Estudar fraudes analógicas nos ajudam a conter as fraudes digitais?

Estudar fraudes analógicas nos ajudam a conter as fraudes digitais?

AL
Abian Laginestra
Compartilhar:

A resposta é: Sim! Com certeza!

Decidi escrever um artigo sobre fraudes indo além dos aspectos de Tecnologia da Informação, porquê para compreendermos aquilo que estamos lidando atrás do hardening, das configurações de firewalls e políticas de segurança, existe um universo motivacional desconhecido por muitos de nós, especialistas em contramedidas da defesa cibernética em nossas empresas. Acredito ser positivo pensarmos além dos bits´s para desempenharmos melhor nossas funções de segurança.

Dois conceitos necessários:

  • Definição de fraude: O termo “fraude” normalmente inclui atividades como roubo, corrupção, conspiração, peculato, lavagem de dinheiro, a corrupção e a extorsão.
  • A gestão de riscos é definida como o “processo de compreensão e gestão dos riscos os quais a entidade está inevitavelmente sujeita a uma tentativa de alcançar os seus ‘objetivos corporativos’ (CIMA Official Terminology, 2005).

A definição legal varia de país para país.

Fraude envolve essencialmente o ganho pessoal para si mesmo e / ou o motivacional em gerar uma perda para o outro.

Embora essas definições possam variar, em geral são baseadas em torno destes temas.

Enquanto apenas as grandes fraudes são apanhadas pela mídia, enormes somas são perdidas por todos os tipos de empresas como um resultado do elevado número de fraudes menores que são cometidas diariamente.

As pesquisas nesse setor são realizadas regularmente em uma tentativa de estimar a verdadeira escala e o custo nos negócios e na sociedade.

De maneira geral existe um quadro completo com toda a extensão do problema, mas essas pesquisas indicam que predominantemente dentro das organizações, esse fato continua a ser um problema grave e dispendioso.

Os riscos de fraude só aumentam, devido a crescente globalização, mercados mais competitivos, rápida evolução da tecnologia e períodos dificuldade econômica.

Alguns dados sobre esse evento:

  • Em geral as organizações podem estar perdendo 7% do seu volume de negócios anual (algo maior que seu budget de TI);
  • A corrupção custa à economia global cerca de $ 1,5 trilhão por ano;
  • Apenas uma pequena percentagem das perdas com fraudes são recuperadas pelas organizações;
  • Uma percentagem elevada das fraudes são cometidas por executivos sêniores;
  • A ganância é um dos principais motivadores para cometer fraude;
  • Os fraudadores costumam trabalhar na função de financiamento;
  • Perdas com fraudes não se restringem a um determinado setor, País ou cultura;
  • A prevalência das fraudes aumentam nos Países de mercados emergentes.

Apesar do sério risco que a fraude apresenta ao negócio, muitas organizações ainda não têm sistemas formais e procedimentos para prevenir, detectar e responder a ela. Embora nenhum sistema seja completamente à prova de falhas, existem medidas que podem e devem ser tomadas para evitar o evento e torná-lo menos atraente.

Um bom trabalho de Gestão de Riscos inclui atualizações para refletir mudanças no ambiente jurídico, na agenda de governança, no uso da tecnologia, a fim de combater o problema permanente das fraudes.

Exemplos de fraude incluem:

  • Crimes de indivíduos contra consumidores, clientes ou empresários, por exemplo, deturpação da qualidade dos produtos;
  • Comércio de itens no modelo pirâmide financeira;
  • Fraude de empregados contra os empregadores, por exemplo, fraude na folha de pagamento;
  • Falsificação de declarações de despesas; furtos de numerário, bens ou propriedade intelectual, contabilidade falsa;
  • Crimes por empresas contra investidores, consumidores e empregados, por exemplo, declaração financeira fraudulenta;
  • Venda de produtos falsificados como genuínas;
  • Não pagamento de contribuições fiscais ou da Seguridade social;
  • Crimes contra as instituições financeiras, por exemplo, usando cartões de crédito roubados;
  • Crimes por pessoas físicas ou empresas contra governo, por exemplo, concessão de benefícios sociais usando laranjas.
  • e-crimes por pessoas que usam computadores e tecnologia para cometer crimes, por exemplo, phishing; spam; direitos autorais crimes; pirataria; fraudes de engenharia social.

Por que as pessoas cometem fraudes?

Não há uma única razão por trás do fato e qualquer explicação precisa se levar em conta vários fatores. Olhando da perspectiva do fraudador, é necessário ter:

  • Motivação dos potenciais infratores;
  • Condições nas quais as pessoas podem racionalizar os seus crimes com potenciais distancias físicas;
  • A oportunidades para cometer os crimes;
  • Adequação percebida de metas para a fraude;
  • Capacidade técnica do fraudador;
  • Risco real vs risco esperado da descoberta após a fraude ser realizada;
  • Expectativas das consequências da descoberta (incluindo consequências não-penais, tais como perda de emprego e estigma família, produtos do crime confiscado e sanções penais tradicionais);
  • Consequências reais de descoberta.

Um modelo bastante comum e simplificado reúne uma série destes aspectos, é o chamado Triângulo fraude. Este modelo é construído na premissa de que a fraude é mais provável quando existe a resultante positiva de uma combinação de três fatores: motivação, oportunidade e racionalização.

Motivação

Em termos simples, a motivação é tipicamente baseada na ganância ou necessidade. Algumas pessoas com bons princípios podem cair em má companhia e desenvolver gostos mais sofisticados, o que acaba a tenta-los a cometer a fraude.

Outros por sua vez, são tentados quando confrontados com ruína financeira de qualquer maneira.

Oportunidade

Em termos de oportunidade, a fraude é mais provável em empresas onde há um sistema de controle interno fraco, falta de segurança sobre a propriedade da empresa, pouco medo da exposição e probabilidade de detecção, ou poucas e claras regras políticas em matéria de comportamento aceitável.

Racionalização

Muitas pessoas obedecem a lei porque acreditam nela ou têm medo de ser humilhadas ou rejeitadas pelas demais pessoas do seu círculo social. Naturalmente se preocupam caso sejam apanhados. No entanto, algumas pessoas podem ser capazes de racionalizar ações fraudulentas como:

  • Necessário – especialmente quando feito para o negócio e manutenção de um regime financeiro no qual se acredita;
  • Inofensivo – porque a vítima é grande o suficiente para absorver o impacto e isso não causará grandes danos;
  • Justificado – porque “a vítima merecia isso” ou ‘Porque eu estava sendo maltratado.”

Para uma organização, os riscos são eventos potenciais que influenciam na conquista dos seus objetivos. A gestão de riscos é principalmente a compreensão da natureza de tais eventos e, quando eles representam ameaças, a criação de planos positivos para mitigá-los.

A gestão de riscos é um processo cada vez mais importante em muitas empresas assim como os preceitos da boa governança corporativa. Nos últimos anos, a questão da governança corporativa tem sido uma área de grande preocupação em muitos países, em função da necessidade de evitar as fraudes contra pessoas, entidades e governos.

Finalizando:

Um ataque direto de negação de serviços nunca é, por exemplo, finito nele mesmo. Há fatores motivacionais do atacante. Bem como quando um executivo usa sua senha root da tabela RBAC (Role-Based Access Control) de sistema de gestão, que não foi catalogada ou expirada.

A fraude antes de ser concretizada tem muitos dos fatores discutidos acima e conhecê-los ajudará os times de security e compliance a ter métodos e processos mais realísticos e aderentes.

Se conecte com o Abian Laginestra no LinkedIn! (https://www.linkedin.com/in/abian-laginestra/)

E para seguir bem informado sobre tecnologia e como se desenvolver na sua carreira, continue acompanhando o blog da TechDegree.