Espionaje Informático

La reciente información que entregara la prensa del espionaje informático del que habría sido víctima una organización gremial de nuestro país revive una constante de la que no siempre se tiene registro en el recuerdo inmediato.

Al “googlear” la frase espionaje informático chile, se presentan de inmediato casos además del ya citado, como los siguientes:

• En 2011, y aprovechándose que trabajaba como operador de sistemas, ---- accedió a una base datos que contenía los sueldos y funciones de los trabajadores.
• Fiscalía resolvió formalizar por estafa y sabotaje informático a sujeto que jugó Kino falso de 1000 millones por internet.
• Formalizarán a policía por obstruir investigación de espionaje informático y tortura contra estudiante.
• CDE se querella por espionaje informático tras filtración de adopciones desde servidor del Sename.
• Sobreseen investigación por presunto espionaje informático en intendencia de La Araucanía.

De los seis casos se puede identificar claramente un esquema predominante en la extracción de información: en 5 casos fue realizada por personas con acceso a los sistemas en que ésta reside.

Para contextualizar, Wikipedia nos ayuda con la siguiente definición: se denomina espionaje a la práctica y al conjunto de técnicas asociadas a la obtención encubierta de datos o información confidencial.

¿Es posible prevenir, controlar o impedir este tipo de actos?

Ciertamente que es posible hacer muy difícil la tarea a quienes desean ejecutar alguna de estas acciones.

Primero podemos citar algunas acciones de orden institucional que siempre se deberían practicar: disponer de códigos de conducta y políticas en seguridad de la información, las que deben ser conocidas y aceptadas por los trabajadores – internos y externos – de la empresa; disponer de normas y reglas claras de la administración de los recursos informáticos, que siempre privilegien en control y la diligencia debida. Los activos que se almacenan en las bases de datos estar siempre bajo resguardo y de acceso controlado, tanto en sus versiones actuales como anteriores. Es el caso de la información contable y financiera, de recursos humanos, de clientes y los productos, valores y condiciones de venta, de proveedores y los materiales y las condiciones de compra, las recetas de producción de productos en proceso y terminados, y así muchos otros.

En el contexto técnico, estando bien definidas las anteriores, desarrollar las normas técnicas alineadas con éstas y aplicando las buenas prácticas, permitirá mantener a los usuarios con el mínimo privilegio actualizado.

La fuga de información se puede presentar en distintos componentes de la plataforma tecnológica de una empresa: sistemas de correos, sistemas de almacenamiento centralizado de documentos y los sistemas computacionales como el caso de SAP.

Un check list básico que nos ayudará dimensionar el nivel de exposición a fuga de información en el landscape de SAP:

• ¿El sistema SAP QAS que se actualizada periódicamente con SAP PRD deja los datos sensibles (nuestros activos) disponibles?
• ¿Al sistema SAP QAS los usuarios – funcionales y técnicos – tienen restricción en los accesos?
• ¿Cuantos usuarios tienen acceso al maestro de proveedores y al registro Info de éste?
• ¿Cuantos usuarios tienen acceso al maestro de clientes y al registro Info de éste?
• ¿Cuantos usuarios tienen acceso al maestro de materiales – materias primas, insumos, semi elaborados y terminados –  y al registro Info de éste?
• ¿Cuantos usuarios tienen acceso al maestro de recursos humanos y a la información de sueldos?
• ¿Cuantos usuarios tienen acceso a la información de contable y financiera?

Nota: el concepto acceso está referido a su nivel más básico: consulta de la información.

Cualquiera de estos puntos son de la mayor criticidad a resolver y, a la pregunta del paso siguiente, pueden buscar en anteriores blogs o simplemente nos pueden contactar.

Fraude y Sistemas

El fraude laboral (occupational fraud) cometido por los empleados que abusan de las confianzas otorgadas para su enriquecimiento personal sin importar el medio utilizado para esto, de acuerdo a las cifras que entrega la Association of Certified Fraud Examiners, son de alarmantes: 

• El costo en una empresa tipo, por efecto de fraude laboral se estima en un 5% de sus ingresos anuales
• La pérdida promedio por evento de fraude es de US$ 150.000. En el caso de Latino América y el Caribe, el promedio es de US$ 174.000 (Chile participa en el estudio con 4 empresas) 
• A nivel global las pérdidas totales se estiman en US$ 6,3 billones anuales 
• Más del 23% de los casos de fraude tuvieron un costo de al menos US$1 millón 

Otros puntos de interés: 

• Las principales formas de ocultar el fraude son por la vía de la alteración de los registros en los sistemas computacionales como es el caso que nos preocupa: SAP ERP. 
• Las categorías con mayores fraudes corresponden a: 
• Fraude de estados financieros con un promedio de US$ 975.000 
• Fraude por corrupción con un promedio de US$200.000 
• Fraude por apropiación indebida de activos con un promedio de US$125.000

 Y un buen indicador…las empresas que carecían de controles antifraude, sufrieron en promedio el doble de las pérdidas. 

Al revisar los casos de fraude informados, éstos se presentan a nivel global y nuestra región está bien representada: 

El informe de la ACFE del año 2016 contiene un análisis de 2.410 casos de fraude laboral que fueron investigados entre enero de 2014 y octubre de 2015. 

En la figura anterior se presenta un resumen de dónde ocurrieron estos casos, así como las pérdidas relativas sufridas por las víctimas en diferentes regiones geográficas.

El siguiente cuadro presenta cómo se realizan los fraudes: 

La apropiación indebida de activos es, con mucho, la más común de las tres principales categorías de fraude laboral, que ocurren de forma consistente en más del 83% de todos los casos reportados. Estos esquemas tienden a causar las pérdidas más bajas de las tres categorías, con una pérdida mediana de $ 125,000 por plan. En el extremo opuesto del espectro está el fraude en los estados financieros, que estuvo involucrado en menos del 10% de los casos del estudio, pero que causó una pérdida promedio de $ 975,000. Los esquemas de corrupción caen en el medio en términos de frecuencia y pérdidas. Aproximadamente el 35% de los casos analizados involucra corrupción, y estos esquemas causaron una pérdida promedio de $ 200,000. 

Las distintas formas que se llevan a cabo los fraudes en nuestra región se representan en la siguiente gráfica: 

Para analizar la prevalencia de las diferentes formas de fraude en cada región geográfica (este análisis incluye los nueve sub-esquemas de apropiación indebida de activos, así como la corrupción y el fraude a los estados financieros). Los resultados se reflejan en el cuadro. En cada región, la corrupción es uno de los dos tipos de esquema más comunes, ya sea con esquemas de facturación o con apropiaciones no monetarias ocupando el primer lugar. 

Y, la pregunta siguiente es, ¿cómo se detectaron estos fraudes? La respuesta está en la siguiente gráfica, pero como se verá más adelante es diferente según el tamaño de empresa y la región. 

Se presenta la frecuencia de cómo se detectaron inicialmente los esquemas de fraude, incluyendo una comparación de los informes de 2014 y 2012. Como en años anteriores, los “tips” eran el método de detección más común por un amplio margen, representando el 39,1% de los casos. En los datos de 2016, la auditoría interna (16,5%) superó la revisión de la dirección (13,4%) como el segundo método de detección más común. 

Esta tabla muestra los métodos de detección inicial en nuestra región geográfica. Comparado los IT Controls de la región respecto del total, claramente están en deuda! 

Los datos sugieren una relación entre la manera en que el fraude se detecta inicialmente y la cantidad de daño financiero que causa el esquema. La figura anterior ilustra la relación entre el método de detección, la pérdida media y la duración media de los fraudes ocupacionales. Los métodos de detección se organizan de izquierda a derecha en orden ascendente de duración, y los círculos representan el tamaño de la pérdida mediana. Además, los puntos de datos están codificados por color para indicar si el método de detección es principalmente activo, pasivo o potencialmente activo o pasivo.

El control interno se presenta como débil y ausente de ejercer los controles donde se llevan a cabo los fraudes. 

Y, ¿dónde se identifican las debilidades del control que han permitido que ocurran los fraudes? 

Se aprecia que las deficiencias del control interno varían según el tipo de fraude perpetrado. Los hallazgos, que se muestran, son interesantes, si no sorprendentes. Las organizaciones que carecían de controles internos eran más susceptibles a los planes de apropiación indebida de activos, mientras que los esquemas de corrupción con más frecuencia implicaban una anulación de los controles existentes. Además, el tono pobre en la alta dirección era mucho más probable que contribuyera a un esquema de fraude de los estados financieros que cualquiera de las otras dos categorías de fraude laboral. 

 Y ¿en qué posición de organización se encuentran los responsables de los fraudes? 

La altura de cada burbuja a lo largo del eje vertical representa el porcentaje de fraudes que se originó en cada departamento, y el tamaño de la burbuja representa la pérdida mediana para esos fraudes. Por ejemplo, vemos que más fraudes provienen del departamento de contabilidad (16.6%) que en cualquier otro lugar y que la pérdida mediana en esos casos (197.000 dólares) fue ligeramente mayor que el esquema típico. Los perpetradores de fraudes que trabajaban como ejecutivos o altos directivos, a la inversa, causaron pérdidas mucho mayores que cualquier otra persona (850.000 dólares) y representaron alrededor del 11% de todos los casos.

En general, un poco más de tres cuartas partes (76%) de fraudes ocupacionales provenían de siete departamentos claves: contabilidad, operaciones, ventas, dirección ejecutiva / superior, servicio al cliente, compras y finanzas.

¿Cuáles fueron las medidas que tomaron los estafadores para ocultar sus planes.?

Curiosamente, la frecuencia de varios métodos de ocultamiento no varió mucho en función del tipo de fraude perpetrado. La creación y alteración de documentos físicos fueron los métodos de ocultación más comunes para las tres categorías, aunque la creación de documentos fraudulentos fue algo más común en casos de corrupción. Además, encontramos que la gran mayoría de los estafadores trataron proactivamente de ocultar sus planes; Sólo el 5,5% de los encuestados señaló que el autor no tomó ninguna medida para ocultar el fraude. 

Sin embargo, se puede verificar que 12 de los 16 métodos de ocultamiento, están relacionados expresamente con actividades que se realizan en los sistemas contables, por consiguiente, con los privilegios que los estafadores cuentan para realizar los fraudes.

Conclusiones: Como dice el adagio: la oportunidad hace al ladrón…

Y las oportunidades están dadas por las autorizaciones de acceso al Sistema SAP ERP que se entregan a los usuarios y, por la poca eficacia de los procesos de control interno como también de las herramientas que disponen los auditores internos.

En TwoBox disponemos del conocimiento, experiencia y las herramientas para enfrentar los dos puntos anteriores: CentinelBox y nuestra nueva representación ZAPLIANCE, software alemán único en desarrollar la auditoría digital. 

Contáctanos!

Tomando decisiones con las cuentas de usuarios no activas

Cuando una cuenta de usuario SAP deja de ser utilizada, se pueden tomar dos decisiones: eliminarla del sistema o mantenerla en estado no vigente.

En los casos que un usuario deja la empresa, muchas veces su cuenta de usuario se mantiene en el sistema por necesidad de trazabilidad de sus acciones. Para dejarlo en estado no vigente, algunos administradores bloquean la cuenta y otros, dejan la fecha de término de su vigencia con la fecha de su retiro, ambas.  Es posible que incluso mantengan las autorizaciones asignadas para el evento en que sea necesario habilitar la cuenta, para lo cual sólo bastará con desbloquear y/o modificar la fecha de expiración de ésta.

Mi sugerencia es eliminar las cuentas de usuario no activos por retiro de la empresa. La historia de sus pasos en el sistema, quedará registrada en los documentos que hubiere creado(1) como también en el log de transacciones usadas.  Y… no olvidar verificar que la cuenta no esté asignada a algún job o proceso batch…

Con el apoyo de un software como CentinelBox podrá mantener la historia de sus roles asignados como también de su uso.

Si la decisión es mantener las cuentas de usuarios, se recomienda bloquearlos, fijar la fecha de expiración y retirar los roles asignados.  Manejar sólo la variable de bloqueo, tiene un riesgo por las acciones de bloqueo / desbloqueo masivo podrían activar erróneamente cuentas que deberían mantenerse bloqueados

Si la cuenta debe ser reactivada, los privilegios a ser asignados deberán ser evaluados previamente de acuerdo a las funciones que desempeñará, su posición y otras variables relevantes.

(1) Próximamente publicaré un método simple para identificar el usuario que ha creado un documento.

Identificar transacciones Z sin authority check

Siempre ha sido un problema identificar las transacciones cliente (custom transactions) que no tienen definición de authority check.

La soluciones más usadas son dos: revisar en forma manual cada una de las transacciones Z / Y y así detectar en qué condiciones se encuentra cada una de éstas. La segunda forma es contar con una aplicación que accese los programas y busque las palabras claves de definición de authority check y en caso de encontrarlas, genere un reporte con éstas.

Una forma alternativa, más simple pero no 100% segura, que permite un acercamiento a la solución del problema, es la siguiente: para cada transacción Z / Y  que ha sido usada - lo que permite descartar el análisis de transacciones que no se usan -  buscar en las tablas USOBT_C y USOBX_C si existen objetos de autorización declarados con la transacción SU24. Si efectivamente existen, es altamente probable que tales transacciones tengan efectivamente authority checks definidos.

Por qué no es 100% seguro este procedimiento?
Sólo por consecuencia de malas prácticas en el desarrollo y en su control de calidad:

1. Es posible que se hayan definido authority checks en una transacción Z / Y, sin embargo nunca se registraron con la transacción SU24. Recordemos que la SU24 registra los objetos de autorización que serán propuestos al crear un rol con la PFCG. Si es el caso, cada vez que se asigna una de estas transacciones a un rol, los objetos deben ser creados en forma manual. 

2. Una transacción Z / Y no tiene authority checks definidos pero, maliciosamente, se han creado los objetos en la SU24. Al asignar la transacción en un rol, se solicitan los valores de cada objeto. Sin embargo, la aplicación nunca los verificará.

Independiente de lo anterior, el método es mejor que navegar por cientos de transacciones, algunas obsoletas, otras que no se usan, etc.

Y, si la información la puedo obtener a un click... nada mejor !

Se han incorporado a la última versión de CentinelBox, dos reportes que aplican en método señalado:

• Análisis de las transacciones cliente asignadas a algún rol 
• Análisis de las transacciones cliente que han sido usadas

Qué pasa con esta información y los dos puntos antes mencionados?

• Para el primer caso, una transacción que esté en esta condición, se detectará de inmediato en la revisión y sólo faltará actualizar con la SU24.
• Para el segundo caso, se sugiere realizar una revisión al azar de un porcentaje - por ejemplo el 10% - del total de las transacciones con información en la SU24 y en caso de detectar esta condición se puede ampliar la muestra de revisión.

De esta forma nuestros reportes estarán con un nivel de certeza muy cercano al 100%.