AUDITORÍA FORENSE APLICADA A LA TECNOLOGÍA: Uno de los aspectos importantes dentro de las investigaciones forenses desarrolladas por los auditores forenses y en este caso los peritos y auxiliates expertos ingenieros de sistemas y otros relacionados a ello y en especial con el trabajo de los fraudes y delitos con los impuestos, este tema es interesante leerlo, se los comparto, de Accountingtoday. 

"Solo toma tres segundos.
Por: Ranica Arrowsmith
Ondas del mundo real
Los cibercriminales están ganando.
El lunes 6 de mayo, los contadores de todo Estados Unidos se despertaron para comenzar su semana laboral solo para descubrir que sus productos CCH, un conjunto de impuestos y otras soluciones ofrecidas por Wolters Kluwer Tax & Accounting, se habían reducido. La confusión se convirtió en pánico, que luego se convirtió en ira poco después de que se informara a los clientes que la compañía había sido víctima de un ataque cibernético.
Los foros de medios sociales comenzaron a iluminarse con preguntas, discusiones, conjeturas y rumores. Las pocas horas que transcurrieron entre que los productos quedaron fuera de línea y el primer conjunto de comunicaciones que el proveedor de software envió a sus clientes fueron suficientes para causar un frenesí, especialmente porque la fecha límite de impuestos del 15 de mayo para los clientes exentos de impuestos se avecinaba a la vuelta de la esquina. La comunicación de Wolters Kluwer fue escasa, pero en los próximos días la compañía anunció que el paquete de productos CCH había sido objeto de un ataque de malware, que los productos se habían desconectado para proteger los datos de los clientes tan pronto como se descubrió la violación, y que permanecerían fuera de línea hasta que la situación fuera considerada segura.
Claro, los clientes de CCH, no solo en EE. UU. Sino en todo el mundo, estaban enojados. Pero la respuesta de Wolters Kluwer fue rápida y lo que los expertos en ciberseguridad consideran prudente.
El experto en ciberseguridad, Wesley McGrew, director de operaciones cibernéticas de Horne Cyber, dijo que es casi imposible saber cómo comienza realmente esa brecha. Dar a conocer información solo cuando se sabe con certeza es la mejor manera de que una empresa responda, en lugar de hacer declaraciones que quizás deba editar y retirar posteriormente.
"La investigación requiere la participación de personal de emergencia y especialistas de seguridad para descubrir cómo ingresaron los [delincuentes cibernéticos] en primer lugar", dijo. "Poner los sistemas fuera de línea se hizo por prudencia: no puede haber personas que suban archivos sin saber exactamente cuál es la situación".
"Todo indica que [Wolters Kluwer Tax & Accounting] está haciendo lo que deberían hacer", dijo McGrew, cuya compañía es una subsidiaria de Top 100 Firm Horne, que usa productos de CCH y se vio afectada por la interrupción. "Respondiendo e investigando, y parecen volver a estar en línea de una manera mesurada, lo que probablemente sea inteligente. Lo peor que puedes hacer es apresurarte para volver a conectarte, tener una infección y filtrar aún más datos ".
Los medios de comunicación, incluyendo Accounting Today , tardaron aproximadamente 24 horas en recoger la historia de CCH, principalmente porque la información era limitada. Pero tan pronto como comenzó la cobertura, el estado de ánimo entre los contadores que participan en las redes sociales y los lectores de Accounting Today se calmó. Una semana después de la interrupción del servicio, Wolters Kluwer negoció con el Servicio de Impuestos Internos para ofrecer extensiones a organizaciones sin fines de lucro y otras entidades cuyos contadores se habían visto afectados por la interrupción del servicio.
"Entiendo que los detalles son escasos", publicó un usuario del sitio web de discusión y agregación de noticias Reddit. Haz lo que puedas, cuando puedas. - Botas de enfriamiento por aquí en Virginia.
La reacción a una brecha en cualquier industria generalmente sigue un patrón: confusión, pánico, ira, y luego alguna versión de rendición. De alguna manera, esta forma muy humana de lidiar con una crisis cibernética es apropiada, dado que la culpa de muchos de ellos no reside en la tecnología, sino en las personas.
La cuestión es que las mismas cualidades que hacen que un empleado sea excelente (buen servicio al cliente, empático, compasivo) también los convierten en un objetivo primordial para los piratas informáticos, porque la forma más fácil de acceder a los sistemas y datos no es a través de microchips o descifrado de códigos. , pero simplemente preguntando. La piratería de ingeniería social sigue siendo la principal preocupación de seguridad en la profesión contable en la actualidad. Esto incluye métodos como el phishing, una táctica mediante la cual los ciberdelincuentes envían correos electrónicos de sondeo que se hacen pasar por clientes u otras entidades conocidas, que buscan datos confidenciales, acceso a cuentas o solo dinero. Entonces, ¿el camino más rápido para los malos actores? El toque humano.
"Para la mayoría de sus lectores, el phishing es probablemente la amenaza número 1", dijo David Ross, director y líder de práctica de seguridad cibernética en la empresa Top 100 Baker Tilly. "Ha habido un gran aumento en los últimos meses en los intentos de phishing, que están específicamente dirigidos a un individuo. La prevención es un enfoque doble: en el aspecto técnico, implementa sistemas para filtrar y capturar la mayor cantidad de estos correos electrónicos [que pueda] para que no lleguen al destinatario final; el otro es la capacitación del personal ”.
Una de las formas en que las consultorías de seguridad ayudan a sus clientes a establecer una postura de seguridad sólida es a través de las pruebas de penetración, también conocidas como pruebas de lápiz. Además de la penetración de los sistemas informáticos, la búsqueda de puntos débiles, las consultorías a veces se muestran físicamente en la oficina de un cliente y comienzan a probar de forma encubierta al personal para detectar vulnerabilidades.
"Las personas útiles son un objetivo real", dijo David Trepp, socio de aseguramiento de TI en BPM, una de las 100 empresas más importantes de California que también brinda pruebas de lápiz y otros servicios de seguridad. “Es un problema intratable para las empresas de servicios en general que contratan a personas que tienen una mentalidad de servicio. "La única forma de superar eso es a través del entrenamiento vigilante, y proporcionar buenos controles y sistemas que no les permitan meterse en problemas".
El personal servicial responderá más fácilmente a un extraño que apela a su disposición de ser de ayuda, explicó Trepp. Por ejemplo, puede hacerse pasar por una persona de TI que solo necesita echar un “vistazo rápido” a la computadora portátil de un contable para “sacar a su jefe de la espalda” y hacer una corrección rápidamente.
"Todo lo que necesitamos son unos tres segundos con una computadora no bloqueada, sin supervisión, o un empleado dispuesto a creer que somos soporte técnico, o un conector de red en vivo en algún lugar donde no hay nada conectado, y estamos dentro", explicó Trepp.
Son estas pruebas en persona y la gamificación del proceso de capacitación, las que tienen más éxito en hacer que el personal sea lo más inmune posible a los piratas informáticos. Los videos y las conferencias no son tan efectivos como ejecutar una estafa, ya que no tienen el efecto del mundo real de engañar a un aprendiz, explicó Trepp.
"Las estadísticas sugieren que el ser humano promedio cae en un ataque de ingeniería social unas cuatro veces, con entrenamiento, antes de que se" inoculen "contra ese tipo de ataque", dijo Trepp.
Tres segundos Cuatro ataques exitosos. Las probabilidades parecen apiladas contra los buenos.
"Soy el gerente de auditoría de nuestra firma, y ​​la gente puede llamarme un dinosaurio, pero nunca permitiré que nuestros procesos de estados financieros dependan de un sistema de nube, especialmente después de esta prueba", dijo otro usuario de Reddit luego de la interrupción de CCH. "Tampoco almacenamos nuestros datos fiscales en la nube".
Esta declaración es emblemática de uno de los mayores problemas de la ciberseguridad hoy en día, y es que los contadores, y los abogados, banqueros, médicos y propietarios de pequeñas empresas no son expertos en tecnología; Son expertos en sus propios campos. Lo que significa que los ciberdelincuentes de carrera, ya que los expertos en tecnología que utilizan los mismos avances tecnológicos a los que tiene acceso el resto del mundo, siempre estarán un paso (o más) por delante de la curva.
El comentario de este usuario de Reddit no se basa en una comprensión clara y completa de cómo funciona la tecnología en la nube; en muchos casos, la computación en la nube es más segura que el software en las instalaciones por varias razones, sino más bien por temor. Y el miedo podría impedir que la profesión contable avance rápidamente para adoptar nuevas tecnologías como la inteligencia artificial y la cadena de bloques, permitiendo a los ciberdelincuentes avanzar con formas más rápidas e inteligentes de acceder a la información de la compañía, mientras que la profesión se queda atrás en las medidas preventivas.
"Esto es una verdad, y odio admitirlo, pero siempre estamos detrás", dijo Jon Murphy, vicepresidente de ciberseguridad de RGCybersecurity, una compañía de Alliantgroup. “Los malos no tienen sindicatos, las leyes laborales, los requisitos reglamentarios, tienen términos ilimitados, pueden trabajar en cualquier lugar, es una mentalidad. Les encanta descifrar y romper cosas. Siempre están encontrando fallas y hazañas antes de que podamos solucionarlos ".
Murphy, quien también asesoró a los presidentes Bill Clinton y George W. Bush sobre estrategias de seguridad cibernética, dijo que un concepto militar llamado "defensa en profundidad" es el camino a seguir para las firmas de contabilidad de cualquier tamaño. Del mismo modo que un castillo tendrá muchas capas de protección, desde un foso hasta un puente levadizo, las almenas, el aceite en ebullición y los soldados, el sistema de seguridad debe tener múltiples métodos de prevención.
"Ahora tenemos blockchain y un aprendizaje profundo para ayudarnos", dijo Murphy. “Blockchain surgió del lado oscuro para ocultar ganancias que no se han obtenido, pero estamos empezando a usarlo para siempre. Pero la prevención no es solo una cuestión tecnológica, tiene que ser un enfoque programático holístico: personas, procesos, datos, tecnología ".
Norm Comstock, director gerente de UHY Advisors, una de las 100 principales empresas que también brinda servicios de consultoría tecnológica, aconseja a las pequeñas empresas que asignen su presupuesto cibernético de manera inteligente entre la prevención, la detección y la recuperación.
“Si está gastando $ 1 millón en ciberseguridad de manera acumulativa, ¿dónde se está implementando ese $ 1 millón? ¿Todo sobre prevención? Si no se gasta nada en la detección, se crea una falsa sensación de seguridad ", explicó. “En una historia muy reciente, alguien tan grande como Marriott Starwood en realidad sufrió una brecha significativa durante un período de cinco años. "Los métodos de prevención estaban en su lugar, pero las herramientas de detección no estaban siendo aprovechadas, mantenidas o tripuladas para que realmente pudieran interrumpir una gran brecha".
La violación a la que se refiere Comstock fue descubierta por Marriott en 2018 y afectó los registros de hasta 500 millones de clientes. La cadena de hoteles más tarde reveló que los piratas informáticos habían tenido acceso a su sistema desde 2014.
Comstock aconseja a los contadores prestar mucha atención a los "entornos mixtos", como el uso de teléfonos celulares personales para negocios en un entorno de oficina BYOD (traiga su propio dispositivo). Al mezclar aplicaciones de consumo y aplicaciones empresariales en un solo dispositivo, compartiendo memoria y otros recursos, un usuario puede descargar malware por accidente durante el uso personal que luego puede infectar fácilmente los datos empresariales.
Las empresas pequeñas pueden consultar recursos como el Instituto Nacional de Estándares, que proporciona un Marco de Ciberseguridad (www.nist.gov/cyberframework), y asociaciones de la industria como el Instituto Americano de CPA (consulte el Centro de Recursos de Ciberseguridad de AICPA en www.aicpa .org) para ayudar a construir una postura de ciberseguridad que proteja a sus clientes y se ajuste a su presupuesto.
Puede parecer una tarea insuperable enfrentar a los ciberdelincuentes y salir en la cima. A veces parece que una brecha es inevitable, y solo es una cuestión de cuándo. Pero las empresas de servicios profesionales están desarrollando una red de asesores, software y recursos para desarrollar la ciberseguridad y fortalecer su postura de seguridad. El primer paso es tomar el ciberespacio seriamente, porque todo lo que se necesita para borrar toda una vida de buena voluntad del cliente y los datos es de tres segundos. A"

Comentarios

Publicar un comentario

Gracias por sus comentarios y sugerencias para mejorar y hacer partícipe de temas de interés a todas las disciplinas. Éxitos en sus actividades personales y profesionales junto a sus sere queridos.

Entradas populares de este blog

Como redactar objetivos.

Este es un texto que les servirá para definir Objetivos en la preparación de un memorando de Planeaciòn en una Auditoria, sin importar el tipo o para cualquier otro trabajo que emprenda:                                                      "Algunos consejos para redactar objetivos Autor: Luis Martín Trujillo Flórez. El siguiente documento recopila algunos conceptos, opiniones (personales y de expertos), metodologías, consejos, sobre la redacción de objetivos; su única pretensión es ayudar a redactar objetivos claros y bien estructurados, pues un objetivo es la finalidad y dirección de un estudio o una labor determinada, por consiguiente, redactarlos de la mejor manera puede generarnos múltiples ventajas. Es un documento en construcción porque está abierto a todos los aportes, sugerencias, ideas, ejemplos, que puedan complementarlo. Inicialmente habla sobre la redacción propia de un objetivo para un proyecto de investigación, ─también nos puede servir para cualquier tipo de proy
Leer más

Auditoria Forense Aplicada a la Tecnología.

Por: CP Álvaro Fonseca Vivas RESUMEN El objetivo de este escrito, es un aporte del resultado de un trabajo realizado con estudiantes de la Universidad San Martín sobre la Auditoría Forense Aplicada a la Tecnología, según los avances de los medios electrónicos de datos en forma virtual y de la globalización de la información, el trabajo que debe realizar el profesional en auditoría y de revisoría fiscal, con el apoyo de otros profesionales de la ingeniería de sistemas u electrónica y que como modo de investigación debe intervenir en el desarrollo de fraudes con las herramientas de la tecnología. La finalidad del mismo es que se pueda ver el trabajo que desde la profesión de la Contaduría Pública se puede hacer. Palabras claves: Tecnología, técnico, ingeniería, informática, fraudes informáticos, hacker, cracker, auditoría, forense. ABSTRAC The aim of this writing, it is a contribution of the result of a work realized with students of Sant Martin University on the Forensic Audit
Leer más

ISRS (International Standard Related Servises - Normas Internacionales de Servicios Relacionados)

A raíz de la expedición del Decreto 302 de 2015 es bueno que iniciemos a ver algunas de las normas que no manejamos en nuestras operaciones de Auditoria o como herramienta en la Revisoria Fiscal, intentare con ello mostrarlas para que busquemos y profundizamos más y si es posible en nuestras labores las apliquemos, estas son: ISRS (International Standard Related Servises - Normas Internacionales de Servicios Relacionados) Introducción 1. El propósito de esta Norma Internacional sobre Servicios Relacionados (ISRS) es establecer normas y proporcionar lineamientos sobre la auditoria 1 profesional responsabilidades cuando un trabajo para realizar procedimientos convenidos respecto a la información financiera se lleva a cabo y sobre la forma y contenido de el informe que el auditor emite en relación con dicha participación. 2. Esta Norma Internacional está dirigida a los compromisos en materia de información financiera. Sin embargo, puede proporcionar una guía útil para los compromi
Leer más