combate del fraude con big data - acis
TRANSCRIPT
COMBATE DEL FRAUDE CON BIG DATA
Santiago Acosta – Julián RíosXVI Jornada Internacional de Seguridad Informática ACIS
XVI JornadaInternacionaldeseguridadInformática
AGENDA DE LA PRESENTACIÓNCOMBATE DEL FRAUDE CON BIG DATA
1. OBJETIVOSQué se espera de la presentación
2. INTRODUCCIÓNQué es el Big Data
3. FRAUDESClasificación según el tipo
4. ESTADÍSTICASCifras que arroja la industria
5. METODOLOGÍASBig Data con el Triángulo del fraude
6. MADUREZCombatir el fraude con innovación
7. ANALÍTICAAnalítica el Triángulo del Fraude
8. CASO DE USOAplicación en la industria
9. PREGUNTASHaga su pregunta
XVI Jornada Internacional de seguridad informática ACIS
XVI JornadaInternacionaldeseguridadInformática
DATO VS INFORMACIÓNQué es un dato y cómo éste se convierte eninformación y cuáles son sus propiedades ycaracterísticas.
QUÉ ES EL BIG DATACuál es su definición y cuáles son sus fuentesprincipales de datos, con ejemplos orientados alas tecnologías.
ACERCA DE LOS FRAUDESQué son, cómo se explica la ocurrencia de unfraude, cómo se clasifican y cómo se vería unfraude en acción.
ESTADÍSTICAS DE DETECCIÓNUn recorrido por un estudio que muestra elresultado de una encuesta sobre cómo esdetectado el fraude en la actualidad.
TRIÁNGULO DEL FRAUDE Y ANALÍTICALa suma del Big Data con la metodología dedetección de fraudes basada en el triángulo delfraude aplicada a la industria.
CASO DE USOEjemplo ficticio de cómo se combina lametodología del combate del fraude con el BigData y la analítica.
OBJETIVOSQUÉ SE ESPERA DE LA PRESENTACIÓN
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
REGISTRO REGISTRO REGISTRO REGISTRO REGISTRO
Adelanto Comisión Adelanto Cierre Factura
10 60 31 12 80
Pedro Juan Pedro Juan pedro
Medellín Bogotá Bogotá Cali Cali
Dificultad Oportunidad Ayuda Diseño Construcción
$49 $99 $149 $199 $249
REGISTROSQUÉ INFORMACIÓN PRESENTAN ESTOS REGISTROS
0
10
20
30
40
50
60
70
80
30 60 90 180 250
INFORMACIÓN
La información se obtiene a partir de losdatos, con utilidad, oportunidad, validez ytransferencia.
Los datos se convierten en informacióncuando se recolectan, capturan, sealmacenan, se clasifican, se totalizan, seordenan, se validan y por último cuando setransfieren.
INFORMACIÓN VS DATOSDATOS EN ALTO VOLUMEN Y VELOCIDAD
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
Pedro
Juan
PER
LOG
M2M
REDLOGSRegistros de softwareFirewall, Servidor web, Sistema operativo, Servidores, Routers, Aplicaciones, Telefonía IP.
M2MMáquina a máquinaMedidores, sensores de temperatura, presión, sonido, magnitudes.
PERSONASComunicacionesFacebook, Chat, Correo electrónico, fotografía, búsquedas en Internet, telefonía.
TransmisionesChat, Correo electrónico, FTP, SSH, HTTP, VoIP, Networking, TCP, UDP.
ALTO VOLUMEN Y VELOCIDADEl Big Data, Macrodatos o Datos Masivos es un concepto que hace referencia alalmacenamiento de grandes cantidades de datos y a los procedimientos usadospara encontrar patrones dentro de ellos.
BIG DATAQUÉ ES Y PARA QUE SIRVE
RED
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
SEGÚN LA ASOCIACIÓN DE EXAMINADORES DEL FRAUDE
Es cualquier acción que pretendasacar una ventaja deshonestasobre otra persona.
Existen los fraudes internos yexternos en contra de lasorganizaciones, pero aldemásexisten fraudes que se cometencontra individuos (personasnaturales).
El fraude ocurre por lacombinación de tres elementos:
• La presión• La oportunidad• La justificación
Contemplados en el tríangulo delfraude, inventado por el Dr.Donald Cressey.
“
“Las personas más confiables se convierten en violadores de confianza”
DEFINICIÓN DE FRAUDEQUÉ ES Y QUÉ SIGNIFICA COMETER UN FRAUDE
XVI JornadaInternacionaldeseguridadInformática
Justificación
Presión
Oportunidad
HIPÓTESIS
Las personas de confianza se convierten en violadores de confianza cuandose conciben a sí mismos teniendo un problema que no es compartible, sonconscientes de que este problema puede ser resuelto en secreto violando laposición de confianza y son capaces de aplicar a su propia conducta en esasituación, verbalizaciones que les permitan ajustar sus concepciones de símismos como personas confiables.
POR QUÉ OCURRE EL FRAUDEPOR QUÉ LAS PERSONAS COMETEN FRAUDE
XVI JornadaInternacionaldeseguridadInformática
‘‘’’ Dr. Donald Cressey
Corrupción, apropiación indebida
de activos, falsificación.
CLASIFICACIÓN DE FRAUDESPOR LA INDUSTRIA SEGÚN SU TIPO
INFORMÁTICOAtentados contra
sistemas de información, redes y
comunicaciones
OCUPACIONALIntencionalidad de enriquecimiento personal en un ambiente corporativo
COMÚNUso de
computadores como medio o
como un fín para cometer un
fraude
Los computadores son usados para cometer fraudes, ya sea informáticos
u ocupacionales
Phishing, Malware, Cracking, Accesos
ilegales, daño informático, piratería.
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
EL FRAUDE EN ACCIÓNUSANDO COMPUTADORES COMO MEDIO PARA PLANEARLO
No me siento cómoda con esto, pero así
podremos pagar la cuota inicial del apartamento, he
trabajado muy duro y me lo merezco
ÁNGELAESPOSA DE FERNANDOACME S.A – GERENTE
FINANCIERA
‘‘’’
Ángela, aprovecha que despidieron a varios en
auditoría y dile a tu cliente que consigne el
adelanto en nuestra cuenta, luego lo
arreglas
FERNANDOESPOSO DE ANGELA
ACME S.A - OPERADOR DE MAQUINARIA
‘‘’’
Solo asegúrate de no dejar rastros,
empecemos por no hablar por este medio.
Cuidado con la jefe, esa señora se las huele
todas
FERNANDOESPOSO DE ÁNGELA
ACME S.A - OPERADOR DE MAQUINARIA
‘‘’’
CONVERSACIÓN PLANEANDO FRAUDE
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
0
5
10
15
20
25
30
35
40
45
50
Controles Auditoría Accidentalmente Denuncias
2013 2014 2015
ESTADÍSTICASCÓMO ES DETECTADO EL FRAUDE (ACFE - REPORT TO THE NATIONS)
DENUNCIASLineas éticas, correos anónimos, declaraciones, testimonios, cartas, periodismo
ACCIDENTALMENTEError de un sistema, descuadre, escucha de una conversación, comentario de pasillo
AUDITORÍA Y CONTROLES INTERNOSRed Flags, auditorías externas e internas de sorpresa y alertas automáticas
Más del 65% de los fraudes son detectados debido a las denuncias anónimasy a que accidentalmente las personas se dán cuenta. El resto equivale atécnicas tradicionales de control y auditoría – ACFE, Report to The Nations.
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
OPORTUNIDADAbuso de su posición deconfianza y capacidad paracometer el fraude
JUSTIFICACIÓNNadie saldrá herido, es por unabuena causa, en la empresatambién hacen cosas poco éticas
PRESIONPor cumplir una meta comercial,por pagar una deuda, para enviarlos hijos a la universidad
EL TRIÁNGULO DEL FRAUDEPARA EXPLICAR SU OCURRENCIA
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
PRIMER PASO
Identificar y clasificar las fuentes de datos con las que cuenta una
organizaciónSEGUNDO PASO
Seleccionar cuáles fuentes proporcionan datos que se puedan correlacionar con el triángulo del
fraude
TERCER PASO
Recoger datos de dichas fuentes seleccionadas y enviarlos a una
plataforma de analíticaQUINTO PASO
Realizar analítica vertical, horizontal y diagonal para prevenir
y detectar el fraude
CUARTO PASO
Construir modelos predictivos y alertas de presencia de conductas
que obedezcan a un fraude
BIG DATA + TRIÁNGULO DEL FRAUDEBIG DATA COMBINADO CON EL TRIÁNGULO DEL FRAUDE
XVI JornadaInternacionaldeseguridadInformática
MODELO TRADICIONAL BASADO EN REGLAS
Con datos estructurados, elmodelo tradicional basado enreglas donde se ejecutan querys yse hace analítica, tiene bajo gradode detección del fraude Con datos estructurados, el
modelo de analítica visual se basaen gráficas y a través de suinterpretación tiene un alto nivel dedetección del fraude
Con datos no estructurados, labúsqueda de palabras en fuentesde datos puede arrojar buenosresultados pero con un álto índicede falsos positivos Con datos no estructurados,
se convierte en el modelo másconfiable de analítica, el que tieneel ratio de menos falsos positivos yalto grado de detección del fraude
MODELO DE ANALÍTICA VISUAL
BUSQUEDA DE PALABRAS
SEMÁNTICA
MODELO DE NIVEL DE MADUREZEN LA ANALÍTICA DE DATOS ORIENTADA AL FRAUDE
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
2016-1Score FTA
2016-2Score FTA
2016-3Score FTA
2016-4Score FTA
2016-5Score FTA
2016-6Score FTA
2016-7Score FTA
2016-8Score FTA
2016-9Score FTA
2016-10Score FTA
30.2
90.7
Existe la analítica horizontal, vertical y diagonal y cada unahace referencia a cómo se examinan los datos, si de formagráfica, en tablas de datos o con una combinación de las dos.
ES UN EXAMEN DETENIDOLa analítica es el análisis, examen oestudio detenido de una cosa,normalmente datos.86%
QUE ES LA ANALÍTICADEFINICIÓN Y APLICACIÓN
Diagnóstico de riesgos de fraude Link a
Procesos de negocio
Link a personasLink a
unidades de negocio
Recolecte sus datos
Establezca un tiempo
límite
Realice el análisis
ANALÍTICA BASADA EN RIESGOSABORDAR EL COMBATE DEL FRAUDE CON ANALÍTICA BASADA EN RIESGOS
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
Big Data
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
0
1
2
3
4
5
6
Presión Oportunidad Justificación
ANALÍTICA DEL TRIÁNGULODESPUÉS DE IDENTIFICAR PROCESOS, AREAS Y PERSONAS
ANÁLISIS DE PRESIÓNÁngela está sometida a una presión por partede su esposo y una cuota inicial que pagar
ANÁLISIS DE OPORTUNIDADEs la gerente financiera, puede hablar con losclientes y ordenar pagos a otras cuentas
ANÁLISIS DE JUSTIFICACIÓNHa trabajado muy duro, lleva muchos años en la compañía, se lo merece, luego lo arregla
Angela
Scor
eFr
aud
Tria
ngle
Anal
ytic
s
Semana 1 Semana 2 Semana 3 Semana 4
LA COMPAÑÍA RECIBIÓ UNA DENUNCIA ANÓNIMA
• En respuesta, la compañía decidió iniciar unainvestigación interna
• Ha identificado los riesgos, los procesos y las unidadesde negocio aparentemente involucradas
• Han seleccionado una muestra de 170 personas• Se ha capturado en un periodo de 30 días conductas
de esas personas cuando usan su correo, chat,internet, las aplicaciones corporativas y documentos
• Realizaron analítica con el triángulo del fraude sobre 10millones de registros, construyendo el modelopredictivo y diseñando la solución de software
• A través de la analítica resolvieron que 5 hombres y 9mujeres, durante 30 días cometieron frauderelacionado con la denuncia anónima
EMPRESA FICTICIA ACME S.AVÍCTIMA APARENTE DE FRAUDE OCUPACIONAL, POR DENUNCIA
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
FUENTES DE DATOS DISPONIBLESQUÉ FUENTES DE DATOS TENÍA LA ORGANIZACIÓN
CORREO Y CHATEmail entrante, saliente,
borradores, spam, con filtros, eliminados y
chat corporativo
NAVEGACIÓNForos, motores de
búsqueda, páginas web, formularios de contacto
y soporte web
APLICACIONESDesarrollos In-house, notas a facturas, ERP, contabilidad, relacionamiento con el cliente, acuerdos de pago
DOCUMENTOSArchivos compartidos en la nube privada, Word, Excel, Powerpoint y de texto plano
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
PRESIÓN JUSTIFICACIÓN
OPORTUNIDAD A LA MEDIDA
CONSTRUCCIÓN MODELO PREDICTIVOUSO DE LA SEMÁNTICA SOBRE LAS FUENTES DE DATOS
PRIMER ELEMENTOPRESIÓN
SEGUNDO ELEMENTOOPORTUNIDAD
TERCER ELEMENTOJUSTIFICACIÓN
CUARTO ELEMENTOA LA MEDIDA
No dejes que el auditor se entere, no dejes huellas, me siento incómoda, no quiero ser parte de ello, no ético
Fee adicional, adelanto de efectivo, comisión no registrada, sin inspección, sin factura, por debajo
Me lo merezco, todo el mundo lo hace, lo arreglaré después, no hiere a
nadie, no me pagan lo que merezco
Venganza, nepotismo, avaro, no se lo merece, robo, descuido, última
oportunidad, sucio
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
SOFTWARE ANALÍTICA
En el ecosistema Opensource se encuentransoluciones abiertas, muchas gratuitas, quepermiten implementar una infraestructura paraejecutar la Analítica del Triángulo del fraude a lamedida.
Para este caso de uso se trabajó con el Stack ELK(Elasticsearch, Logstash y Kibana) junto con elsistema de alertas ElastAlert y el cosechadorconductual The Fraud Explorer, que recogió todosaquellos datos de las fuentes disponibles del ladode la organización en tiempo real.
DISEÑO DEL SISTEMACÓMO EXTRAER DATOS DE LAS FUENTES Y PROCESARLOS
Logstash y Elasticsearch
The Fraud Explorer
Kibana y ElastAlert
Apache Hadoop
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
5
9
ANALÍTICA APLICADACUÁNTOS Y QUIÉNES PODRÍAN ESTAR COMETIENDO EL FRAUDE
ANALÍTICA HORIZONTAL—La analítica horizontal fue la primera fase delanálisis, se enfocó principalmente en diversasrepresentaciones visuales de los datos quepermitían contar con una impresión general deconductas relacionadas con el fraude de unamanerá rápida y sencilla.
ANALÍTICA VERTICAL—La siguiente fase del análisis pasó por profundizardentro de los indicadores seleccionados, así seabordó la denominada analítica vertical. Esta faserequirió dejar por un momento la representacióngráfica y bucear por las diferentes tablas de datosque alimentaban los gráficos.
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
EFICIENCIACon los modelos tradicionales se hubiera optado por otros métodosde investigación, como Análisis Forense Digital, Empleado Encubiertoó Due-Dilligence, con altos costos y limitantes en tiempo y recursospara una muestra de 170 personas. Con el Big Data y la Analítica delTriángulo del Fraude se resolvió en menos tiempo, con una muestramás amplia, con menos recursos e índices más altos de detección.
FOCALIZACIÓNEl exito de la investigación radicó en abordar el problema desde unpunto de vista basado en riesgos, identificando primero procesos,departamentos, personas y fuentes de información, para despuéspasar al uso de herramientas opensource gratuitas y así enfocar losrecursos de la compañía en labores consultivas de analítica deltriángulo del fraude.
RESULTADO FINALLECCIONES APRENDIDAS
XVI JornadaInternacionaldeseguridadInformática
XVI Jornada Internacional de seguridad informática ACIS
Julián RíosCertified Fraud ExaminerMedellín, [email protected]
Santiago AcostaSeguridad InformáticaMedellín, [email protected]
Teléfonos+57 (4) 322 2663+1 (442) 2486410
Email / Página [email protected]
XVI JORNADA INTERNACIONAL SEGURIDAD INFORMÁTICACOMBATE DEL FRAUDE CON BIG DATA