la demanda de mala praxis impetrada por la actora contra su abogada al iniciar una demanda laboral en forma extemporánea, y en tanto existían grandes posibilidades de que la demanda prosperara se reconocen los daños y perjuicios reclamados. Ello, considerando que el despido fue causado por la utilización desmedida y constante del mail por parte del trabajador, y que la empresa no invocó al contestar demanda la existencia de reglamentación alguna ni de instrucciones dadas a los empleados acerca del uso del correo electrónico."
Delgado Nancy Marcela c/ Catering Argentina S.A. s/ ordinario – despido
"Trabajador que envía a sus compañeros correo electrónico con contenido pornográfico. Improcedencia del despido cuando dicha práctica es habitualmente tolerada por la empleadora."
Prato Carolina c/ Hoyts General Cinema de Argentina S.A. s/ despido
"Es ajustado a derecho el despido por pérdida de confianza de una trabajadora que no guardó reserva y confidencialidad sobre una comunicación recibida en su correo electrónico."
Fuente: www.leyeslaborales.com.ar
OTROS fallos relacionados
López Marcela Edith c/ C.C.R. S..A. Concord Consumer Comunication Research Development S.A. s/ despido
Castello, Marcelo Jose c/Price Waterhouse & Co. S.R.L. s/ despido
Alvarez Armando Jorge c/ CPC S.A.
B. M. c/ SGS Société Genérale de Surveillance S.A.
C. María c/ Universidad Católica de la Plata
Cabral Zarza Cristina c/ Ambrogi Guillermo
Gelonch Giselle Araceli c/ Carda S.A.
Gonzalez Suarez, Silvana Mariela c/ Almagro Construcciones S.A.
Guila Alejandro Daniel c/ E.P.S.A. Electrical Products S.A.
Guilhem Gastón Damián c/Netpro S.A
Kustner Alejandro c/ Daimler Chrysler Leasing Argentina S.A. y Otros
Lenain María Paula c/ Technisys S.A.
Meek Esteban Hugo c/ Total Austral S.A.
Muñoz Yanina Vanesa c/ Klas Juan y otro
Peiro Ricardo Fernando c/ Ceteco Argentina S.A.
Vidal Gustavo Sergio c/ Microstar S.A.
Viloria Myriam Analia c/ Aseguradora de Créditos y Garantías S.A.
Otros documentos
Uso del Correo Eletronico en el Ambito Laboral (pdf)
EL USO LEGÍTIMO DEL CORREO ELECTRÓNICO
El uso del correo electrónico en el trabajo
lunes, 26 de abril de 2010
Minería de Datos: Técnicas de Detección de Fraudes
Procedimiento: Encontrar datos inusuales
Objetivos:
- Detectar registros con valores anormales
- Detectar ocurrencias múltiples de valores
- Detectar relaciones directas entre registros
Técnicas de minería de datos
- Análisis de datos Extremos (outliers)
Procedimiento: Identificar Relaciones no conocidas
Objetivos:
- Detectar registros con valores de referencia anormales
- Determinar perfiles sospechosos
- Detectar registros repetidos y similares
- Detectar relaciones indirectas entre registros
- Detectar registros con combinaciones de valores anormales
Técnicas de minería de datos:
- Análisis de Clusters y Outlieres
- Análisis de Clusters
- Redes sociales o análisis de relaciones
- Asociaciones o secuencias
Procedimiento: Generalización de Características de Fraude
- Encontrar criterios, como reglas para detectar fraude, basados en datos históricos
- Calificar transacciones con probabilidades de fraude
Técnicas de minería de datos:
- Modelos Predictivos
Fuente:
Fraud Detection in the Financial Services Industry
A SAS White Paper
martes, 20 de abril de 2010
BNB en Oruro sufre millonario desfalco
La sucursal de Oruro del Banco Nacional de Bolivia (BNB) sufrió un desfalco económico de aproximadamente Bs 1.3 millones mediante un desvío informático de cuentas de la entidad bancaria a cuentas particulares del responsable del área informática, anunció el fiscal a cargo del caso, Rafael Vargas.
"En octubre de 2009 el banco denunció este desfalco. El ex encargado de sistemas del banco que actualmente guarda detención preventiva en el penal de San Pedro, ha tenido un delito continuado ya que -manipulando la base de datos del BNB- fue desviando fondos de diferentes cuentas a una propia", dijo. /ANF
Fuente: http://finanzasybanca.blogspot.com
"En octubre de 2009 el banco denunció este desfalco. El ex encargado de sistemas del banco que actualmente guarda detención preventiva en el penal de San Pedro, ha tenido un delito continuado ya que -manipulando la base de datos del BNB- fue desviando fondos de diferentes cuentas a una propia", dijo. /ANF
Fuente: http://finanzasybanca.blogspot.com
lunes, 12 de abril de 2010
EL ROBO DEL MILENIO
Cerca de las 22.30 del sábado, aprovecharon que un repartidor de pizza entregaba un pedido al sereno de la Escuela Superior de Higiene y Seguridad Industrial, que está ubicada en el primer piso del edificio donde se encuentra el banco y tomaron como rehén al hombre, a su hijo y un indigente que duerme en la puerta del banco.
En tan sólo unos segundos, desactivaron las cámaras de seguridad. Además, anularon los sensores de movimiento en los lugares por los que debían pasar y apagaron los detectores anti sísmicos, que registran las vibraciones.
Pero lo que más intriga a los detectives es saber cómo inutilizaron el sistema principal de alarma. Una primer teoría es que podrían haber usado la técnica del espejo: un sistema altamente complejo que consiste en averiguar la frecuencia y el código con el que se comunica el sistema de seguridad para duplicarlo. Luego, lo reemplazan y desconectan el verdadero. De esta manera, cuando el sistema se rechequea, no hay cambio aparente.
"Fue un trabajo muy profesional y planificado", aseguró el jefe de Prensa de la Policía Federal, Néstor Rodríguez. Por eso, los investigadores apuntan a que los delincuentes son muy profesionales.
Por ahora, los únicos rastros de los ladrones son dos: el mensaje que le dejaron a los detectives en una pared, que rezaba "no será el robo del siglo, pero sí del milenio" y un fajo con seis mil dólares que se les habría caído al salir.
Fuente: www.tn.com.ar
En tan sólo unos segundos, desactivaron las cámaras de seguridad. Además, anularon los sensores de movimiento en los lugares por los que debían pasar y apagaron los detectores anti sísmicos, que registran las vibraciones.
Pero lo que más intriga a los detectives es saber cómo inutilizaron el sistema principal de alarma. Una primer teoría es que podrían haber usado la técnica del espejo: un sistema altamente complejo que consiste en averiguar la frecuencia y el código con el que se comunica el sistema de seguridad para duplicarlo. Luego, lo reemplazan y desconectan el verdadero. De esta manera, cuando el sistema se rechequea, no hay cambio aparente.
"Fue un trabajo muy profesional y planificado", aseguró el jefe de Prensa de la Policía Federal, Néstor Rodríguez. Por eso, los investigadores apuntan a que los delincuentes son muy profesionales.
Por ahora, los únicos rastros de los ladrones son dos: el mensaje que le dejaron a los detectives en una pared, que rezaba "no será el robo del siglo, pero sí del milenio" y un fajo con seis mil dólares que se les habría caído al salir.
Fuente: www.tn.com.ar
lunes, 22 de marzo de 2010
Cursos CAATTs 2010
Computer Assisted Techniques and Tools.
Cursos ofertados en Buenos Aires - Argentina para la gestión 2010.
CURSOS POR VIDEO CONFERENCIA:
CURSO POR VIDEO CONFERENCIA: SOFTWARE GENERALIZADO DE AUDITORIA
CURSO POR VIDEO CONFERENCIA: MUESTREO ESTADÍSTICO PARA AUDITORIA Y CONTROL
CURSOS PRESENCIALES:
Curso Software Generalizado de Auditoría
Cursos IDEA
Cursos ACL
Cursos CAATTs con Software Libre
Curso Muestreo para Auditoria
Fuente: www.caatts.com.ar
Cursos ofertados en Buenos Aires - Argentina para la gestión 2010.
CURSOS POR VIDEO CONFERENCIA:
CURSO POR VIDEO CONFERENCIA: SOFTWARE GENERALIZADO DE AUDITORIA
CURSO POR VIDEO CONFERENCIA: MUESTREO ESTADÍSTICO PARA AUDITORIA Y CONTROL
CURSOS PRESENCIALES:
Curso Software Generalizado de Auditoría
Cursos IDEA
Cursos ACL
Cursos CAATTs con Software Libre
Curso Muestreo para Auditoria
Fuente: www.caatts.com.ar
miércoles, 24 de febrero de 2010
MITOS SOBRE MUESTREO ESTADISTICO
El Muestreo Estadístico:
Es obligatorio por las Normas de Auditoria.
Ya no se aplica puesto que con las CAATTs y las nuevas tecnologías se cubre el 100%.
No se aplica puesto que el muestreo no estadístico (juicio del auditor) da mejores resultados.
Es complejo y requiere un especialista.
Está siendo utilizado si selecciono mi muestra en forma aleatoria.
Está siendo utilizado si me baso en el principio 80-20 de Pareto.
Es obligatorio por las Normas de Auditoria.
Ya no se aplica puesto que con las CAATTs y las nuevas tecnologías se cubre el 100%.
No se aplica puesto que el muestreo no estadístico (juicio del auditor) da mejores resultados.
Es complejo y requiere un especialista.
Está siendo utilizado si selecciono mi muestra en forma aleatoria.
Está siendo utilizado si me baso en el principio 80-20 de Pareto.
sábado, 9 de enero de 2010
LOGs DE AUDITORIA
Uno de los controles preventivos más importantes respecto a seguridad que pueden integrarse a un software aplicativo, es la creación de los “Logs de Auditoria”, tanto es así que la ISO 17799 nos da lineamientos generales, los cuales se analizarán en el presente artículo y se propondrán estructuras de tablas que nos podrían ayudar a generar logs mediante el aplicativo (programación) o mediante la base de datos (triggers). Al realizar el análisis indicaremos ¿qué información debemos almacenar en la base de datos para poder hacer revisiones posteriores y aportar tanto con evidencia de auditoria como evidencia para fines legales (forense)?.
Una vez implementados los Logs de Auditoría estaremos en condiciones de poder analizar los datos almacenados, por ejemplo aplicar “Técnicas de Detección de Fraudes” como la Ley de Benford, Análisis estadístico, Análisis de Patrones y Relaciones, Análisis Visual, Data Mining, Procedimientos analíticos, todas estas técnicas optimizadas mediante el uso de CAATTS “Computer Aided Audit Techniques and Tools”.
Lo primero tanto para otorgar acceso a los diferentes aplicativos como al comenzar a analizar los datos con Técnicas de Detección de Fraudes, es determinar quienes serán/son/fueron los responsables de la creación, eliminación o modificación de los diferentes registros de la Base de Datos, para esto debemos considerar los lineamientos del domino 11 de la ISO 17799 referida al Control de Accesos.
Control de Accesos
“Objetivo: Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de de información”
En base a la guía de implementación del punto 11.2.1. Registro de usuarios, sugerimos crear la siguiente tabla:
Con esta tabla se podrán identificar a los diferentes usuarios del aplicativo de tal forma de hacerlos responsables por las acciones que ellos realicen en el aplicativo. Esto deberá ir acompañado de una columna adicional en las tablas donde se considere necesario identificar al responsable, por ejemplo si hablamos de una entidad financiera la tabla que contenga las transacciones de caja, deberá contener por cada registro una columna que indique que usuario realizó la transacción. Adicionalmente es de suma utilidad un campo autonumérico que lo denominamos “identificador” para poder detectar en las revisiones faltantes y repetidos en los registros, este campo identificador lo incluimos en cada una de las siguientes tablas sugeridas.
En base a la guía de implementación de los diferentes puntos de Control de Accesos, sugerimos crear también las siguientes tablas:
En base a esta tabla, se puede realizar el control en la repetición de contraseñas en el último año por ejemplo, o al momento de que los usuarios cambien su contraseña impedirles que reciclen sus contraseñas como mínimo no pueden utilizar las últimas 3 contraseña.
En base a esta tabla se podrá parametrizar la seguridad de accesos, siendo más exigentes o menos exigentes al momento de crear las contraseñas, el tiempo para cambiar contraseñas, así mismo podrían definirse tiempos diferentes de expiración de clave diferenciando entre los usuarios administradores, supervisores y normales, puesto que la ISO 17799 recomienda que los usuarios con mayores privilegios cambien su contraseña con mayor frecuencia.
Una vez que se tienen como mínimo las anteriores tablas, esto se deberá reforzar con una GESTIÓN adecuada de la Seguridad de la Información, por ejemplo respecto de la administración del ciclo de vida de los usuarios, es decir desde que se crean los usuarios hasta se dan de baja (temporal o definitiva), considerando las prácticas recomendadas en el ISO 17799. Por ejemplo contar con una política de control de accesos, procedimiento de altas y bajas de usuarios, Controles en la asignación de privilegios. Para fines legales (forense) es muy importante que los usuarios se les haga entrega de una relación escrita de sus derechos de acceso; la petición a los usuarios para que reconozcan con su firma que comprenden las condiciones de acceso; antes de contratar personal hacerles entrega de una breve explicación de las políticas, normas y procedimientos y su firma expresando conformidad con las consecuencias que podrían generar las violaciones a la política de seguridad; los usuarios deben conocer que por ninguna circunstancia deben tratar de probar una debilidad.
Lo anterior es meramente enunciativo y no limitativo, para mayores detalles es siempre bueno regresar al documento origen que da lugar a estas recomendaciones como es la ISO 17799.
Al estar en la capacidad de identificar de forma inequívoca a los usuarios del aplicativo pasamos a dar recomendaciones de tablas que almacenen información para monitorear y realizar auditorias respecto de las acciones que realizaron los usuarios, para ello nos basaremos en el dominio 10. Gestión de Comunicaciones y Operaciones y punto 10.10 Monitoreo:
Gestión de Comunicaciones y Operaciones : Monitoreo
“Objetivo: Detectar las actividades de procesamiento de información no autorizada.”
“10.10.1. Registro de Auditoria: Los registros de auditoria grabando actividades de los usuarios, excepciones y eventos de la seguridad de información deben ser producidos y guardados para un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso.”
De acuerdo con la guía de implementación deberíamos almacenar ciertos datos, sugerimos crear una tabla que contenga los siguientes datos:
La tabla Registro de Auditoria deberá incluir un campo clave autonumérico, el cual nos permita hacer pruebas de auditoria de detección de faltantes y repetidos. Así también el campo Evento deberá desagregarse (normalizar) y crear tablas específicas para almacenar los tipos de eventos a las cuales acceden los usuarios.
El contenido de la tabla Evento podría ser el siguiente:
Hasta este punto, podría surgir la duda de cómo llenamos los datos en estas tablas, pues bien tenemos por lo menos 2 alternativa. La primera alternativa es llenar las tablas mediante el aplicativo, esto significa mucho esfuerzo en programación, especialmente cuando existen cambios en la Base de Datos. La segunda alternativa es llenar las tablas mediante el diseño de triggers, esta opción tiene la ventaja de ser independiente del aplicativo y las tablas se llenarán ya sea cuando se haga modificaciones directamente mediante sentencias SQL o mediante opciones de menú o comandos del aplicativo. También podría surgir la duda de si integrar las pistas de auditoria en las tablas normales del aplicativo o crear nuevas tablas, la elección de la alternativa dependerá de las características de cada organización, puesto que si se cuentan con las fuentes no habría ningún problema de modificar la Base de Datos e integrar las pistas de auditoria en las tablas normales, pero si no se contara con las fuentes, lo más seguro es que en el contrato tenemos limitaciones de hacer modificaciones a la estructura de la base de datos, entonces lo que nos queda hacer es crear tablas independientes a las del aplicativo o simplemente realizar el requerimiento de creación de pistas de auditoria a nuestro proveedor de software.
Cada motor de base de datos tiene su particularidad al manejar los triggers o audit trails, sin embargo al utilizarlos deberemos considerar las caracterísiticas generales de una pista de auditoria que nos debe responder las siguientes preguntas:
* ¿Qué se hizo?
Creación, Modificación, eliminación de registros
Accedió al aplicativo, ingresó datos, imprimió un reporte, realizó una reversión, etc.
* ¿Quién lo hizo?
El usuario que lo realizó
* ¿Cuándo lo hizo?
La fecha y hora de registro del evento
* ¿Dónde lo hizo?
En qué programa, módulo, menú, submenú, item del submenú
Triggers
Los triggers son objetos que se relacionan a tablas y son ejecutados o mostrados cuando sucede algún evento en sus tablas asociadas. Estos eventos son aquellas sentencias (INSERT, DELETE, UPDATE) que modifican los datos dentro de la tabla a la que está asociado el trigger y pueden ser disparados antes (BEFORE) y/o después (AFTER) de que la fila es modificada.
En SQL Server por ejemplo definirse como un tipo especial de procedimiento almacenado que se ejecuta automáticamente cuando un usuario intenta modificar datos sobre una tabla determinada. Los triggers se almacenan en la base de datos en forma similar a los procedimientos almacenados, sin embargo NUNCA son ejecutados explícitamente por los usuarios, sólo se disparan cuando el gestor detecta una modificación.
Una consideración importante podría ser cifrar (encriptar) el código de los disparadores creados, de este modo evitará que se conozca cómo y donde se está almacenando la información de auditoria, como también luego restringir el acceso a las tablas específicas de logs de auditoría.
Análisis de Riesgos
Otro elemento de mucha importancia es la elección de que eventos o procesos que almacenaremos en el log, podríamos tener la tentación de recolectar “todos” los datos y sus modificaciones que se nos ocurran, luego de un tiempo nos daremos cuenta que la base de datos creció considerablemente y especialmente la tabla “Registro de Auditoria”. Si la tabla de logs crece exageradamente, se incrementará como lógica consecuencia el tiempo de generación/restauración de las copias de respaldo y posiblemente las consultas a la Base de Datos se harán más lentas. Para elegir de qué eventos deseamos realizar el registro de auditoria podemos acudir a una de las diferentes metodologías de “Análisis de Riesgos” y en función al resultado determinar los datos que así lo requieran. Adicionalmente las Pequeñas y Medianas Empresas (PyMES) pueden tener limitaciones en cuanto a capacidad de dispositivos de almacenamiento a pesar de la bajada de precios.
Como respuesta a los factores arriba mencionados, a pesar del Análisis de Riesgo realizado, con el tiempo el log irá creciendo, entonces el Administrador de Base de Datos (ABD) podría optar por vaciar la tabla “Registro de Auditoria” cada semestre o año por ejemplo, esto no esta bien ni mal en sí mismo, tendrá que ir acompañado de las formalidades adecuadas, es decir entre las Políticas, Normas y Procedimientos (PNPs) de Seguridad de la Información deberá realizarse la modificación que establezca y autorice al ADB a realizar el borrado de datos de esta tabla, no sin antes haber realizado una copia de respaldo de la Base de Datos (diaria, semanal, mensual, etc) de tal forma que se garantice que se puedan realizar futuras investigaciones sobre los datos de la tabla “Registro de Auditoria”, de no cumplirse con estas formalidades, el ADB estaría actuando en forma negligente y parecería que quisiera ocultar “algo”.
Revisión de las Pistas de Auditoria
Finalmente, los datos almacenados de suceso/eventos tanto los normales como los que no lo son que podemos denominarlos como errores, irregularidades, ilegales, ilícitos, o fraudes deben ser monitoreados constantemente, justamente para detectarlos a tiempo y también para que este tipo de controles sirvan como un elemento disuasivo y pasen de simples controles detectivos a ser controles preventivos.
La ISO 17799 indica:
“10.10.2. Los procedimientos para el uso del monitoreo de las instalaciones de procesamiento de información deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.”
Las personas encargadas de realizar las tareas de revisión deberían ser los siguientes, cada uno desde su punto de vista particular de acuerdo a sus funciones, formación y experiencia:
* Administrador de la Base de Datos (Interno)
* Oficial de Seguridad de la Información (Interno)
* Auditor (Interno)
* Auditor de Sistemas (Interno/Interno)
* Auditor Financiero (Externo)
* Perito Informático (Externo)
Una vez implementados los Logs de Auditoría estaremos en condiciones de poder analizar los datos almacenados, por ejemplo aplicar “Técnicas de Detección de Fraudes” como la Ley de Benford, Análisis estadístico, Análisis de Patrones y Relaciones, Análisis Visual, Data Mining, Procedimientos analíticos, todas estas técnicas optimizadas mediante el uso de CAATTS “Computer Aided Audit Techniques and Tools”.
Lo primero tanto para otorgar acceso a los diferentes aplicativos como al comenzar a analizar los datos con Técnicas de Detección de Fraudes, es determinar quienes serán/son/fueron los responsables de la creación, eliminación o modificación de los diferentes registros de la Base de Datos, para esto debemos considerar los lineamientos del domino 11 de la ISO 17799 referida al Control de Accesos.
Control de Accesos
“Objetivo: Asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de de información”
En base a la guía de implementación del punto 11.2.1. Registro de usuarios, sugerimos crear la siguiente tabla:
Con esta tabla se podrán identificar a los diferentes usuarios del aplicativo de tal forma de hacerlos responsables por las acciones que ellos realicen en el aplicativo. Esto deberá ir acompañado de una columna adicional en las tablas donde se considere necesario identificar al responsable, por ejemplo si hablamos de una entidad financiera la tabla que contenga las transacciones de caja, deberá contener por cada registro una columna que indique que usuario realizó la transacción. Adicionalmente es de suma utilidad un campo autonumérico que lo denominamos “identificador” para poder detectar en las revisiones faltantes y repetidos en los registros, este campo identificador lo incluimos en cada una de las siguientes tablas sugeridas.
En base a la guía de implementación de los diferentes puntos de Control de Accesos, sugerimos crear también las siguientes tablas:
En base a esta tabla, se puede realizar el control en la repetición de contraseñas en el último año por ejemplo, o al momento de que los usuarios cambien su contraseña impedirles que reciclen sus contraseñas como mínimo no pueden utilizar las últimas 3 contraseña.
En base a esta tabla se podrá parametrizar la seguridad de accesos, siendo más exigentes o menos exigentes al momento de crear las contraseñas, el tiempo para cambiar contraseñas, así mismo podrían definirse tiempos diferentes de expiración de clave diferenciando entre los usuarios administradores, supervisores y normales, puesto que la ISO 17799 recomienda que los usuarios con mayores privilegios cambien su contraseña con mayor frecuencia.
Una vez que se tienen como mínimo las anteriores tablas, esto se deberá reforzar con una GESTIÓN adecuada de la Seguridad de la Información, por ejemplo respecto de la administración del ciclo de vida de los usuarios, es decir desde que se crean los usuarios hasta se dan de baja (temporal o definitiva), considerando las prácticas recomendadas en el ISO 17799. Por ejemplo contar con una política de control de accesos, procedimiento de altas y bajas de usuarios, Controles en la asignación de privilegios. Para fines legales (forense) es muy importante que los usuarios se les haga entrega de una relación escrita de sus derechos de acceso; la petición a los usuarios para que reconozcan con su firma que comprenden las condiciones de acceso; antes de contratar personal hacerles entrega de una breve explicación de las políticas, normas y procedimientos y su firma expresando conformidad con las consecuencias que podrían generar las violaciones a la política de seguridad; los usuarios deben conocer que por ninguna circunstancia deben tratar de probar una debilidad.
Lo anterior es meramente enunciativo y no limitativo, para mayores detalles es siempre bueno regresar al documento origen que da lugar a estas recomendaciones como es la ISO 17799.
Al estar en la capacidad de identificar de forma inequívoca a los usuarios del aplicativo pasamos a dar recomendaciones de tablas que almacenen información para monitorear y realizar auditorias respecto de las acciones que realizaron los usuarios, para ello nos basaremos en el dominio 10. Gestión de Comunicaciones y Operaciones y punto 10.10 Monitoreo:
Gestión de Comunicaciones y Operaciones : Monitoreo
“Objetivo: Detectar las actividades de procesamiento de información no autorizada.”
“10.10.1. Registro de Auditoria: Los registros de auditoria grabando actividades de los usuarios, excepciones y eventos de la seguridad de información deben ser producidos y guardados para un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso.”
De acuerdo con la guía de implementación deberíamos almacenar ciertos datos, sugerimos crear una tabla que contenga los siguientes datos:
La tabla Registro de Auditoria deberá incluir un campo clave autonumérico, el cual nos permita hacer pruebas de auditoria de detección de faltantes y repetidos. Así también el campo Evento deberá desagregarse (normalizar) y crear tablas específicas para almacenar los tipos de eventos a las cuales acceden los usuarios.
El contenido de la tabla Evento podría ser el siguiente:
Hasta este punto, podría surgir la duda de cómo llenamos los datos en estas tablas, pues bien tenemos por lo menos 2 alternativa. La primera alternativa es llenar las tablas mediante el aplicativo, esto significa mucho esfuerzo en programación, especialmente cuando existen cambios en la Base de Datos. La segunda alternativa es llenar las tablas mediante el diseño de triggers, esta opción tiene la ventaja de ser independiente del aplicativo y las tablas se llenarán ya sea cuando se haga modificaciones directamente mediante sentencias SQL o mediante opciones de menú o comandos del aplicativo. También podría surgir la duda de si integrar las pistas de auditoria en las tablas normales del aplicativo o crear nuevas tablas, la elección de la alternativa dependerá de las características de cada organización, puesto que si se cuentan con las fuentes no habría ningún problema de modificar la Base de Datos e integrar las pistas de auditoria en las tablas normales, pero si no se contara con las fuentes, lo más seguro es que en el contrato tenemos limitaciones de hacer modificaciones a la estructura de la base de datos, entonces lo que nos queda hacer es crear tablas independientes a las del aplicativo o simplemente realizar el requerimiento de creación de pistas de auditoria a nuestro proveedor de software.
Cada motor de base de datos tiene su particularidad al manejar los triggers o audit trails, sin embargo al utilizarlos deberemos considerar las caracterísiticas generales de una pista de auditoria que nos debe responder las siguientes preguntas:
* ¿Qué se hizo?
Creación, Modificación, eliminación de registros
Accedió al aplicativo, ingresó datos, imprimió un reporte, realizó una reversión, etc.
* ¿Quién lo hizo?
El usuario que lo realizó
* ¿Cuándo lo hizo?
La fecha y hora de registro del evento
* ¿Dónde lo hizo?
En qué programa, módulo, menú, submenú, item del submenú
Triggers
Los triggers son objetos que se relacionan a tablas y son ejecutados o mostrados cuando sucede algún evento en sus tablas asociadas. Estos eventos son aquellas sentencias (INSERT, DELETE, UPDATE) que modifican los datos dentro de la tabla a la que está asociado el trigger y pueden ser disparados antes (BEFORE) y/o después (AFTER) de que la fila es modificada.
En SQL Server por ejemplo definirse como un tipo especial de procedimiento almacenado que se ejecuta automáticamente cuando un usuario intenta modificar datos sobre una tabla determinada. Los triggers se almacenan en la base de datos en forma similar a los procedimientos almacenados, sin embargo NUNCA son ejecutados explícitamente por los usuarios, sólo se disparan cuando el gestor detecta una modificación.
Una consideración importante podría ser cifrar (encriptar) el código de los disparadores creados, de este modo evitará que se conozca cómo y donde se está almacenando la información de auditoria, como también luego restringir el acceso a las tablas específicas de logs de auditoría.
Análisis de Riesgos
Otro elemento de mucha importancia es la elección de que eventos o procesos que almacenaremos en el log, podríamos tener la tentación de recolectar “todos” los datos y sus modificaciones que se nos ocurran, luego de un tiempo nos daremos cuenta que la base de datos creció considerablemente y especialmente la tabla “Registro de Auditoria”. Si la tabla de logs crece exageradamente, se incrementará como lógica consecuencia el tiempo de generación/restauración de las copias de respaldo y posiblemente las consultas a la Base de Datos se harán más lentas. Para elegir de qué eventos deseamos realizar el registro de auditoria podemos acudir a una de las diferentes metodologías de “Análisis de Riesgos” y en función al resultado determinar los datos que así lo requieran. Adicionalmente las Pequeñas y Medianas Empresas (PyMES) pueden tener limitaciones en cuanto a capacidad de dispositivos de almacenamiento a pesar de la bajada de precios.
Como respuesta a los factores arriba mencionados, a pesar del Análisis de Riesgo realizado, con el tiempo el log irá creciendo, entonces el Administrador de Base de Datos (ABD) podría optar por vaciar la tabla “Registro de Auditoria” cada semestre o año por ejemplo, esto no esta bien ni mal en sí mismo, tendrá que ir acompañado de las formalidades adecuadas, es decir entre las Políticas, Normas y Procedimientos (PNPs) de Seguridad de la Información deberá realizarse la modificación que establezca y autorice al ADB a realizar el borrado de datos de esta tabla, no sin antes haber realizado una copia de respaldo de la Base de Datos (diaria, semanal, mensual, etc) de tal forma que se garantice que se puedan realizar futuras investigaciones sobre los datos de la tabla “Registro de Auditoria”, de no cumplirse con estas formalidades, el ADB estaría actuando en forma negligente y parecería que quisiera ocultar “algo”.
Revisión de las Pistas de Auditoria
Finalmente, los datos almacenados de suceso/eventos tanto los normales como los que no lo son que podemos denominarlos como errores, irregularidades, ilegales, ilícitos, o fraudes deben ser monitoreados constantemente, justamente para detectarlos a tiempo y también para que este tipo de controles sirvan como un elemento disuasivo y pasen de simples controles detectivos a ser controles preventivos.
La ISO 17799 indica:
“10.10.2. Los procedimientos para el uso del monitoreo de las instalaciones de procesamiento de información deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.”
Las personas encargadas de realizar las tareas de revisión deberían ser los siguientes, cada uno desde su punto de vista particular de acuerdo a sus funciones, formación y experiencia:
* Administrador de la Base de Datos (Interno)
* Oficial de Seguridad de la Información (Interno)
* Auditor (Interno)
* Auditor de Sistemas (Interno/Interno)
* Auditor Financiero (Externo)
* Perito Informático (Externo)
TECNICAS DE DETECCIÓN DE FRAUDES III
Análisis de Patrones
Como un complemento a los anteriores artículos TÉCNICAS DE DETECCIÓN DE FRAUDES I y TÉCNICAS DE DETECCIÓN DE FRAUDES II a continuación tenemos un artículo breve sobre el Análisis de Patrones.
Un patrón es una serie de características que se van repitiendo en el tiempo, por ejemplo en un campo autonumérico el patrón será que existen incrementos de 1, por tanto todos los datos de este campo deberán ajustarse a estos incrementos, para verificar esto se hacen pruebas como detección de faltantes o verificación de secuencia.
Un patrón derivado del modelo Entidad Relación será la definición de campos claves que tienen por características que no se repiten por tanto se pueden aplicar pruebas de duplicados/repetidos a estos campos.
Otro patrón del modelo Entidad Relación será la existencia de llaves foráneas que existan en la tabla maestra, lo contrario significaría la existencia de registros huérfanos por ejemplo ventas realizadas por vendedores que no existen o cobro de sueldos por empleados inexistentes.
El análisis de patrones se pueden aplicar no solamente a los datos en general, sino también a datos específicos, por ejemplo a los depósitos/retiros que realiza un cliente en una institución financiera, se podrán definir patrones de montos máximos, mínimos, promedio, días y horas de retiro habituales, y ya hablando de ATM (Cajeros Automáticos) establecer de que ATMs habitualmente realiza los retiros. También podemos establecer patrones para las operaciones que realizan los funcionarios en el aplicativo, por ejemplo un cajero por sus funciones no realizará registro de nuevos clientes, esta actividad la realizará un funcionario de plataforma.
Como un complemento a los anteriores artículos TÉCNICAS DE DETECCIÓN DE FRAUDES I y TÉCNICAS DE DETECCIÓN DE FRAUDES II a continuación tenemos un artículo breve sobre el Análisis de Patrones.
Un patrón es una serie de características que se van repitiendo en el tiempo, por ejemplo en un campo autonumérico el patrón será que existen incrementos de 1, por tanto todos los datos de este campo deberán ajustarse a estos incrementos, para verificar esto se hacen pruebas como detección de faltantes o verificación de secuencia.
Un patrón derivado del modelo Entidad Relación será la definición de campos claves que tienen por características que no se repiten por tanto se pueden aplicar pruebas de duplicados/repetidos a estos campos.
Otro patrón del modelo Entidad Relación será la existencia de llaves foráneas que existan en la tabla maestra, lo contrario significaría la existencia de registros huérfanos por ejemplo ventas realizadas por vendedores que no existen o cobro de sueldos por empleados inexistentes.
El análisis de patrones se pueden aplicar no solamente a los datos en general, sino también a datos específicos, por ejemplo a los depósitos/retiros que realiza un cliente en una institución financiera, se podrán definir patrones de montos máximos, mínimos, promedio, días y horas de retiro habituales, y ya hablando de ATM (Cajeros Automáticos) establecer de que ATMs habitualmente realiza los retiros. También podemos establecer patrones para las operaciones que realizan los funcionarios en el aplicativo, por ejemplo un cajero por sus funciones no realizará registro de nuevos clientes, esta actividad la realizará un funcionario de plataforma.
TÉCNICAS DE DETECCIÓN DE FRAUDES II
TÉCNICAS VISUALES
En el anterior artículo de Técnicas de Detección de Fraudes I se puso énfasis en La Ley de Benford – Análisis de Frecuencia digital, utilizando estas técnicas se pueden lograr resultados impresionantes, sin embargo estos deben ir acompañados (para cuestiones legales y facilitar la comprensión de las conclusiones a personas que no son del área como Abogados, Jueces ciudadanos, Fiscales, etc.) de gráficos que ilustren los resultados, mostrando los elementos relacionados involucrados en un hecho “irregular”, recordando la frase “Un gráfico vale más que mil palabras”.
El análisis visual ayudará al FRAUDITOR a entender los elementos (cosas y personas), los eventos y la interrelación que existen entre ellos, todo esto en forma gráfica.
Una práctica muy recomendable al aplicar este tipo de técnicas es crear una representación gráfica de un hecho normal o regular y luego preparar otra gráfica para el hecho anormal, irregular o fraude.
Las técnicas visuales pueden ser generadas con programas tan conocidos como el Excel, Visio o también pueden realizarse representaciones animadas o reconstrucción de los hechos con programas como Flash u otros programas de diseño animado en 3D.
Si bien el artículo trata sobre Técnicas de detección de fraude, las Técnicas visuales se pueden utilizar antes (Diseño Controles), durante (Auditorias Contínuas) y después de ocurrido el fraude (Auditorias Forenses, Peritajes Contable-Informáticos), de la misma forma que se utilizan los procedimientos analíticos en Auditoria Financiera.
1. ANÁLISIS DE TENDENCIAS
El siguiente ejemplo es la representación de la evolución de las cuentas 183 que son las partidas pendientes de imputación (según el Manual de cuentas SBEF), estas cuentas tienen como característica recibir la imputación de aquellas transacciones a las cuales no se puede identificar plenamente, como máximo deben permanecer con saldo 30 días. En el gráfico podemos visualizar que en el transcurso de 4 años estas cuentas presentaron saldos, por ejemplo la cuenta 183.07 Operaciones por liquidar tiene un comportamiento por demás anormal y las demás cuentas no se quedan atrás.
2. FLUJOGRAMAS
Al diseñar procedimientos operativos se hace uso de los flujogramas, a tiempo de hacer una evaluación de Control Interno relativas a pruebas de cumplimiento, también podemos utilizarlos. En temas de fraude nos pueden servir para graficar la diferencia que existe entre un hecho normal y un fraude. A continuación presentamos la gráfica de la siguiente situación.
Una Institución Financiera cuenta con un Sistema de Información Financiera por módulos que no están completamente integrados a la contabilidad, en el análisis se verán los módulos de CAJAS (CJ), CAJAS DE AHORROS (CA) y CONTABILIDAD (CO), al final de cada día se realiza el posteo de los módulos Cajas y Caja de Ahorro a Contabilidad, este proceso se realiza en el Servidor de cada sucursal (el encargado es el Jefe de Sucursal) y luego se consolida la información en la oficina central.
Proceso Irregurlar – Fraude Cometido por el Jefe de Sucursal
El siguiente gráfico nos muestra un proceso irregular de retiro de dinero por parte del Jefe de Sucursal (retiros de cuentas de familiares y amigos), los cuales antes de contabilizarse eran revertidos y antes de enviar la información de la sucursal a la central. Para evitar el descuadre contable se utilizaban las cuentas Partidas Pendientes de Imputación. En este proceso vale la pena hacer resaltar la concentración de funciones en una sola persona Reversiones, Contabilidad, Administración del Sistema de Información.
3. LINEAS DE TIEMPO
Este tipo de análisis nos permite visualizar en el tiempo varios elementos y al mismo tiempo interrelacionar sucesos, personas, empresas y llegar a formarnos una idea global de la evolución de los hechos y cómo podríamos haber prevenido ciertas situaciones, en el ejemplo tenemos que durante 3 años por lo menos el Jefe de Sucursal no salió de vacaciones.
4. OTRAS REPRESENTACIONES VISUALES
Finalmente podemos utilizar la combinación y adecuación de una gran variedad de representaciones visuales de la realidad que se utilizan en diferentes ámbitos profesionales, desde la Contabilidad, Administración e Informática, los cuales se mencionan a continuación:
Gráficos para representar datos numéricos
- Columnas (apilado, 3D)
- Barras (apilada)
- Lineas / Tendencias
- Circular (3D)
- XY (Dispersión)
- Areas
- Anillos
- Radial
- Superficie
- Burbujas
- Cotizaciones
Gráficos para administración de proyectos
- Diagramas PERT
- Diagramas Gantt
- Linea de tiempo
Gráficos estadísticos
- Gráficos basados en el análisis de regresión (lineal y logarítmica)
- Gráficos basados en el análisis de correlación
- Gráficos basados en el análisis de dispersión
- Gráficos de agrupamiento (claustering)
Gráficos para el modelado de datos:
- Diagrama de contexto
- Diagrama de flujo de datos
- Diagrama Entidad – Relación
- Diagrama de transición de estados
- Diagrama de estructuras
- Diagramas de flujo
o Diagramas de Nassi-Shneiderman
o Diagramas de Ferstl
o Diagramas de Hamilton-Zeldin
o Diagramas de análisis de problemas
o Diagramas HIPO
o Diagramas IPO
Gráficos para el modelado de procesos y datos: UML
- Diagramas de casos de usos
- Diagramas de estados
- Diagramas de secuencias
- Diagramas de colaboraciones
- Diagramas de actividades
- Diagramas de componentes
- Diagramas de distribución
Diagramas de flujo en Visio
- Diagramas de auditoria
- Diagramas de Causa – Efecto
- Diagramas de funciones (Segregación de Funciones)
En el anterior artículo de Técnicas de Detección de Fraudes I se puso énfasis en La Ley de Benford – Análisis de Frecuencia digital, utilizando estas técnicas se pueden lograr resultados impresionantes, sin embargo estos deben ir acompañados (para cuestiones legales y facilitar la comprensión de las conclusiones a personas que no son del área como Abogados, Jueces ciudadanos, Fiscales, etc.) de gráficos que ilustren los resultados, mostrando los elementos relacionados involucrados en un hecho “irregular”, recordando la frase “Un gráfico vale más que mil palabras”.
El análisis visual ayudará al FRAUDITOR a entender los elementos (cosas y personas), los eventos y la interrelación que existen entre ellos, todo esto en forma gráfica.
Una práctica muy recomendable al aplicar este tipo de técnicas es crear una representación gráfica de un hecho normal o regular y luego preparar otra gráfica para el hecho anormal, irregular o fraude.
Las técnicas visuales pueden ser generadas con programas tan conocidos como el Excel, Visio o también pueden realizarse representaciones animadas o reconstrucción de los hechos con programas como Flash u otros programas de diseño animado en 3D.
Si bien el artículo trata sobre Técnicas de detección de fraude, las Técnicas visuales se pueden utilizar antes (Diseño Controles), durante (Auditorias Contínuas) y después de ocurrido el fraude (Auditorias Forenses, Peritajes Contable-Informáticos), de la misma forma que se utilizan los procedimientos analíticos en Auditoria Financiera.
1. ANÁLISIS DE TENDENCIAS
El siguiente ejemplo es la representación de la evolución de las cuentas 183 que son las partidas pendientes de imputación (según el Manual de cuentas SBEF), estas cuentas tienen como característica recibir la imputación de aquellas transacciones a las cuales no se puede identificar plenamente, como máximo deben permanecer con saldo 30 días. En el gráfico podemos visualizar que en el transcurso de 4 años estas cuentas presentaron saldos, por ejemplo la cuenta 183.07 Operaciones por liquidar tiene un comportamiento por demás anormal y las demás cuentas no se quedan atrás.
2. FLUJOGRAMAS
Al diseñar procedimientos operativos se hace uso de los flujogramas, a tiempo de hacer una evaluación de Control Interno relativas a pruebas de cumplimiento, también podemos utilizarlos. En temas de fraude nos pueden servir para graficar la diferencia que existe entre un hecho normal y un fraude. A continuación presentamos la gráfica de la siguiente situación.
Una Institución Financiera cuenta con un Sistema de Información Financiera por módulos que no están completamente integrados a la contabilidad, en el análisis se verán los módulos de CAJAS (CJ), CAJAS DE AHORROS (CA) y CONTABILIDAD (CO), al final de cada día se realiza el posteo de los módulos Cajas y Caja de Ahorro a Contabilidad, este proceso se realiza en el Servidor de cada sucursal (el encargado es el Jefe de Sucursal) y luego se consolida la información en la oficina central.
Proceso Irregurlar – Fraude Cometido por el Jefe de Sucursal
El siguiente gráfico nos muestra un proceso irregular de retiro de dinero por parte del Jefe de Sucursal (retiros de cuentas de familiares y amigos), los cuales antes de contabilizarse eran revertidos y antes de enviar la información de la sucursal a la central. Para evitar el descuadre contable se utilizaban las cuentas Partidas Pendientes de Imputación. En este proceso vale la pena hacer resaltar la concentración de funciones en una sola persona Reversiones, Contabilidad, Administración del Sistema de Información.
3. LINEAS DE TIEMPO
Este tipo de análisis nos permite visualizar en el tiempo varios elementos y al mismo tiempo interrelacionar sucesos, personas, empresas y llegar a formarnos una idea global de la evolución de los hechos y cómo podríamos haber prevenido ciertas situaciones, en el ejemplo tenemos que durante 3 años por lo menos el Jefe de Sucursal no salió de vacaciones.
4. OTRAS REPRESENTACIONES VISUALES
Finalmente podemos utilizar la combinación y adecuación de una gran variedad de representaciones visuales de la realidad que se utilizan en diferentes ámbitos profesionales, desde la Contabilidad, Administración e Informática, los cuales se mencionan a continuación:
Gráficos para representar datos numéricos
- Columnas (apilado, 3D)
- Barras (apilada)
- Lineas / Tendencias
- Circular (3D)
- XY (Dispersión)
- Areas
- Anillos
- Radial
- Superficie
- Burbujas
- Cotizaciones
Gráficos para administración de proyectos
- Diagramas PERT
- Diagramas Gantt
- Linea de tiempo
Gráficos estadísticos
- Gráficos basados en el análisis de regresión (lineal y logarítmica)
- Gráficos basados en el análisis de correlación
- Gráficos basados en el análisis de dispersión
- Gráficos de agrupamiento (claustering)
Gráficos para el modelado de datos:
- Diagrama de contexto
- Diagrama de flujo de datos
- Diagrama Entidad – Relación
- Diagrama de transición de estados
- Diagrama de estructuras
- Diagramas de flujo
o Diagramas de Nassi-Shneiderman
o Diagramas de Ferstl
o Diagramas de Hamilton-Zeldin
o Diagramas de análisis de problemas
o Diagramas HIPO
o Diagramas IPO
Gráficos para el modelado de procesos y datos: UML
- Diagramas de casos de usos
- Diagramas de estados
- Diagramas de secuencias
- Diagramas de colaboraciones
- Diagramas de actividades
- Diagramas de componentes
- Diagramas de distribución
Diagramas de flujo en Visio
- Diagramas de auditoria
- Diagramas de Causa – Efecto
- Diagramas de funciones (Segregación de Funciones)
TECNICAS DE DETECCIÓN DE FRAUDES I
ANALISIS DE FRECUENCIA DIGITAL Y LA LEY DE BENFORD
Artículo publicado en la revista NOBOSTI
Las técnicas de detección de fraudes utilizadas por el FRAUDITOR (Auditor Investigador de Fraudes) son variadas y muchas de ellas no tan nuevas, algunas son bastante simples y otras algo complicadas, la complicación de estas técnicas se sobrelleva con la gran cantidad de programas que tenemos disponibles en el mercado desde una hoja de cálculo (Microsoft Excel), programas de base de datos (Access, MySQL, Informix, SQL Server, Oracle), programas estadísticos (SPSS, Minitab), programas de mineria de datos (Clementina, Darwin, Enterprise Miner, Intelligent Miner), programas de extracción, análisis de datos y detección - prevención de fraudes (IDEA, ACL, Gestor AUDISIS, DATAS), otros ( TOAD, Sistema de Auditoria Seguridad y Control - SAS).
Dentro de estas técnicas podemos mencionar las siguientes:
* Análisis Estadístico: Análisis de regresión, análisis de correlación, análisis de dispersión, La Ley de Benford – Análisis de Frecuencia digital.
* Patrones: Secuencias, investigación de faltantes y duplicados, análisis histórico de tendencias, análisis de ratios.
* Técnicas de análisis visual: Análisis de relaciones, análisis de líneas de tiempo, gráficos de agrupamiento (clustering)
* Procedimientos analíticos de auditoria: Análisis vertical y horizontal de las cuentas de balance y de resultados; Análisis de indices/ratios historicos.
Los resultados de estas técnicas no necesariamente indican que existe fraude en un grupo de datos analizados, simplemente nos dan indicaciones donde poner mayor atención en el análisis, los resultados los tendremos que valorar de acuerdo a las particularidades de nuestro negocio, por ejemplo puede ser que existan transacciones en Depósitos a Plazo Fijo que las realiza el “Administrador de Base de Datos” (ABD), entonces una vez detectadas estas transacciones de carácter operativo debemos investigarlas mas a fondo, es decir determinar que tipo de operaciones son, en que fechas se realizan y creo que lo mas importante si existe autorización formal para que el ABD las realice y la revisión de la normativa interna relacionada.
En el presente articulo nos centraremos en el Análisis de Frecuencia Digital y La Ley de Benford.
Para los ejemplos que se plantearan, nos referiremos a la siguiente estructura de datos de una tabla que almacena los transacciones en ventanilla (caja) de una entidad financiera del segundo semestre de la gestión 2007:
ANÁLISIS DE FRECUENCIA DIGITAL
Consiste en agrupar los datos en función a una variable para luego realizar operaciones de totalización como: contar, sumar, promediar, encontrar el máximo o mínimo, calcular la desviación estándar o la varianza.
Ejemplo: La variable elegida será “Usuario” y la operación de totalización será un simple conteo, es decir iremos contando cuantas transacciones realizo cada usuario en el segundo semestre del 2007, obtenemos los siguientes resultados:
De este resultado podemos comenzar ya una investigación tomando en cuenta los valores extremos el mínimo y el máximo, o solamente comparar los usuarios que tenemos en el resultado con la planilla de sueldos del segundo semestre 2007. Esta misma información la podemos hacer mes por mes e ir acumulando un histórico por usuario para determinar tendencias de cantidad de transacciones por cada usuario y realizar su grafico respectivo:
Del anterior grafico podemos determinar la evolución en cantidad de transacciones por cada usuario y verificamos que los usuarios admin, dvargas y hrosales no son usuarios habituales en caja en ninguno de los meses analizados respecto de los usuarios rrivero, mmarco, froca y lvaca; otra revisión adicional podría consistir en revisar los perfiles de estos 3 usuarios y poner especial énfasis en la autorización para realizar las 2 transacciones que realiza el usuario genérico “admin” y que funcionario lo utiliza, asimismo se deberá realizar una revisión de las Políticas, Normas y Procedimientos (PNPs) sobre el ciclo de vida de los identificadores de usuarios.
De acuerdo al criterio del FRAUDITOR, este podrá combinar los otros operadores de totalización, analizarlos y concluir sobre la base de sus resultados. Asimismo como en este caso no solamente elegimos una técnica y nos centramos únicamente en la elegida, sino que mas bien la integramos con otras técnicas, tal es el caso del Análisis de Frecuencia Digital que se puede combinar con las técnicas de Análisis de Correlacion, Análisis de dispersión y Generar información histórica para realizar Análisis de Tendencias, Análisis de Ratios, Análisis de Regresión.
Como mencionamos líneas arriba, este tipo de técnicas las podemos realizar con diversas herramientas, entre ellas podemos citar:
En Excel a través de las Tablas y Gráficos Dinámicos con las limitaciones que tiene esta herramienta de 65.536 registros hasta la versión 2003 y 1.048.576 registros en la versión Vista.
En Access mediante las Consultas de Tablas de Referencias Cruzadas.
En IDEA y ACL se puede calcular a través de opciones de Totalización de campos.
LEY DE BENFORD
De esta técnica podemos comentar que no es nada nueva, puesto que tiene su origen el año 1881 enunciada por Simon Newcomb y posteriormente el año 1930 por Frank Benford quien era un físico de la General Electric. En 1994 Mark Nigrini utiliza esta Ley para detectar posibles fraudes e irregularidades en datos fiscales y para detectar contabilidades contaminadas.
La Ley de Benford en términos sencillos dice que aquellos números de la vida real que empiezan por el dígito 1 ocurren con mucha más frecuencia que el resto de números. Esta Ley plantea que la ocurrencia de los dígitos en una serie de datos pueden predecirse. Ningrini define la Ley de Benford como aquella que predice la frecuencia esperada de aparición de los dígitos en series de numeros. Otra forma de enunciarla es: los primeros dígitos de los números no se distribuyen de manera equiprobable. Los resultados que arroja esta Ley respecto a la probabilidad de ocurrencia de los dígitos es la siguiente:
Como toda Ley, para que sea aplicable deben cumplirse ciertas condiciones:
* El conjunto de datos debe estar formado por magnitudes medibles de un mismo fenómeno, es decir las transacciones de caja de una entidad, importes de gastos familiares, los votos obtenidos por un candidato en las diferentes mesas de sufragio.
* No debe existir una limitación de máximo y mínimo, es decir debe ser una variable cuantitativa sin restricciones. En el caso de “Moneda”, los resultados de nuestro análisis no tendrían sentido, puesto que este campo solo puede asumir dos valores 1 o 2.
* Los datos no deben ser números asignados por ejemplo los números de teléfono de Santa Cruz comienzan siempre con 3, los de Cochabamba con 4, estos conjuntos de datos no se ajustan a la Ley de Benford.
* Debe haber un mayor numero de valores pequeños que grandes, es decir el cumplimiento de “La Ley de Pareto” que dice que generalmente el 80% del importe total se encuentra en el 20%
Recomendaciones:
* El tamaño del conjunto de datos debe ser mayor a 1.000 elementos para establecer conclusiones de auditoria para la prueba del primer digito y para la prueba de los 3 primeros dígitos se recomienda al menos 10.000 datos.
* El valor máximo entre el mínimo (diferente de cero) debe ser por lo menos 100.
* Preferiblemente analizar datos generados en periodos largos de tiempo (una o varias gestiones fiscales por ejemplo) que sobre cortos (un dia por ejemplo).
* Lo ideal es trabajar con datos que registren 4 o mas dígitos, aunque con 3 dígitos se pueden obtener excelentes resultados.
* La Ley de Benford es de escala invariante, se puede utilizar esta Ley independientemente de su escala de medida, es decir si trabajamos en metros o millas tendríamos el mismo resultado, en términos financieros es independiente de la moneda en la cual expresemos los importes.
* Utiliza programas que incluyen esta Ley dentro de sus opciones como son el IDEA, ACL, DATAS, Auriga, aunque si uno no dispone de estas, con una planilla Excel podría ser suficiente con las limitaciones inherentes del Excel.
Ejemplo: La variable analizada será “Importe” considerando que todas las transacciones están en una misma moneda. Los resultados del ejemplo tomado versus la Ley de Benford se expresan en la siguiente tabla y luego se realiza su grafica correspondiente:
Para el primer digito de un conjunto de datos se toma la probabilidad de ocurrencia del primer digito según La Ley de Benford, de tal manera que si esta cantidad esperada y la real muestran una diferencia significativa es un indicador de que los datos son posiblemente inventados, errados o fraudulentos. Con el ejemplo de transacciones de caja, para el primer digito significa que existirán mas transacciones que comiencen con el numero 1 que transacciones que comiencen con el numero 9, realizando los cálculos tenemos que 15.430 transacciones tienen como primer digito 1 y solamente 1.230 transacciones tienen como primer digito 9.
De los resultados anteriores tenemos para el primer digito 5 una probabilidad de ocurrencia según la Ley de Benford de 7.92 % y tenemos que con los datos actuales tenemos un 11.76 %, esta diferencia es una alerta de un posible fraude o irregularidad en las operaciones que comienzan con el digito 5 en su importe. Las diferencias que indican posibles fraudes pueden ser diferencias en más o en menos respecto la Ley de Benford. Para confirmar o afinar los resultados podemos realizar análisis adicionales como son la prueba del segundo digito, tercer digito, primeros 2 dígitos, primeros 3 digitos y la prueba de los 2 ultimos digitos.
La Ley de Benford y los numeros aleatorios
Si aplicamos La Ley de Benford a una serie de números generados aleatoriamente, la Ley no se cumple, puesto que todos los dígitos tendrán la misma probabilidad de ocurrencia (equiprobables).
Ejemplo: Se generaron datos aleatorios (la misma cantidad que los analizados en el ejemplo anterior 47.634) con Excel teniendo como resultado el siguiente grafico cuyos primeros dígitos tienen una probabilidad de ocurrencia de entre 10% y 11%, verificando que la Ley no se cumple para estos datos, algunos llaman a esto el grado de Benforicidad, es decir cuan aplicable es La Ley de Benford a un conjunto de datos.
Aplicaciones de esta Ley se hicieron en procesos eleccionarios: Elecciones de Ecuador (Noboa, Correa, Roldos, Viteri, Rosero, Villacis), Elecciones de Presidente de los EEUU (2004), Referéndum de Venezuela (2004), Presidente de México (Julio 2006)
Finalmente concluir que las herramientas son solo eso, herramientas y no reemplazan la experiencia y criterio del FRAUDITOR. Parafraseando el dicho “El genio es 10% inspiración y 90% de trabajo” decimos “El Frauditor utiliza 10 % de técnicas y herramientas y 90 % de criterio profesional”. Para las investigaciones forenses (informática y auditoria) no solamente se deben considerar los resultados de las técnicas y herramientas, también y quizás lo mas importante es considerar la validez de los resultados obtenidos y su debido respaldo para fines legales, considerar por ejemplo garantizar la cadena de custodia de la evidencia, diferenciar la evidencia persuasiva (auditoria) de la evidencia conclusiva (legal).
Artículo publicado en la revista NOBOSTI
Las técnicas de detección de fraudes utilizadas por el FRAUDITOR (Auditor Investigador de Fraudes) son variadas y muchas de ellas no tan nuevas, algunas son bastante simples y otras algo complicadas, la complicación de estas técnicas se sobrelleva con la gran cantidad de programas que tenemos disponibles en el mercado desde una hoja de cálculo (Microsoft Excel), programas de base de datos (Access, MySQL, Informix, SQL Server, Oracle), programas estadísticos (SPSS, Minitab), programas de mineria de datos (Clementina, Darwin, Enterprise Miner, Intelligent Miner), programas de extracción, análisis de datos y detección - prevención de fraudes (IDEA, ACL, Gestor AUDISIS, DATAS), otros ( TOAD, Sistema de Auditoria Seguridad y Control - SAS).
Dentro de estas técnicas podemos mencionar las siguientes:
* Análisis Estadístico: Análisis de regresión, análisis de correlación, análisis de dispersión, La Ley de Benford – Análisis de Frecuencia digital.
* Patrones: Secuencias, investigación de faltantes y duplicados, análisis histórico de tendencias, análisis de ratios.
* Técnicas de análisis visual: Análisis de relaciones, análisis de líneas de tiempo, gráficos de agrupamiento (clustering)
* Procedimientos analíticos de auditoria: Análisis vertical y horizontal de las cuentas de balance y de resultados; Análisis de indices/ratios historicos.
Los resultados de estas técnicas no necesariamente indican que existe fraude en un grupo de datos analizados, simplemente nos dan indicaciones donde poner mayor atención en el análisis, los resultados los tendremos que valorar de acuerdo a las particularidades de nuestro negocio, por ejemplo puede ser que existan transacciones en Depósitos a Plazo Fijo que las realiza el “Administrador de Base de Datos” (ABD), entonces una vez detectadas estas transacciones de carácter operativo debemos investigarlas mas a fondo, es decir determinar que tipo de operaciones son, en que fechas se realizan y creo que lo mas importante si existe autorización formal para que el ABD las realice y la revisión de la normativa interna relacionada.
En el presente articulo nos centraremos en el Análisis de Frecuencia Digital y La Ley de Benford.
Para los ejemplos que se plantearan, nos referiremos a la siguiente estructura de datos de una tabla que almacena los transacciones en ventanilla (caja) de una entidad financiera del segundo semestre de la gestión 2007:
ANÁLISIS DE FRECUENCIA DIGITAL
Consiste en agrupar los datos en función a una variable para luego realizar operaciones de totalización como: contar, sumar, promediar, encontrar el máximo o mínimo, calcular la desviación estándar o la varianza.
Ejemplo: La variable elegida será “Usuario” y la operación de totalización será un simple conteo, es decir iremos contando cuantas transacciones realizo cada usuario en el segundo semestre del 2007, obtenemos los siguientes resultados:
De este resultado podemos comenzar ya una investigación tomando en cuenta los valores extremos el mínimo y el máximo, o solamente comparar los usuarios que tenemos en el resultado con la planilla de sueldos del segundo semestre 2007. Esta misma información la podemos hacer mes por mes e ir acumulando un histórico por usuario para determinar tendencias de cantidad de transacciones por cada usuario y realizar su grafico respectivo:
Del anterior grafico podemos determinar la evolución en cantidad de transacciones por cada usuario y verificamos que los usuarios admin, dvargas y hrosales no son usuarios habituales en caja en ninguno de los meses analizados respecto de los usuarios rrivero, mmarco, froca y lvaca; otra revisión adicional podría consistir en revisar los perfiles de estos 3 usuarios y poner especial énfasis en la autorización para realizar las 2 transacciones que realiza el usuario genérico “admin” y que funcionario lo utiliza, asimismo se deberá realizar una revisión de las Políticas, Normas y Procedimientos (PNPs) sobre el ciclo de vida de los identificadores de usuarios.
De acuerdo al criterio del FRAUDITOR, este podrá combinar los otros operadores de totalización, analizarlos y concluir sobre la base de sus resultados. Asimismo como en este caso no solamente elegimos una técnica y nos centramos únicamente en la elegida, sino que mas bien la integramos con otras técnicas, tal es el caso del Análisis de Frecuencia Digital que se puede combinar con las técnicas de Análisis de Correlacion, Análisis de dispersión y Generar información histórica para realizar Análisis de Tendencias, Análisis de Ratios, Análisis de Regresión.
Como mencionamos líneas arriba, este tipo de técnicas las podemos realizar con diversas herramientas, entre ellas podemos citar:
En Excel a través de las Tablas y Gráficos Dinámicos con las limitaciones que tiene esta herramienta de 65.536 registros hasta la versión 2003 y 1.048.576 registros en la versión Vista.
En Access mediante las Consultas de Tablas de Referencias Cruzadas.
En IDEA y ACL se puede calcular a través de opciones de Totalización de campos.
LEY DE BENFORD
De esta técnica podemos comentar que no es nada nueva, puesto que tiene su origen el año 1881 enunciada por Simon Newcomb y posteriormente el año 1930 por Frank Benford quien era un físico de la General Electric. En 1994 Mark Nigrini utiliza esta Ley para detectar posibles fraudes e irregularidades en datos fiscales y para detectar contabilidades contaminadas.
La Ley de Benford en términos sencillos dice que aquellos números de la vida real que empiezan por el dígito 1 ocurren con mucha más frecuencia que el resto de números. Esta Ley plantea que la ocurrencia de los dígitos en una serie de datos pueden predecirse. Ningrini define la Ley de Benford como aquella que predice la frecuencia esperada de aparición de los dígitos en series de numeros. Otra forma de enunciarla es: los primeros dígitos de los números no se distribuyen de manera equiprobable. Los resultados que arroja esta Ley respecto a la probabilidad de ocurrencia de los dígitos es la siguiente:
Como toda Ley, para que sea aplicable deben cumplirse ciertas condiciones:
* El conjunto de datos debe estar formado por magnitudes medibles de un mismo fenómeno, es decir las transacciones de caja de una entidad, importes de gastos familiares, los votos obtenidos por un candidato en las diferentes mesas de sufragio.
* No debe existir una limitación de máximo y mínimo, es decir debe ser una variable cuantitativa sin restricciones. En el caso de “Moneda”, los resultados de nuestro análisis no tendrían sentido, puesto que este campo solo puede asumir dos valores 1 o 2.
* Los datos no deben ser números asignados por ejemplo los números de teléfono de Santa Cruz comienzan siempre con 3, los de Cochabamba con 4, estos conjuntos de datos no se ajustan a la Ley de Benford.
* Debe haber un mayor numero de valores pequeños que grandes, es decir el cumplimiento de “La Ley de Pareto” que dice que generalmente el 80% del importe total se encuentra en el 20%
Recomendaciones:
* El tamaño del conjunto de datos debe ser mayor a 1.000 elementos para establecer conclusiones de auditoria para la prueba del primer digito y para la prueba de los 3 primeros dígitos se recomienda al menos 10.000 datos.
* El valor máximo entre el mínimo (diferente de cero) debe ser por lo menos 100.
* Preferiblemente analizar datos generados en periodos largos de tiempo (una o varias gestiones fiscales por ejemplo) que sobre cortos (un dia por ejemplo).
* Lo ideal es trabajar con datos que registren 4 o mas dígitos, aunque con 3 dígitos se pueden obtener excelentes resultados.
* La Ley de Benford es de escala invariante, se puede utilizar esta Ley independientemente de su escala de medida, es decir si trabajamos en metros o millas tendríamos el mismo resultado, en términos financieros es independiente de la moneda en la cual expresemos los importes.
* Utiliza programas que incluyen esta Ley dentro de sus opciones como son el IDEA, ACL, DATAS, Auriga, aunque si uno no dispone de estas, con una planilla Excel podría ser suficiente con las limitaciones inherentes del Excel.
Ejemplo: La variable analizada será “Importe” considerando que todas las transacciones están en una misma moneda. Los resultados del ejemplo tomado versus la Ley de Benford se expresan en la siguiente tabla y luego se realiza su grafica correspondiente:
Para el primer digito de un conjunto de datos se toma la probabilidad de ocurrencia del primer digito según La Ley de Benford, de tal manera que si esta cantidad esperada y la real muestran una diferencia significativa es un indicador de que los datos son posiblemente inventados, errados o fraudulentos. Con el ejemplo de transacciones de caja, para el primer digito significa que existirán mas transacciones que comiencen con el numero 1 que transacciones que comiencen con el numero 9, realizando los cálculos tenemos que 15.430 transacciones tienen como primer digito 1 y solamente 1.230 transacciones tienen como primer digito 9.
De los resultados anteriores tenemos para el primer digito 5 una probabilidad de ocurrencia según la Ley de Benford de 7.92 % y tenemos que con los datos actuales tenemos un 11.76 %, esta diferencia es una alerta de un posible fraude o irregularidad en las operaciones que comienzan con el digito 5 en su importe. Las diferencias que indican posibles fraudes pueden ser diferencias en más o en menos respecto la Ley de Benford. Para confirmar o afinar los resultados podemos realizar análisis adicionales como son la prueba del segundo digito, tercer digito, primeros 2 dígitos, primeros 3 digitos y la prueba de los 2 ultimos digitos.
La Ley de Benford y los numeros aleatorios
Si aplicamos La Ley de Benford a una serie de números generados aleatoriamente, la Ley no se cumple, puesto que todos los dígitos tendrán la misma probabilidad de ocurrencia (equiprobables).
Ejemplo: Se generaron datos aleatorios (la misma cantidad que los analizados en el ejemplo anterior 47.634) con Excel teniendo como resultado el siguiente grafico cuyos primeros dígitos tienen una probabilidad de ocurrencia de entre 10% y 11%, verificando que la Ley no se cumple para estos datos, algunos llaman a esto el grado de Benforicidad, es decir cuan aplicable es La Ley de Benford a un conjunto de datos.
Aplicaciones de esta Ley se hicieron en procesos eleccionarios: Elecciones de Ecuador (Noboa, Correa, Roldos, Viteri, Rosero, Villacis), Elecciones de Presidente de los EEUU (2004), Referéndum de Venezuela (2004), Presidente de México (Julio 2006)
Finalmente concluir que las herramientas son solo eso, herramientas y no reemplazan la experiencia y criterio del FRAUDITOR. Parafraseando el dicho “El genio es 10% inspiración y 90% de trabajo” decimos “El Frauditor utiliza 10 % de técnicas y herramientas y 90 % de criterio profesional”. Para las investigaciones forenses (informática y auditoria) no solamente se deben considerar los resultados de las técnicas y herramientas, también y quizás lo mas importante es considerar la validez de los resultados obtenidos y su debido respaldo para fines legales, considerar por ejemplo garantizar la cadena de custodia de la evidencia, diferenciar la evidencia persuasiva (auditoria) de la evidencia conclusiva (legal).
Suscribirse a:
Entradas (Atom)
