Riesgos de fraude, y su gestión empresarialINCP

Colombia

19 de agosto de 2020

Página 2

Este documento contiene material, ideas y conceptos que

son propiedad de Ernst & Young. El contenido de este

documento no debe ser reproducido total o parcialmente

por ningún medio, ni distribuido a nadie externo del

Colegio de Contadores de Culiacán o ajeno al proceso de

solicitud de información sin el consentimiento previo y por

escrito de Ernst & Young (EY)

Información Confidencial

Página 3

Agenda

2 Clasificación

1 Introducción- Riesgos de fraude

¿Y qué debemos hacer?- Programas de prevención- Programas de detección - FDA- Programas de investigación - EDR

Respuesta al Cibercrimen4

3

Página 4

1. Introducción

Página 5

1. IntroducciónDefinición del fraude

Un fraude es un delito destinado a obtener un beneficio económico propio mediante vías ilegales a pesar del perjuicio de otros. Los fraudes financieros se dan en un entorno profesional y económico.

No se realiza el uso de la violencia, pero si se ocasionan pérdidas económicas a empresas, compañías, inversores y empleados.

Página 6

1. IntroducciónRiesgos de fraude

Fuente: Reporte a las Naciones 2016 y Encuesta Global de Fraude 2018

Según el tamaño de la organización, los riesgos de fraude tienden a ser distintos. La corrupción es más prevalente en organizaciones grandes, mientras que la falsificación de cheques, el robo de activos antes de su registro contable, el fraude en nómina y el robo de dinero en efectivo después de su registro contable, son esquemas dos veces más comunes en organizaciones pequeñas que en grandes.

•Establecer controles antifraude puede ayudar tanto a mitigar pérdidas como a disuadir a defraudadores.

•Establecer controles específicamente diseñados para prevenir y detectar fraudes, es una parte vital del programa de administración de riesgos de fraude.

Página 7

2. Clasificación

Página 8

2. ClasificaciónÁrbol de fraude

• Al analizar los casos de fraude, varios patrones se observan en la forma en que se cometen los ilícitos.

• Casi todos los esquemas de fraude ocupacional caen en categorías específicas, las cuales atacan diferentes funciones y operaciones dentro de la organización.

• Con base en estas categorías, la ACFE (Asociación de Examinadores de Riesgo Certificados, por sus siglas en inglés) generó un sistema completo para clasificar los esquemas de fraude ocupacional, a fin de ayudar a las organizaciones a entender sus riesgos de fraude y, consecuentemente, a generar controles antifraude específicos.

Página 9

2. ClasificaciónFraude ocupacional

Malversación de activos► Irregularidades que involucran efectivo

► “Skimming” – remoción de efectivo antes de que sea ingresado a la contabilidad► Robo► Erogaciones irregulares (reembolso de gastos, nomina fantasma)

► Fraudes en cuentas por cobrar► “Lapping”► Cuentas por cobrar ficticias (para ocultar ventas ficticias)► Descuentos y devoluciones inexistentes que resultan en una cuenta incobrable

► Irregularidades relacionadas con inventarios► Uso personal de activos de la empresa► Robo de inventario► Robo de mermas

Los fraudes internos normalmente caen dentro de tres categorías. La primera es:

Página 10

2. ClasificaciónEstados financieros

La segunda categoría de los fraudes internos es:

► Manipulación de estados financieros► Sobreestimación de activos

► Ventas ficticias o aceleración de una venta que no ha ocurrido(consignación)

► Subestimación de pasivos

► Deudas o prestamos ocultos

Estos fraudes normalmente derivan de dos razones principales:► Incrementar la aparente prosperidad del negocio► Cumplir con objetivos de desempeño o metas trazadas

Página 11

2. ClasificaciónCorrupción/Colusión

► La tercera categoría de los fraudes internos es:

► Corrupción / Colusión► Sobornos, regalos, pagos ilegales

► Normalmente los métodos para realizar un pago ilegal incluyen lossiguientes:

- Regalos, viajes y entretenimiento

- Efectivo

- Cheques y otros instrumentos financieros

- Intereses ocultos (“shell company”)

- Ventas ficticias o aceleración de una venta que no haocurrido (consignación)

Página 12

2. ClasificaciónOtras operaciones financieras fraudulentas

► Los fraudes externos normalmente incluyen:

► Fraudes que involucran a proveedores:► Arreglos irregulares en licitaciones (rotación de ofertas, omisión de ofertas u ofertas

complementarias – aquellas que son demasiado altas como para ser consideradas)

► Sobrefacturación – el proveedor factura ya sea precios superiores al contrato ofactura por servicios o bienes no proporcionados esperando que el cliente no sepercate

► Proveedores fantasmas – envío masivo de facturas esperando que algunas se paguen(tóner para impresora o algún servicio)

► Colusión entre proveedor y empleado – el peor de los escenarios y el más difícil decomprobar en una investigación de fraude.

► Sobornos

► Fraudes con cheques.

► Fraudes a las empresas financieras y de seguros:

► Prestamos a empresas inexistentes.

► Reclamos por perdidas inexistentes.

Página 13

3. ¿Y qué debemos hacer?

Página 14

Exposición a nuevos riesgos de fraude y corrupciónAntecedentes

❑ Estamos en medio de la transformación más rápida que la economía mundial ha

experimentado.

❑ La pandemia del coronavirus (COVID-19) ha hecho que miles de millones de personas

no puedan trabajar y tengan que quedarse en casa.

❑ Millones de personas se enfrentan al desempleo, y los gobiernos trabajan día y noche

para proporcionar apoyo financiero y médico.

❑ También es un momento increíblemente difícil para el funcionamiento de las

organizaciones.

❑ En este contexto, las empresas deben resistir la tentación de sacrificar sus controles,

sistemas, gobierno corporativo y cultura apropiada para ajustarse a las nuevas

realidades de COVID-19.

❑ La pandemia ha comprometido potencialmente la capacidad de llevar a cabo una

vigilancia, supervisión y control del cumplimiento efectivo, creando una apertura para el

comportamiento criminal y poco ético.

❑ El peligro es que las múltiples capas de los procesos de gobernanza, los controles

anteriormente eficaces y la supervisión de la conducta de los empleados y la dirección

se relajen – posiblemente en nombre de la continuidad de la empresa. Al mismo tiempo,

la cultura de integridad más amplia de la organización se ve amenazada – el fin se

utiliza para justificar los medios.

Página 15

❑ Los factores de riesgo de fraude aumentan en tiempos de crisis porque las empresas y

los individuos se enfrentan: Todo fraude requiere que estos tres elementos –

oportunidad, presión y racionalización – estén presentes (conocido como el Triángulo del

Fraude). COVID-19 ofrece los tres y más.

i. A más presiones financieras: Problemas financieros (de índole persona o

profesional) que el defraudador no es capaz de resolver por medios legítimos.

ii. La oportunidad de cometer fraude aumenta si los controles internos clave se

debilitan: Método por el cual se cometerá un delito de cuello blanco. El defraudador

debe ver alguna forma por la cual puede usar (abusar) su posición de confianza

para resolver sus problemas financieros con una baja probabilidad de riesgos de

ser descubierto.

iii. A las personas les resulta más fácil racionalizar sus acciones. Normalmente es la

primera vez que los defraudadores cometen el delito: es decir no tienen un pasado

delictivo - se ven como personas normales, honestas, a las que se les han

sobrevenido una serie de situaciones. Por lo tanto deben justificar sus actos de

forma que sean aceptables, justificables: “me lo deben”, “me lo merezco”; “es

porque mi familia lo necesita”; “no me pagan lo suficiente”

Exposición a nuevos riesgos de fraude y corrupciónAntecedentes (Cont.)

Página 16

Seis preguntas clave

► Las Compañías, a través de sus programas de Ética y Cumplimiento,

deben contestarse las siguientes preguntas clave:

► ¿Cuáles son nuestros riesgos más significativos en ética y cumplimiento?

► ¿Quién es la persona adecuada para administrarlos?

► ¿Qué están hacienda al respecto?

► ¿Está funcionando?

► ¿Cómo sabemos?

► ¿Tenemos políticas y prácticas adecuadas de datos y registros?

Página 17

Gestión del ciclo de vida del Programa de Ética y Cumplimiento Corporativo

Actualizar la estructura del Programa de Ética y Cumplimiento para reflejar cambios en los riesgos y regulación, dentro de la organización, estrategia, estructura, operación y/o procesos y contexto a nivel de TI.

Revisar de forma centralizada el programa de Ética y Cumplimiento para identificar la necesidad de cambiar las estructuras de los programas de cumplimiento locales y/o ajustarlo a sus necesidades individuales.

Evaluar regularmente la efectividad del Programa de Ética y Cumplimiento. Cerrar oportunamente las brechas y reportar la efectividad a la administración local.Evaluar y mejorar la estructura del Programa para asegurar su efectividad e incrementar su eficiencia y aceptación.

Re-evaluar regularmente los Riesgos de Ética, Integridad y Cumplimiento para asegurar su apropiada cobertura, considerando cambios en los requerimientos regulatorios, hallazgos de auditorías, y casos actuales (internos y externos).

Página 18

Ante esta nueva situación: Que debemos hacer?. Modelo de Integridad EmpresarialImportancia de la integridad como diferenciador (Cont.)

¿La orientación sobre la conducta apropiada es clara, coherente y se

comunica adecuadamente?

Estan definidos ón de los roles / responsabilidades, obligaciones y

actividades de la alta gerencia para soportar y fortalecer el programa

de ética y cumplimiento

Definición de roles y responsabilidades: Alineación con la gestión de

riesgo, gobierno y cumplimiento (GRC) – Auditoría Interna, Legal,

Recursos Humanos, etc.

Se han identificado y evaluado los nuevos riesgos de Fraude y

Corrupción?

¿Estamos utilizando herramientas forenses de análisis de datos (FDA),

para que de forma remota, se analice grandes volúmenes de datos,

identificando patrones y señales de alerta de fraude?

¿Se han identificado las fuentes de información relevantes y

establecido los protocolos para la descarga y protección oportuna de la

información de la Compañía?

¿Se ha promovido el uso del canal de denuncias y se ha promovido los

programas existentes de ética e integridad empresarial de una forma

efectiva?

¿Cuenta la empresa con un plan de respuesta a incidentes de fraudes:

protocolos internos de investigación para poder concluir sobre qué,

quién, cómo, cuánto, por qué?

Página 19

Lineamientos para la gestión del programaActividades de prevención, detección y respuesta de conductas no éticas

Página 20

Evaluación del riesgo

total

Riesgo neto

Riesgo aceptable

Objetivo

Riesgos de ética y cumplimiento priorizados

Implementado

1. Roles y responsabilidades2. Lineamientos y comunicación3. Educación y asesoramiento4. Procesos y controles5. Monitoreo y reporte

Evaluación de la probabilidad e impacto (financiero y reputacional), sin considerar las medidas de mitigación existentes.

Acciones de mitigación:

+

Definición del escenario de riesgos de ética y cumplimiento

Evaluación de la efectividad de las medidas de mitigación existentes (basada en el riesgo)

Definición de futuras acciones de mitigación para reducir el riesgo a un nivel aceptable

Alcance

HochMittelGering

Niedrig

Moderat

Wesentlich

Schadenspotenzial (Auswirkung) (€)

Eintrittswahrscheinlichkeit (%)

Retos de las Unidades CumplimientoEvaluación de riesgos de ética y cumplimiento

Página 21

Manuales

Políticas

Instructivos

Código de Ética y Política de Conductas

Retos de las Unidades CumplimientoEvaluación de Manuales, Políticas, Instructivos y Protocolos

Política de Viajes

Política de ComprasProtocolo de DueDiligence para proveedores de alto riesgo

Política de Incorporación de Personal

Protocolo de Due Diligencepara Colaboradores

Política de conflicto de interés

Política de Regalos y Entretenimiento

Política de Donaciones Política Anticorrupción Política de Patrocinios

Página 22

Llevar a cabo niveles similares de diligencia no es suficiente para evaluar el riesgo de terceros

La guía emitida por el Departamento de Justicia de los EE. UU. (DOJ)* establece que realizar niveles similares de diligencia debida en toda una población de terceros es un enfoque que no invierte de manera efectiva en aquellos terceros que impliquen un riesgo más significativo.

Programas de cumplimiento de terceros basados en riesgo

El Departamento de Justicia y la Comisión de Bolsa y Valores de EE. UU. (SEC) emitieron pautas para que se otorgue crédito específicamente a las empresas que implementen programas de cumplimiento basados en el riesgo.

La diligencia debida es necesaria para relaciones comerciales de mayor riesgo

Las críticas particulares se describen históricamente en las directrices del Departamento de Justicia y la SEC relacionadas con los casos en que las transacciones de alto riesgo y de importancia económica con terceros no están sujetas a niveles apropiados de diligencia basados en el tamaño y el riesgo percibido de la transacción.

El enfoque deberá alinearse con los riesgos comerciales inherentes

El Departamento de Justicia y la SEC declararon que tienen en cuenta el nivel de grado que una empresa analiza y aborda los riesgos particulares inherentes a su negocio.

* www.justice.gov/criminal-fraud/fcpa-guidance and www.justice.gov/sites/default/files/criminal-fraud/legacy/2015/01/16/guide.pdf

Retos de las Unidades CumplimientoNecesidad de un enfoque basado en el riesgo - Business Intelligence

Hallazgos de la encuesta de FDA –Analíticos Forenses

Página 24

De acuerdo al estudio global respecto a fraude ocupacional 2018 de la Asociación de Examinadores de Fraude Certificados (ACFE) la relación existente entre el método de detección, duración y pérdidas ocasionadas por fraude, es la siguiente:

ME

DIA

DE

ME

SE

S A

LA

DE

TE

CC

IÓN

Retos de las Unidades Cumplimiento¿Qué diferencia existe contra otros métodos de detección?

Página 25

Retos de las Unidades Cumplimiento¿Porqué análisis forense de datos?

¿Qué es Análisis Forense de Datos?

Explotación de la información estructurada y

no estructurada a través de técnicas

avanzadas de análisis de datos en

combinación con experiencia en investigación

y procesos de negocio con el objetivo de

identificar tendencias, detectar

comportamientos irregulares, descubrir

evidencia relevante en caso de

investigaciones, identificar causas raíz de

error, fraude o no cumplimiento de

requerimientos regulatorios, legales o de

políticas internas.

Los analíticos conforman las bases de

herramientas de monitoreo continuo.

20%Datos

estructurados

80%Datos no

estructurados

Basada en números▪ Libro mayor▪ Transacciones▪ Bases de datos▪ ERP

Basada en texto▪ email▪ Documentos MS Office▪ Contratos▪ Contenido web

Menor

TiempoMenor

CostoMayor

Consistencia

Página 26

Retos de las Unidades Cumplimiento ¿Cómo lo hacemos en EY? - EY virtual

El modelo de monitoreo, basado en análisis forense de datos, de EY virtual permite a la organización aprovechar

información estructurada e información no estructurada existente, para tomar mejores decisiones y descubrir y

administrar los riesgos de fraude, cumplimiento y legales de manera proactiva.

Selección de muestras y/o

acciones correctivas

Monitoreo Continuo

Fuentes de datos

Plataforma de procesamiento de

Big Data

Monitoreo y

detección

Herramientas de

investigaciónReporte a la

administración

➢ Análisis sistemático de incidencias:

• Por Región

• Por 3ra partes

• Por tipo de pago

➢ Evaluación de incidencias (Violación de políticas, conflicto de interés, ABAC)

➢ Risk Scoring: Orientar revisiones a los eventos que representan mayor riesgo.

➢ Identificación de anomalías

Análisis de info.

estructurada y

análisis

estadístico

Text mining,

Procesamiento

de lenguaje

naturalT&E

Master Data

Métricas internas

Social media

Estructuradoy No

estructurado

Pagos

Finanzas

Logs de acceso

Email

Visualization

Link Analysis

Statistical & Predictive

➢ Análisis/Seguimiento de incidencias

➢ Delegación de tareas.

➢ Automatización

Case Management

➢ Identificación de vínculos (Conflictos de interés).

➢ Patrones y tendencias

➢ Machine Learning: Diseño de modelos estadísticos/predictivos para retroalimentar la herramienta con casos previamente identificados como fraude

Página 27

Creciente preocupación por el cumplimiento con la privacidad y protección de datos

8%

10%

10%

7%

11%

10%

10%

14%

12%

17%

21%

19%

38%

40%

18%

18%

21%

25%

21%

25%

29%

29%

32%

31%

31%

35%

37%

38%

62%

60%

58%

59%

54%

51%

54%

48%

47%

44%

41%

39%

21%

17%

8%

11%

8%

7%

10%

9%

6%

8%

6%

6%

4%

6%

3%

4%

Comportamiento anticompetitivo yantimonopolio

Fraude en los estados financieros

Lavado de dinero

Litigios

Fusiones y adquisiciones

Proyectos de capital

Investigaciones internas

Soborno y corrupción

Due diligence de terceros

Fraude externo y crímenes financieros

Respuesta reglamentaria

Reglamentos específicos de la industria

Violaciones cibernéticas y amenazasinternas

Cumplimiento con la privacidad yprotección de datos

P. En los últimos dos años, ¿cuánto ha cambiado el nivel de preocupación en su organización respecto a cada área de riesgo?Base: Todos los encuestados (Global n= 745, México n=40)

Se omitieron los porcentajes de “no sé” para permitir una mejor comparación entre las respuestas proporcionadas.

20%

40%

35%

23%

30%

35%

30%

33%

18%

45%

28%

30%

53%

48%

20%

13%

35%

28%

20%

40%

25%

18%

25%

25%

40%

45%

25%

38%

50%

43%

25%

38%

35%

18%

35%

38%

38%

28%

20%

20%

18%

13%

10%

5%

5%

13%

15%

5%

10%

13%

15%

3%

13%

5%

5%

3%

Aumentó significativamente Aumentó ligeramente No cambió Se redujo

► Global ► LATAM

Encuesta Global del Análisis Forense de Datos de FIDS de EY 2018

1

2

3

3

4

4

5

Página 28

17%

16%

18%

21%

19%

21%

19%

19%

28%

25%

24%

27%

35%

31%

34%

40%

39%

38%

40%

42%

47%

47%

41%

47%

49%

49%

42%

50%

25%

19%

16%

19%

19%

15%

16%

17%

17%

16%

13%

10%

11%

11%

24%

25%

27%

22%

22%

22%

18%

17%

14%

12%

14%

14%

11%

7%

Comportamiento anticompetitivo yantimonopolios (Base: 192)

Litigios (Base: 239)

Fusiones y adquisiciones (Base: 233)

Proyectos de capital (Base: 266)

Due diligence de terceros (Base: 327)

Reglamentos específicos de la industria(Base: 400)

Respuesta reglamentaria (Base: 393)

Fraude externo y crímenes financieros (Base:363)

Soborno y corrupción (Base: 325)

Violaciones cibernéticas y amenazas internas(Base: 558)

Cumplimiento con la privacidad y protecciónde datos (Base: 582)

Lavado de dinero (Base: 229)

Fraude en los estados financieros (Base:210)

Investigaciones internas (Base: 287)

P. ¿En cuál de las siguientes áreas de riesgo utiliza el análisis forense de datos y qué tan efectivos han sido sus esfuerzos? Base: Los encuestados que reportaron un mayor nivel de riesgo

31%

35%

35%

37%

29%

33%

41%

29%

50%

52%

44%

36%

62%

41%

50%

45%

40%

43%

41%

30%

52%

39%

40%

26%

35%

57%

19%

27%

6%

15%

10%

17%

24%

27%

4%

21%

5%

16%

12%

4%

19%

18%

13%

5%

15%

3%

6%

10%

4%

11%

5%

6%

9%

4%

0%

14%

Muy efectivo Poco efectivo Nada efectivo No usa FDA

► Global ► LATAM

El análisis forense de datos (FDA) está asumiendo un papel clave en la administración de riesgos

(Base: 22)

(Base: 21)

(Base: 28)

(Base: 34)

(Base: 31)

(Base: 20)

(Base: 28)

(Base: 27)

(Base: 30)

(Base: 17)

(Base: 30)

(Base: 20)

(Base: 20)

(Base: 16)

Encuesta Global del Análisis Forense de Datos de FIDS de EY 2018

1

2

3

4

5

5

Página 29

Amplia inclusión de fuentes de datos

► Con la creciente adopción de tecnologías avanzadas de análisis forense de datos, las compañías

están utilizando más fuentes de datos estructuradas y no estructuradas que hace dos años.

► Las compañías mexicanas están utilizando estas fuentes de datos, en particular las no

estructuradas, a una escala mucho mayor.

73%

75%

78%

80%

88%

68%

90%

93%

98%

54%

62%

63%

71%

72%

76%

77%

78%

93%

Bases de datos de licitaciones ocontratos

Sistemas de rastreo de inventarios

Administración de relaciones conclientes

Cumplimiento de pedidos y ventas

Tiempos y gastos

Reporte de crédito o sanciones,verificación de antecedentes…

Base de datos maestra deproveedores

Información de acceso o bitácorasde acceso a la red

Contabilidad financiera

Global Mexico

Fuentes de datos estructuradas Fuentes de datos no estructuradas

73%

68%

80%

70%

63%

85%

93%

95%

41%

47%

49%

52%

54%

59%

70%

75%

Teléfono móvil o "trae tu propiodispositivo"

Redes sociales

Llamadas con clientes o notas dereuniones

Suministro de noticias o fuentesde datos externas

Descripciones de texto libre de lospagos en los datos contables

Registros de la línea directa dedenuncias

Comunicación electrónica

Sistemas de red o información delservidor

Global México

P. ¿Qué fuentes de datos utiliza su organización para analizar las áreas de riesgo que tienen un impacto en ella? Base: Todos los encuestados (Global n= 745, México n=40)

Encuesta Global del Análisis Forense de Datos de FIDS de EY 2018

Página 30

Retos de las Unidades CumplimientoDescubrimiento electrónico

La metodología de EY para los servicios de eDiscovery se basa en el modelo de referencia de descubrimiento electrónico (EDRM). Este modelo describe las etapas para la identificación, recolección, procesamiento y presentación de datos electrónicos durante un proceso de eDiscovery.

Producción

Análisis

Procesamiento

Revisión PresentaciónIdentificación

Preservación

Colección

Volumen Relevancia

Admin. de la Información

Página 31

4. Respuesta al Ciber

Página 32

Situación actual

Riesgos

Fraudes internos o externos

Malversación de activos

Cibercrimen

Corrupción pública y privada

Alteración en el flujo de aprobaciones

Aprobaciones (descuentos, pagos, términos) que no cumplen con las políticas.Creación de nuevos clientes y proveedores sin cumplir la debida diligencia

Alteración de los datos del beneficiario en el proceso de pago

Incremento de líneas de crédito de clientes con deudas

Suplantación de identidad

Situaciones observadas

Acceso, Exfiltración y exposición a información confidencial y/o sensible

Secuestro de información a través de cifrado (Ransomware)

Afectación a la integridad y disponibilidad de información

Presión por asegurar la continuidad del negocio,Movilidad,Manejo de información fuera de oficina

Flexibilización de controles,Accesos remotos,Uso de canales no

convencionales

Página 33

Respuesta al Ciber

29%

71%

NO

SI

¿Comprenden los miembros de la junta directiva, la exposición al riesgo de ciberseguridad de la organización en términos de valor en dólares?

Fuente: Encuesta a los participantes durante la transmisión por Internet de EY Better Questions for Boards, Cómo mejorar la supervisión del riesgo de ciberseguridad, junio de 2019.

Riesgo = Amenaza x Vulnerabilidad x Impacto

CxOs están buscando mediciones financieras para tomar decisiones directivas

mas informadas en torno a la tolerancia al riesgo.

(Que puede fallar siocurre un incidente)

(Que tan susceptible es la organización a ser atacada?)

(El potencial efectofinanciero, operacional,

legal, o regulatorio)

Página 34

¿Cómo afectan las ciberamenzas la evaluación de riesgos de las organizaciones?

29%

71%

NO

SI

¿Comprenden los miembros de la junta directiva, la exposición al riesgo de ciberseguridad de la organización en términos de valor en dólares?

Fuente: Encuesta a los participantes durante la transmisión por Internet de EY Better Questions for Boards, Cómo mejorar la supervisión del riesgo de ciberseguridad, junio de 2019.

Riesgo = Amenaza x Vulnerabilidad x Impacto

CxOs están buscando mediciones financieras para tomar decisiones directivas

mas informadas en torno a la tolerancia al riesgo.

(Que puede fallar siocurre un incidente)

(Que tan susceptible es la organización a ser atacada?)

(El potencial efectofinanciero, operacional,

legal, o regulatorio)

Página 35

¿Cómo afectan las ciberamenzas la evaluación de riesgos de las organizaciones?

Ingeniería Social: El inicio de muchas campañas y ataques

1

Uso de ingeniería social para que las personas hagan actividades específicas (clics, dar información, forward).

Suplantación de identidad para remitir información en un correo electrónico.

Envío de emails y documentos que contienen enlaces a una página de inicio de sesión de correo electrónico falsa o descargan o activan procesos.

Phishing, sitios web falsos y correos electrónicos

2

Más del 80% de los ciberataquesexitosos atacan al eslabón más débil: Factor Humano

Aprovechamiento del interés de las personas en la epidemia mundial para llevar a cabo actividades maliciosas a través de campañas de spam relacionadas con el brote de COVID-19.

• Spearphishing

• SMS phishing

• Phishing de credenciales

• Phishing para malware

Extorsión, robo de información y daño a la marca

3

Puede dirigirse a organizaciones que perciben estar bajo presión relacionada con la pandemia.

Acciones o declaraciones consideradas inapropiadas como un posible desencadenante de "hacktivismo" y amenazas internas.

Interrupción de operaciones

4

Ransomware para cifrar el disco duro de una computadora y permitir a los atacantes extorsionarlos pagos a cambio de desbloquear la computadora.

Los atacantes elaboran emails que persuade a la víctima para abrir un archivo adjunto o descargue un archivo malicioso de una página web. El malware se activa al abrir el adjunto.

TrickBotEmotetMazeRyukDoppelPaymer

Infraestructura de la “Nueva Normalidad”

5

Aceleración de la transformación digital, implementación rápida de nuevas redes, VPNs y herramientas de colaboración remota.

Los atacantes aprovechan del traspaso del trabajo a la casa explotando una variedad de vulnerabilidades conocidas públicamente en VPN y otras herramientas y software de trabajo remoto.

CITRIXVPN-Pulse SecureZoom- rapto de conferenciaRDP

Página 36

¿Cómo afectan las ciberamenzas la evaluación de riesgos de las organizaciones?

Monitoreo

• Visibilidad de la infraestructura tecnológica

• Plan de testeo de controles

• Monitoreo Continuo (red, usuario, Sistema)

• Seguimiento de resolución de incidentes

• Base de mejora continua

Comunicación

• Plan de comunicación y difusión

• Identificación de canales de comunicación alternos

• Establecer roles, responsabilidades y líneas de comunicación

• Campañas activas de concientización

• Incluir a varias funciones del negocio

Principios rectores ante incidentes

• Tomar decisiones informadas

• Procedimientos claros para priorizar respuesta a incidentes

• Metodología clara para recopilar, analizar y reportar hallazgos

• Ayudar a garantizar que la información sea precisa, concisa y oportuna; y

• Minimice el proceso de gobernanza y los tiempos de respuesta del proceso (por ejemplo, considere delegaciones de autoridad) de autoridad)

Equipos de respuesta

• Autoridad y capacidad para tomar decisiones de manera oportuna;

• Representantes de cada unidad de negocio afectada con conocimiento de las operaciones de la unidad de negocio; y

• Capacidad para comunicarse con los ejecutivos.

• Habilidades técnicas para detectar e identificar el incidente

Litigio

Cumplimiento

Plan de continuidad de negocio

Relaciones públicas

Reclamación de seguros

Seguridad de la información

Gestión de respuesta

Ante brechas cibernéticas

Página 37

Preguntas

Ignacio Cortes

Servicios Forenses y de Integridad

Socio Líder Regional Latam Norte

Ignacio.Cortes.Castan@mx.ey.com

Tel. (55) 7858-7133