Fraude o Error En el mundo de la auditoría se utiliza mucho el término “fraude o error” para referirse al mal uso que puede hacer un usuario autorizado de los recursos de la información de una organización. El término “fraude o error” evita así prejuzgar comportamientos sospechosos por parte de los propios usuarios de la institución. La seguridad hoy en día se basa, principalmente, en impedir el acceso a recursos de una entidad por parte de un atacante externo. Colocamos cortafuegos, sistemas de prevención de intrusiones, gateways de contenidos, con el ánimo de controlar y prohibir el uso de la información de la institución. Sin embargo, más del 60% de los incidentes de seguridad tienen su origen en un empleado o usuario interno de la organización. El CERT (Carnegie Mellon University`s Computer Emergency Response Team) ha creado un grupo especializado en amenazas internas para poder generar conocimiento, buenas prácticas y conciencia acerca de esta problemática real. La organización convencional es una institución cerrada donde un sólo número controlado de usuarios, fundamentalmente empleados propios, interaccionan con los sistemas de información. Actualmente este esquema está cambiando y son cada vez más los usuarios externos que tienen un acceso legítimo a los sistemas informáticos propios de las organizaciones, por ejemplo, clientes, ciudadanos, socios, proveedores. Cada institución se relaciona con un creciente ecosistema de stakeholders (partes interesadas) en el desarrollo organizacional. Customer Relationship Management CRM (Gestión de la Relación con el Cliente) aboga por la relación exhaustiva con el cliente permitiéndole acceder de forma directa a la información que la entidad tiene de él. Si implementan Supply Chain Management SCM (Gestión de la Cadena de Suministro) las instituciones también deberían integrar los sistemas informáticos, puede que logísticos, entre la organización y el proveedor. Por tanto, las nuevas técnicas de gestión usadas ampliamente conllevan hoy en día a una mayor cantidad de actores que interaccionan con la información de la institución. En el caso de las Municipalidades hoy nos encontramos con ciudadanos que interactúan con la entidad edilicia a través de los sitios web, solicitando servicios, etc. Y en este momento de cambio del modelo de gestión, el cual arrastra a su vez los sistemas de información de las organizaciones, la legislación exige cada vez mayores controles sobre el acceso y cuidado de la información que se maneja en cada entidad a través de reglamentos tales como la ley Nº 19.628 sobre protección de la vida privada o protección de datos de carácter personal en Chile; La ley orgánica sobre protección de datos personales (LOPD) en España; la Sarbanes-Oxley Act americana; Basilea; Payment Card Industry (PCI) o Data Security Standars (DSS). Las organizaciones deben ajustar sus tecnologías de la información para poder cumplir este entorno normativo con el mínimo impacto posible sobre sus operaciones. Es por todo esto que la organización debe aplicar el control sobre el acceso a su información, desde un punto de vista reactivo, en el peor de los casos y preventivo siempre que sea posible. La primera solución a desarrollar es Identity and Acces Management IAM, (Gestión de Identidades y Acceso) para poder controlar el acceso a los recursos de información desde una política de “privilegio mínimo” y “necesidad de saber” de tal forma que los usuarios de Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl 1 sus sistemas accedan a la información mínima necesaria para poder desarrollar su tarea. Sin embargo, este enfoque no previene el mal uso que puedan realizar los usuarios de la información a la que tiene un acceso permitido. Complementario a IAM es Information Leakage Detection and Prevention ILDP (prevención y detección de la fuga de información). Gracias a ILDP empresas pueden prevenir y detectar la fuga de información de la organización. Se utilizan “sniffers” – rastreadores- de red y agentes de escritorio para detectar y detener cualquier posible transferencia indebida de información así como aplicar políticas de seguridad que minimicen la probabilidad de que esto ocurra. Con estas tecnologías de seguridad podemos controlar el acceso a la información y prevenir el robo de la misma. Sin embargo, aún queda un último riesgo a tener en cuenta: La posibilidad de que un usuario autorizado pueda realizar operaciones fraudulentas. Todas las empresas podrían pensar en un sin número de ejemplos aplicados en todo el mundo. El usuario sólo tiene acceso a aquellos recursos de información y operaciones necesarias para cumplir su tarea y además no está haciendo ninguna transferencia indebida de información. Las soluciones vistas hasta ahora no nos protegen frente al escenario. Hay que dar un salto hacia el “user-tracking behavior”, rastreo de comportamiento del usuario. Aplicando desarrollos propios de la inteligencia artificial pueden monitorizar el comportamiento del usuario más allá de operaciones puntuales para construir un perfil completo de aquellas actividades permitidas y aquellas otras prohibidas. Según este enfoque, con respecto al riesgo las empresas podrían monitorear las acciones de los distintos usuarios para poder detectar y justificar un comportamiento anómalo y así controlar exhaustivamente el acceso a sus recursos de información. Fuente: ISACA Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10 Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl 2