Bogotá, Colombia – Julio 2015 – Easy Solutions, la compañía de la Protección Total contra Fraude®, dio a conocer sus recomendaciones para que los usuarios hagan más efectivo su programa Anti-Fraude.
De acuerdo a un reciente estudio, 62% de las compañías fueron víctimas de fraude en el 2014, con un 19% de ellas sufriendo pérdidas por más de U$250.000 dólares. Además de las evidentes pérdidas tangibles, existen impactos negativos adicionales que no pueden ser medidos, incluyendo la pérdida de confianza en las acciones, el desánimo entre los empleados, y aún más importante, los severos daños a la reputación de una organización y su capacidad para generar o mantener negocios.
En la actualidad, aquellas organizaciones interesadas en fortalecer su seguridad anti-fraude deben ir más allá de las simples contraseñas y las campañas educativas. Para ganar esta batalla y disminuir los riesgos, las instituciones deben implementar una estrategia integral de seguridad compuesta de tecnologías y políticas que puedan ser aplicadas de forma flexible y personalizada.
Otro estudio encontró que el tiempo promedio para contener un ciberataque es de 31 días, con un costo promedio para la organización de U$639,462 dólares durante dicho periodo. Múltiples métodos de detección incrementan las probabilidades de descubrir un ataque, lo cual a su vez reduce la cantidad de dinero perdido en un incidente.
Es por esta razón que los programas anti-fraude deben ser diseñados con una variedad de componentes que permitan establecer un esquema multinivel que prevenga efectivamente el fraude sin importar las partes involucradas o los canales, creando así procesos fuertes y seguros imposibles de evadir o modificar. Este es el fundamento básico de un sólido programa anti- fraude: los procesos. Al implementar un programa, todos los procesos deben ser evaluados por los equipos de seguridad para asegurarse de que en realidad sean seguros y de que las posibles debilidades sean mínimas.
El Equipo de Operaciones de Easy Solutions, dedica una gran parte de su tiempo en reunirse con diferentes instituciones para evaluar sus operaciones de seguridad y brindar las recomendaciones correspondientes para mejorar sus programas.
“En lo referente a la prevención del fraude, no existe una única solución que podamos acomodar a cada organización, sino una serie de pasos que tomamos de acuerdo a cada situación. Así hemos comprobado una y otra vez que estos pasos les permiten a los equipos anti-fraude desplegar programas con un ROI medible e inmediato, mientras minimizan el riesgo de fraude a corto y largo plazo”, afirmó David López, director de Ventas para Latinoamérica de Easy Solutions.
Los pasos para mejorar los programas incluyen:
- Análisis de Brechas de Fraude
El paso más importante a la hora de implementar un programa anti-fraude es contar con un entendimiento total del estado actual del fraude electrónico. Es siempre muy interesante cuando el jefe de seguridad de una entidad menciona que nunca han sufrido ningún tipo de ataque. En la mayoría de casos, las instituciones pierden dinero debido al fraude, y ni siquiera lo saben. Primero, es necesario analizar todas las operaciones expuestas a los clientes e identificar que pérdidas son producto del fraude para obtener métricas y entender como el fraude está afectando a la entidad. Este proceso le permite a las organizaciones validar la efectividad de su programa anti-fraude. Adicionalmente, es importante llevar a cabo un Análisis de Causa Raíz para determinar que métodos están empleando los criminales para comprometer los sistemas de la institución. Un
Análisis de Causa Raíz ofrece a las compañías valiosa inteligencia, incluyendo que elementos debe proteger y donde debe mirar con mayor atención una vez se implemente el programa. En el momento en que la entidad logra un claro entendimiento de que canales están siendo afectados, cuáles son los procesos más vulnerables y cuál es el monto real de las pérdidas, entonces ya está lista para seguir adelante. Entender sus debilidades es vital para implementar un programa anti-fraude altamente efectivo que se ajuste a las necesidades de su institución.
- Modelado y Análisis de Procesos
Todos los procesos expuestos a los usuarios finales pueden llegar a ser blanco de los cibercriminales, incluyendo abrir una cuenta en el sitio web, pagar una tarjeta de crédito mediante la aplicación móvil o actualizar los datos personales en la sucursal telefónica.
Como resultado, las decisiones basadas en riesgo deben hacerse teniendo en cuenta aspectos como el nivel de exposición, la probabilidad relativa de riesgo para cada proceso y la facilidad para mitigar cada vulnerabilidad potencial.
Todo proceso debe ser modelado, analizado y protegido teniendo en cuenta: Seguridad, Funcionalidad y Facilidad de Uso. Normalmente es muy común que al mejorar uno de estos aspectos se impacte negativamente en los otros dos, por lo tanto tomar decisiones teniendo en cuenta estos tres aspectos es una cuestión de equilibrio.
- Evaluación de Riesgo de Fraude
Las organizaciones implementan tecnologías anti-fraude según reconocen los riesgos y las oportunidades para el fraude. En otras palabras, solo porque una organización no tenga conocimiento de un ataque en particular, no quiere decir que el fraude no exista.
La protección de los clientes de una organización debe ser un proyecto proactivo que identifique y mida el riesgo antes de que las amenazas concretas se materialicen. Las Evaluaciones de Riesgo de Fraude se diseñan alrededor de las características específicas de cada institución (tamaño, modelo de negocios, tipo de industria), con el objetivo de cubrir cualquier vector potencial de ataque. La evaluación usualmente involucra la examinación de todas las políticas y controles establecidos, además de todas las métricas que la organización pueda tener para medir la incidencia del fraude.
Las Evaluaciones de Riesgo de Fraude deben incluir todos los posibles escenarios de fraude que incluyan pérdidas financieras y daños a la reputación con el fin de identificar, medir y mitigar el fraude electrónico con efectividad. Dicho esto, si bien un programa de este tipo está diseñado para mitigar incidentes de fraude, nunca estará en capacidad de prevenir la totalidad del fraude.
- Un Proceso de Supervisión
Un programa anti-fraude requiere dedicación y supervisión. No es suficiente implementar procesos y tecnologías seguras sin también establecer un adecuado monitoreo de su desempeño. Los programas anti-fraude más efectivos de la actualidad son constantemente supervisados mediante métricas específicas, las cuales ayudan a los directivos de la institución a medir y definir estándares sobre incidentes de fraude reales. Por ejemplo, si un programa es implementado y existe una falla, la velocidad a la cual es encontrada tiene un impacto directo sobre la mitigación.
Un proceso de supervisión efectivo es crucial para mitigar riesgos y reducir el fraude. Este tipo de procesos suministra un amplio panorama sobre riesgos potenciales y ayuda a definir un plan de respuesta. Este proceso debe ser ejecutado de forma regular con la orientación de la junta directiva de la institución y un comité auditor independiente.
- Tenga en Cuenta la Experiencia de un Especialista Certificado
No hay que asumir que todos los equipos de seguridad están capacitados para manejar la selección y posterior implementación de soluciones anti-fraude efectivas. Un especialista en fraude ofrece cierto conjunto de habilidades que combina el conocimiento sobre complejas operaciones bancarias con un profundo entendimiento del Cómo y el Porqué del fraude. Existen varias formas de acceder a este tipo de talento: contratar a alguien tiempo completo, identificar un consultor externo, o identificar a algún miembro de su organización que pueda ser entrenado y certificado.
Las organizaciones deben ser tanto proactivas como agiles a la hora de implementar un
programa; ya que entre más rápido lo hagan, mejor será su posición para identificar vulnerabilidades y reducir los riesgos a los que están expuestas. Es importante entender que un programa anti-fraude efectivo debe ser personalizado para cada institución y que no existe una solución genérica que cubra las necesidades de cualquier tipo de empresa.