Ver Suplemento Temático...

Seguridad Corporativa y Protección del Patrimonio.
 

 Expertos

Carlos Blanco Torres


Analista de Inteligencia en Eulen Seguridad

El fraude como amenaza, la inteligencia como respuesta


Está comúnmente aceptado hoy en día que para hacer frente a las amenazas que afectan a la actividad normal de una empresa debe utilizarse el mayor número posible de herramientas disponibles a tal efecto.

En este sentido, a nadie se le escapa que la seguridad ha de entenderse desde una perspectiva integral que no desdeñe ningún evento relevante, ya sean estos físicos o lógicos, reales o potenciales, tradicionales o de nuevo cuño, o relacionados con la seguridad y la reputación de la compañía. Por supuesto, en este grupo se encuentra uno de los principales elementos que impactan en la estabilidad de una empresa, desde una doble dimensión física/lógica por un lado, y que ataca a la seguridad y a la reputación de una empresa al mismo tiempo: el fraude.

En este ámbito necesitamos una aproximación que tenga la ventaja de que permita acceder a un conjunto muy amplio de información, sin que ello se convierta en un problema, en primer lugar, si uno no es capaz de discernir qué subconjuntos de la misma son importantes para una organización y por qué, y en segundo, si se permite que la sobreabundancia de datos se convierta en una fuente de incertidumbre. Para superar este inconveniente, que es quizá el más importante al que nos enfrentamos en la sociedad de la información, está a nuestra disposición una herramienta de generación de conocimiento para permitir una toma de decisiones en ventaja informativa: la inteligencia.

Fraude como amenaza

Las tipologías de fraude que afectan a las empresas son muchas y variadas, y prácticamente existe una variante para cada tipo de actividad económica. Sin embargo, el común denominador de todas ellas es el daño financiero que recibe la compañía afectada, con un rango que comienza en unos pocos euros, en el caso de pequeñas operaciones esporádicas u oportunistas, y acaba en pérdidas millonarias provocadas por esquemas fraudulentos expertos y consolidados. El daño que provoca el fraude a las empresas que se trata aquí es el relacionado con la seguridad y la reputación corporativa.

La seguridad de una compañía puede verse menoscabada por los efectos del fraude, siempre que entendamos el concepto de seguridad de un modo comprehensivo. Por ejemplo, estrategias para evitar el pago por la adquisición de productos o el disfrute de servicios suponen un perjuicio para el sistema destinado a la defensa de los activos de la organización. No son actividades ofensivas –o al menos lo son sólo en el espectro económico–, pero ponen en entredicho la fortaleza de la compañía frente a vectores de amenaza externos.

Este aspecto es mucho más evidente cuando lo enfocamos hacia la otra dimensión de la seguridad, la lógica, que como ya se ha apuntado es tan importante como la primera. Para incidir en esta idea se suele utilizar el ejemplo de que seguridad física y lógica son dos caras de una misma moneda, pero en realidad una imagen que funciona mejor es la de imaginarlas como el anverso y reverso de una pieza textil, donde dos patrones diferentes de hilado acaban por generar un solo producto que no se puede dividir en partes sin que pierda su integridad como todo.

421_fraude

Así, cualquier intrusión en el perímetro defensivo lógico de una empresa, incluso cuando la finalidad de la misma no es causar un daño –de nuevo, al menos ninguno más allá del económico–, es un ejemplo claro. En este caso, son los sistemas de seguridad lógica los que se ven puestos en entredicho.

Evidentemente, el riesgo asociado al fraude, como amenaza a la seguridad, puede ser de diversa condición, ya que las actividades fraudulentas también lo son. No es lo mismo una intrusión en, por ejemplo, una estación de metro motivada por la intención de no pagar el coste del billete, que una infiltración en los sistemas informáticos cuyo objetivo sea la adquisición de información interna que pueda permitir estrategias de fraude más avanzadas. Además del objetivo, estas actuaciones pueden diferenciarse por su naturaleza, en el sentido de si se producen de manera esporádica, aprovechando ventanas de oportunidad aleatorias, o si son resultado de tácticas sólidas nacidas del conocimiento experto de las debilidades del perímetro defensivo corporativo.

Por otro lado, el fraude es una amenaza de primer orden para la reputación corporativa. Pensemos en el efecto creado por un individuo que se dedique de manera continua a verter en diferentes medios contenido falso sobre aspectos claves de una compañía tales como su política de precios, sus estrategias de contratación, planes de expansión, etc., utilizando para ello una falsa identidad que lo identifique como parte de dicha compañía. O, por ejemplo, los derivados de que un grupo se organice para suplantar la identidad de los empleados que, como los agentes comerciales, tienen contacto directo con los clientes –reales y potenciales–, generando daños económicos para estos últimos.

La potencia de fuego de esta amenaza se amplifica además mediante el uso de técnicas y herramientas que ya no son novedad y que se pueden agrupar bajo el paraguas del término ‘ciberfraude’. En esencia, el ‘ciberfraude’ es la puesta al día de prácticas delictivas antiguas mediante el uso de las modernas tecnologías de comunicación: phishing, vishing, pharming, etc. Son todas actividades fraudulentas que se apoyan en el uso de técnicas de ingeniería social en el ciberespacio. Los efectos de las mismas sobre la seguridad y la reputación de una compañía tienen un potencial devastador.

Inteligencia como respuesta

Un aspecto que no puede obviarse en torno al fraude/‘ciberfraude’ (que como las seguridades física y lógica no deberían separarse) es el elevado número de esquemas fraudulentos que se han desarrollado en paralelo al avance de la tecnología. Este factor está asociado también al aumento del caudal de datos –convertidos información cuando son tratados– que se producen cada segundo en los círculos externo e interno de cualquier empresa. En un contexto de ‘infoxicación’ puede producirse un aumento del nivel de incertidumbre que impida la reacción rápida de una compañía ante una amenaza. Para paliar dicha inconveniencia se hace necesario potenciar la generación de conocimiento para permitir una toma de decisiones en ventaja informativa, extremo en el que la inteligencia –con cualquiera de los apellidos que quiera añadírsele: económica, estratégica, de seguridad, reputacional, etc.– se muestra como herramienta de trabajo indispensable. 

La inteligencia, cuando “es el producto obtenido tras aplicar a la información técnicas de análisis, de forma que resulte útil al decisor a la hora de tomar sus decisiones con el menor nivel de incertidumbre posible, siguiendo el ciclo de inteligencia” (Diccionario LID de Inteligencia y Seguridad, 2013), basa su fortaleza en la acumulación de conocimiento sobre uno o varios temas concretos. Esa debe ser la finalidad de un sistema de inteligencia, pues el valor añadido que aporta a compañías que ya cuentan con avanzados sistemas tecnológicos y herramientas informáticas no es otro que la capacidad de los analistas para obtener, discriminar y poner en relación grupos de contenidos cuyo significado serían pasados por alto sin esta labor de análisis. Es decir, sirve de poco contar con todos los datos necesarios sobre esquemas de fraude que puedan estar afectando a nuestra compañía (tipología, origen, cantidad, etc.) si no se pueden separar de la gran cantidad de ‘ruido’ que hay a su alrededor y de entender su significado en el presente y sus implicaciones para el futuro.

Por ello, un servicio de inteligencia bien entrenado y experto en la materia que interese a una organización, en este caso la lucha contra el fraude, puede ofrecer un segundo nivel de ventajas informativas, proyectadas en este caso hacia el futuro –prospectiva– y que pueden elevar el nivel de seguridad de la organización y cuidar de su reputación . De este modo, la inteligencia añade a su capacidad de generar conocimiento una dimensión anticipatoria que se inserta en los esfuerzos proactivos de las empresas por mantener niveles de seguridad elevados sobre sus activos, sean estos infraestructuras, personas, procesos o información.

En definitiva, se presente la amenaza que se presente, la respuesta ha de ser holística, con la inteligencia jugando un papel destacado en la misma. El servicio de inteligencia debe ser una parte del sistema de seguridad de la organización, trabajando a su vez de manera integral en torno a las fases jerarquizadas del ciclo de inteligencia.

Suplemento Temático: Los nuevos retos del Director de Seguridad

 


Fuente: Seguritecnia
Fecha: 2015

   Mas artículos de Carlos Blanco Torres       Otros Expertos   

Este experto ha sido visto por 1050 personas.