Banker's Review Online - Fraud Management: Οικονομική αντικατασκοπεία 2.0

Παρασκευή, 21 Σεπτεμβρίου 2018

ΔΙΑΦΗΜΙΣΗ

Risk Management

Fraud Management: Οικονομική αντικατασκοπεία 2.0

10 Σεπτεμβρίου 2010 | 11:47 Γράφει η Ειρήνη  Γκίνη Topics: Special Reports

Οι αρχαίοι έλληνες έλεγαν «ουδέν κρυπτόν υπό τον ήλιο». Οι σύγχρονοι επίγονοί τους προσθέτουν «...και από το facebook και τα χιλιάδες blogs». Ποτέ η πληροφορία δεν ήταν τόσο πολύτιμη, και τόσο ευάλωτη ταυτόχρονα, όσο στην εποχή του web 2.0 και των social media. Ο Don Ulsch εξηγεί το πώς οι τράπεζες μπορούν να διαφυλάξουν τα του οίκου τους μακριά από αδιάκριτα και κακόβουλα βλέμματα.

Με την ανάπτυξη των νέων τεχνολογιών επικοινωνίας, όπως είναι τα smart phones και τα social networking sites, η βιομηχανική κατασκοπία γνωρίζει νέες εποχές δόξας. Ως εναλλακτικοί ...James Bond, οι διευθύνσεις εσωτερικού ελέγχου και κανονιστικής συμμόρφωσης των τραπεζών καλούνται να κρούσουν εγκαίρως τον κώδωνα του κινδύνου, στα πρώτα ύποπτα κρούσματα απάτης.

Δεδομένα σε κίνδυνο
Δεν υπάρχει αμφιβολία ότι οι νέες τεχνολογίες δίνουν σημαντική ώθηση στην παραγωγικότητα των εργαζομένων, επιτρέποντάς τους να αποσυνδέσουν την εργασία τους από το χώρο του γραφείου τους. Μπροστά σε αυτό το πλεονέκτημα, πολλές επιχειρήσεις τείνουν να παραγνωρίζουν τις επιπλοκές που μπορεί να προκαλέσει η επεξεργασία επιχειρηματικών δεδομένων εκτός του δικτύου της επιχείρησης. Ακόμα χειρότερα, αναγνωρίζουν ότι ο κίνδυνος είναι υπαρκτός, μετά το πρώτο κρούσμα υποκλοπής, όταν είναι πλέον πολύ αργά.

Μέσα στην τετραετία 2005-2009, έχουν υποκλαπεί παραπάνω από 250 εκατομμύρια φάκελοι, οι οποίοι περιείχαν ευαίσθητα δεδομένα (σύμφωνα με το Privacy Rights Clearinghouse). Τα αεροδρόμια στις ΗΠΑ μόνο δέχονται πάνω από 10.000 καταγγελίες για κλεμμένα laptops, σε εβδομαδιαία βάση. Δεδομένα που είναι αποθηκευμένα σε Personal Digital Assistants (PDAs), κινητά τηλέφωνα και laptops, και δεν προστατεύονται από τεχνολογίες κρυπτογράφησης, θέτουν καθημερινά εταιρείες σε κίνδυνο.

Κι αυτό είναι μόνο η αρχή. Οι περισσότερες επιχειρήσεις ακόμα δεν έχουν αντιληφθεί πλήρως τον κίνδυνό που ελλοχεύει στα social networking sites. Κι όμως, εκατομμύρια μέλη του Facebook αναφέρουν στα προφίλ τους το όνομα της εταιρείας τους, αναρτώντας συχνά πληροφορίες που δεν θα έπρεπε να είναι δημόσια γνωστές. Χαρακτηριστική είναι η περίπτωση ενός στελέχους από τη διεύθυνσης πληροφορικής μιας αμερικάνικης τράπεζας, που αποκάλυψε ευαίσθητα δεδομένα για το δίκτυο συστημάτων σε έναν... χάκερ, ο οποίος εμφανίστηκε ως ένας φιλικός και πρόθυμος να βοηθήσει blogger!

Οι διευθύνσεις εσωτερικού ελέγχου πρέπει να πιέσουν για την εφαρμογή κανόνων όσον αφορά τη χρήση των νέων τεχνολογιών, σε επίπεδα συμμόρφωσης, ασφάλειας δεδομένων και νομικής προστασίας. Το πιο σημαντικό, όμως, είναι να διασφαλίσουν ότι οι εργαζόμενοι στις τράπεζες είναι καλά πληροφορημένοι για τους κινδύνους που εγκυμονεί η απρόσεκτη προβολή της τράπεζας σε social networking sites και blogs.

Η εκ των έσω απειλή
Τα δεδομένα των επιχειρήσεων δεν κινδυνεύουν μόνο από κακόβουλους χάκερ και οικονομικούς κατασκόπους, αλλά και από άτομα από το εσωτερικό της επιχείρησης.

Για να προστατεύσουν την τράπεζα αποτελεσματικά από τους εντός των τειχών κινδύνους, οι εσωτερικοί ελεγκτές πρέπει να απαντούν, σε τακτική βάση, στις κάτωθι ερωτήσεις:

  • Ποια είναι η πρόσβαση κάθε εργαζόμενου σε πληροφοριακά δεδομένα της τράπεζας;
  • Εχουν την πρόσβαση σε δεδομένα που απαιτείται για να κάνουν την δουλειά τους; Μήπως έχουν παραπάνω απ' όση χρειάζεται;
  • Πόσοι έχουν πρόσβαση σε εμπιστευτικά δεδομένα;
  • Ελέγχει κάποιος τη χρήση δεδομένων από τα στελέχη;
  • Υπάρχει κάποιος που να ελέγχει αυτόν που ελέγχει την πρόσβαση στη χρήση δεδομένων;

Γεγονός είναι ότι η σημαντικότερη απειλή για τα πληροφοριακά δεδομένα των τραπεζών (αλλά και των επιχειρήσεων εν γένει) είναι οι δυσαρεστημένοι και απομακρυθέντες υπάλληλοι. Προτεραιότητα για τις διευθύνσεις εσωτερικού ελέγχου αποτελεί η θέσπιση ερευνητικής διαδικασίας, σε περίπτωση που εντοπιστούν κρούσματα απάτης, με σκοπό τη συλλογή στοιχείων για την δικαστική επίλυση του θέματος.

Με την ανάπτυξη των νέων τεχνολογιών επικοινωνίας, όπως είναι τα smart phones και τα social networking sites, η βιομηχανική κατασκοπία γνωρίζει νέες εποχές δόξας. Ως εναλλακτικοί ...James Bond, οι διευθύνσεις εσωτερικού ελέγχου και κανονιστικής συμμόρφωσης των τραπεζών καλούνται να κρούσουν εγκαίρως τον κώδωνα του κινδύνου, στα πρώτα ύποπτα κρούσματα απάτης.

Δεδομένα σε κίνδυνο
Δεν υπάρχει αμφιβολία ότι οι νέες τεχνολογίες δίνουν σημαντική ώθηση στην παραγωγικότητα των εργαζομένων, επιτρέποντάς τους να αποσυνδέσουν την εργασία τους από το χώρο του γραφείου τους. Μπροστά σε αυτό το πλεονέκτημα, πολλές επιχειρήσεις τείνουν να παραγνωρίζουν τις επιπλοκές που μπορεί να προκαλέσει η επεξεργασία επιχειρηματικών δεδομένων εκτός του δικτύου της επιχείρησης. Ακόμα χειρότερα, αναγνωρίζουν ότι ο κίνδυνος είναι υπαρκτός, μετά το πρώτο κρούσμα υποκλοπής, όταν είναι πλέον πολύ αργά.

Μέσα στην τετραετία 2005-2009, έχουν υποκλαπεί παραπάνω από 250 εκατομμύρια φάκελοι, οι οποίοι περιείχαν ευαίσθητα δεδομένα (σύμφωνα με το Privacy Rights Clearinghouse). Τα αεροδρόμια στις ΗΠΑ μόνο δέχονται πάνω από 10.000 καταγγελίες για κλεμμένα laptops, σε εβδομαδιαία βάση. Δεδομένα που είναι αποθηκευμένα σε Personal Digital Assistants (PDAs), κινητά τηλέφωνα και laptops, και δεν προστατεύονται από τεχνολογίες κρυπτογράφησης, θέτουν καθημερινά εταιρείες σε κίνδυνο.

Κι αυτό είναι μόνο η αρχή. Οι περισσότερες επιχειρήσεις ακόμα δεν έχουν αντιληφθεί πλήρως τον κίνδυνό που ελλοχεύει στα social networking sites. Κι όμως, εκατομμύρια μέλη του Facebook αναφέρουν στα προφίλ τους το όνομα της εταιρείας τους, αναρτώντας συχνά πληροφορίες που δεν θα έπρεπε να είναι δημόσια γνωστές. Χαρακτηριστική είναι η περίπτωση ενός στελέχους από τη διεύθυνσης πληροφορικής μιας αμερικάνικης τράπεζας, που αποκάλυψε ευαίσθητα δεδομένα για το δίκτυο συστημάτων σε έναν... χάκερ, ο οποίος εμφανίστηκε ως ένας φιλικός και πρόθυμος να βοηθήσει blogger!

Οι διευθύνσεις εσωτερικού ελέγχου πρέπει να πιέσουν για την εφαρμογή κανόνων όσον αφορά τη χρήση των νέων τεχνολογιών, σε επίπεδα συμμόρφωσης, ασφάλειας δεδομένων και νομικής προστασίας. Το πιο σημαντικό, όμως, είναι να διασφαλίσουν ότι οι εργαζόμενοι στις τράπεζες είναι καλά πληροφορημένοι για τους κινδύνους που εγκυμονεί η απρόσεκτη προβολή της τράπεζας σε social networking sites και blogs.

Η εκ των έσω απειλή
Τα δεδομένα των επιχειρήσεων δεν κινδυνεύουν μόνο από κακόβουλους χάκερ και οικονομικούς κατασκόπους, αλλά και από άτομα από το εσωτερικό της επιχείρησης.

Για να προστατεύσουν την τράπεζα αποτελεσματικά από τους εντός των τειχών κινδύνους, οι εσωτερικοί ελεγκτές πρέπει να απαντούν, σε τακτική βάση, στις κάτωθι ερωτήσεις:

  • Ποια είναι η πρόσβαση κάθε εργαζόμενου σε πληροφοριακά δεδομένα της τράπεζας;
  • Εχουν την πρόσβαση σε δεδομένα που απαιτείται για να κάνουν την δουλειά τους; Μήπως έχουν παραπάνω απ' όση χρειάζεται;
  • Πόσοι έχουν πρόσβαση σε εμπιστευτικά δεδομένα;
  • Ελέγχει κάποιος τη χρήση δεδομένων από τα στελέχη;
  • Υπάρχει κάποιος που να ελέγχει αυτόν που ελέγχει την πρόσβαση στη χρήση δεδομένων;

Γεγονός είναι ότι η σημαντικότερη απειλή για τα πληροφοριακά δεδομένα των τραπεζών (αλλά και των επιχειρήσεων εν γένει) είναι οι δυσαρεστημένοι και απομακρυθέντες υπάλληλοι. Προτεραιότητα για τις διευθύνσεις εσωτερικού ελέγχου αποτελεί η θέσπιση ερευνητικής διαδικασίας, σε περίπτωση που εντοπιστούν κρούσματα απάτης, με σκοπό τη συλλογή στοιχείων για την δικαστική επίλυση του θέματος.


Ο δρόμος για την κόλαση είναι στρωμένος με καλές προθέσεις
Ακόμα και τα διαπιστωμένα κρούσματα απάτης σε τράπεζες, τις περισσότερες φορές αποδίδονται σε ανθρώπινο λάθος ή απροσεξία. Είναι όμως έτσι; Μπορούν οι επιχειρήσεις να αποκλείσουν το ενδεχόμενο δόλου;

Οι υπεύθυνοι διαχείρισης ανθρώπινου δυναμικού, διευθυντές πληροφορικής και νομικοί σύμβουλοι συνήθως εφησυχάζουν με τα ισχύοντα πρότυπα ασφαλείας, θεωρώντας τα αρκετά για να αποτρέψουν τις «παρεκκλίσεις» των υπαλλήλων. Αυτό δεν ισχύει για τους εσωτερικούς ελεγκτές, οι οποίοι συχνά αποτυγχάνουν να πείσουν τους συναδέλφους τους στις άλλες διευθύνσεις ότι το παρελθόν των υποψήφιων για πρόσληψη εργαζομένων πρέπει να εξετάζεται εξονυχιστικά.

Πολλές επιχειρήσεις θεωρούν ότι πρέπει να ελέγχουν το παρελθόν εργαζομένων που προορίζονται αποκλειστικά για υψηλόβαθμες θέσεις - για να συνειδητοποιήσουν μια μέρα ότι ένας front line υπάλληλος με κακή πρόθεση και περιορισμένη έστω πρόσβαση σε δεδομένα είναι αρκετός για να κάνει την ζημιά.

Ακόμα και στις περιπτώσεις που εφαρμόζονται έλεγχοι, συχνά είναι αποσπασματικοί και ελλιπείς, αφού οι αναλυτικοί έλεγχοι έχουν και το ανάλογο κόστος. Όμως, οι περισσότερες απάτες σε επιχειρησιακό επίπεδο δεν αναγράφονται πάντα στα επίσημα στοιχεία ποινικών μητρώων...

Το συμπέρασμα είναι ότι οι εσωτερικοί ελεγκτές πρέπει να αναγνωρίσουν την πολυπλοκότητα του επιχειρηματικού περιβάλλοντος σήμερα, και να μεταλαμπαδέυσουν σε κάθε εργαζόμενο της επιχείρησης οτι η προστασία των πληροφοριών περνά και από το δικό του χέρι.

Internal Audit Conference
Ο Don Ulsch θα είναι keynote speaker στο Internal Audit Conference, το οποίο θα πραγματοποιηθεί στις 28 Σεπτεμβρίου, στο αμφιθέατρο OTEAcademy. Με σημαντική εμπειρία σε θέματα βιομηχανικής κατασκοπίας και ασφάλεια δεδομένων, ο Don Ulsch θα μιλήσει για τις κακόβουλες επιθέσεις που δέχονται τα συστήματα ασφαλείας των επιχειρήσεων σήμερα και για τις βέλτιστες πρακτικές στην διαχείριση εμπιστευτικών δεδομένων.

Eχει διατελέσει σύμβουλος του US Army για την ασφάλεια απόρρητων στρατιωτικών πληροφοριών, μέλος του United States Secrecy Commission (ειδικός σε θέματα ασφάλεια στον διαδίκτυο), μέλος του αμερικάνικου Ινστιτούτου Ασφάλειας, με ειδίκευση στο counter-economic espionage, σύμβουλος του γραφείου αντικατασκοπείας του Προέδρου των ΗΠΑ, καθώς και επιστημονικός σύμβουλος του Dan Brown κατά την συγγραφή των βιβλίων «Κώδικας Ντα Βίντσι» και «Ψηφιακό οχυρό».

Στο Internal Audit Conference, o Don Ulsch θα περιγράψει το νέο είδος "τρομοκρατίας" που συνιστά η υποκλοπή οικονομικών πληροφοριών, και θα αναλύσει τον αυξημένο κίνδυνο που αντιμετωπίζουν οι επιχειρήσεις σήμερα, λόγω της ανάπτυξης της τεχνολογίας επικοινωνιών και την μεγαλύτερης πολυπλοκότητας των διαδικασιών. Στο πλαίσιο της παρουσίασης του, θα αναπτύξει την προσέγγιση του “Enterprise Threat Index: Defensive Enterprise Mapping”, η οποία χαρτογραφεί τους πιθανούς κινδύνους που αντιμετωπίζει η κάθε επιχείρηση σήμερα.

Βασισμένο στο "Managing risk in a hostile world", του Don Ulsch, που δημοσιεύθηκε στο περιοδικό Internal Auditor, Απρίλιος 2009.

Banker's Review (T. 017)
« 1 2 »

Έχετε άποψη;
Ο σχολιασμός των άρθρων προϋποθέτει την Είσοδο σας στο Banker's Review Online.
ΔΙΑΦΗΜΙΣΗ

Δείτε ακόμη...

Οι πιο δημοφιλείς ειδήσεις σήμερα

Αυτοί που διάβασαν αυτό διάβασαν επίσης

Τα πιο δημοφιλή Topics

Οι πιο δημοφιλείς ειδήσεις σε αυτήν την ενότητα

Οι πιο δημοφιλείς ειδήσεις σε άλλες ενότητες

ΔΙΑΦΗΜΙΣΗ
ΔΙΑΦΗΜΙΣΗ

Συνεντεύξεις / Πρόσωπα

 
ΔΙΑΦΗΜΙΣΗ

Topics

Συγχωνεύσεις και εξαγορές

Private banking

Πιστωτική κρίση

Credit Risk management

Enterprise risk management

Best work place

Multichannel Strategy

Innovation

International Banking

Outsourcing

©2018 Boussias Communications, all rights reserved. Κλεισθένους 338, 153 44 Γέρακας, info@boussias.com, Τ:210 6617777, F:210 6617778