1. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
25º Encuentro Anual
AUDITORIA EN EMPRESAS

2. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

3. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Fabián Descalzo (fdescalzo@bdoargentina.com)
Socio y DPO de BDO en Argentina del Departamento de Aseguramiento de
Procesos Informáticos (API). Posee 30 años de experiencia en el área de gestión
e implementación de Gobierno de Seguridad de la Información, Gobierno de TI,
Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para
el cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio.
Docente en la Universidad Argentina de la Empresa – UADE, del Instituto
Tecnológico Buenos Aires (ITBA), en la Universidad Nacional de Río Negro y
Docente en Sistemas de Gestión IT, Seguridad de la Información y Auditoría IT
para TÜV Rheinland.
Autoridad del Comité de Seguridad Patrimonial y Seguridad de la Información en
AmCham Argentina, Miembro Titular del Comité Directivo y Presidente de la
Comisión de Educación de ISACA Buenos Aires Chapter, Miembro de la Asociación
Latinoamericana de Privacidad, de la Asociación Argentina de Ética y Compliance,
y del Comité Científico del IEEE (Institute of Electrical and Electronics Engineers)

4. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
“La Dirección debe
comprender y
abordar la
ciberseguridad como
un riesgo estratégico
y empresarial, no
solo como un riesgo
de TI”

5. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
1900 1951
W. Edwards Deming
Luego de la 2da guerra mundial, prolifera la
cultura de calidad japonesa y de sus productos a
nivel mundial
2000
Primeros ataques desde Internet
Procesos distribuidos, internet y crecimiento dependencia
tecnológica, Proveedores, dispositivos extraíbles
Transformación
digital (Industria 4.0)
2020
Ataques a red corporativa
Ataques a defensa, tecnología mobile, fraude online,
riesgos internos, privacidad, IoT, Teletrabajo
Sistema de Producción
Toyota (TPS)
Just In Time,
Kanban, PDCA
Surge por la necesidad de las
empresas de adaptarse al cambio en
las demandas de sus clientes
Reportó que hay más de 6.500.000
usuarios de billeteras virtuales en el
país. Las personas multiplicaron el
uso de este tipo de plataformas en
un rango de entre 120 y 800%
2025
80 % de los procesos de
negocio serán automatizados
PREVIO A LA PANDEMIA, GARTNER ESTIMABA QUE EN
2020 EL 60% DE LOS NEGOCIOS DIGITALES SUFRIRÁN
GRANDES FALLOS DE SEGURIDAD

6. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

7. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Más del 80% de los CEOs
Canadienses mencionana
los ciberataques como una
de las amenazas principales
para el potencial
crecimiento de su empresa
Fuente: Informe de amenazas 2022
de BlackBerry

8. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

9. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

10. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
“En la actualidad, los negocios tienen 15 veces más probabilidades de tener un
ciberataque que de sufrir un incendio o un robo.“
Fuente: FORBES Argentina + World Economic Forum
Se filtraron los datos de más de 300 mil
cuentas de Mercado Libre. La compañía
reconoció que hubo un acceso no autorizado
al repositorio de su código fuente
Los ciberdelincuentes clonaron la voz del
director de un banco de Hong Kong, para
autorizar la transferencia de US$35 millones a
cuentas fraudulentas.
https://www.forbesargentina.com/money/ciberseguros-cuales-
son-riesgos-nuevas-oportunidades-ofrece-industria-n17136
Durante 2022, el país sufrió más de 3.200 millones de intentos de ciberataques. Esto
incluyó tanto a empresas privadas como a organismos estatales

11. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
El incremento del uso de canales digitales y compras a través de canales
e-commerce o marketplace fueron las dos variables que propiciaron los
ciberataques
De un total de 240.100
víctimas, 92.199 personas
sufrieron fraudes a través
de sus tarjetas bancarias, y
28.863 personas sufrieron
estafas bancarias
Más del 50% de los
ataques
informáticos fueron
contra los clientes
bancarios
A nivel mundial, el 61% de
los bancos incrementan su
presupuesto en respuesta a
ataques informáticos
Cada 39 segundos hay un ataque
informático, situación que se acrecentó a
partir del 2020, año en que se empezaron a
incrementar las transacciones virtuales,
como consecuencia del confinamiento por la
pandemia del Covid 19.
FUENTE: ESET Security

12. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
IoT
Internet of Things
IT
Information Technology
OT
Operational Technology
Colaboradores
Externos
Cliente
VECTORES DE FRAUDE
Colaboradores
Seguridad
digital

13. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
LOS ESPECIALISTAS DE FRAUDE IDENTIFICAN UN CICLO DE 12- 18 MESES DESDE LA FUGA DE UN DATO HASTA LA
REALIZACION DEL FRAUDE
1.Fuga de datos
Top 8 de causas :
i. Credenciales débiles
ii. Vulnerabilidades de
aplicaciones
iii. Malware, ingeniería social
iv. Malospermisos de datos
v. Insider
vi. Ataque físico
vii. Configuración incorrecta
2. Venta
La data es vendida en el Darkweb a
especialistas en ingeniería de datos y
análisis
3. Enriquecimiento
Los criminales combinan la información con otras fuentes de datos (ej. Redes sociales)
4. Pruebas
ej.. probar que la
tarjeta de crédito
funciona, mirar ratings
de crédito, etc..
5. Segmentación
Segmentar data en factores como calidad,
completitud, riqueza, etc.
6. Monetización
Empacado y vendido en la Darkweb a
especialistas de fraude
7. Despliegue
Especialistas de fraude utilizan
los datos para…
Pedir dinero
prestado
Declarar
impuestos
Reclamar
beneficios
sociales
Crear billeteras
móviles
Hacer reclamos
de seguros
Vender activos
de las victimas
Desocupar
cuentas
bancarias
Usar/vender
puntos de
lealtad
bienes y
servicios
Comprar Solicitar
documentosde
identidad
Crear tarjetas
falsas
Políticas de
efectivo
Usode cuentas
Retail/Telco
Clonación/
cambio de SIM
card
Crear cuentas
de
Telco/Bancos
8. Reutilizar
Los datos se reutilizan combinándose con fraudes
pasados
Fuente: Hernán Carrascal

14. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
 Definiciones y ámbito de aplicación
 Proporcionalidad
 Gobernanza y mantenimiento de registros
 Fase previa a la externalización
 Acuerdos de subcontratación
 Seguridad de los datos
 Derechos de acceso, auditoría e información
 Subcontratación
 Respuesta a incidentes y planes de continuidad del negocio
Auditoría participar
desdeel inicio
Favorece a construir
un entorno auditable
Favorece a construir controles
eficientes y eficaces

15. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

16. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

17. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

18. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

19. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

20. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Inversión en
estrategias de
ciberseguridad
Áreas de auditoría
y control interno
Mitigación de
riesgos y seguridad
de la información

21. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Organización
CIO
Aplicaciones
Arquitectura IT
Infraestructura
y operaciones
IT
CISO
Arquitectura
de seguridad
Seguridad y
gestión del
riesgo
Auditoría
Auditoría de
procesos
Auditoría de IT
y Seguridad
Gestión del Fraude
Monitoreo y
control
Investigaciones

22. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Estrategia de ciberseguridad
IAM CIAM
Cliente
Colaboradores
Gestión de la
identidad
Gestión de
riesgos
Gestión de
Accesos
Gestión de la
Trazabilidad

23. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

24. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
“Los directores deben
comprender las
implicancias de los
riesgos cibernéticos en
relación con las
circunstancias
específicas de su
empresa.”

25. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

26. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

27. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Fuentes:
1. The Institute of Internal Auditors (IIA) - The OnRisk 2022
2. OEA - Manual de supervisión de riesgos cibernéticos para juntas corporativas 2022
 CIBERSEGURIDAD: Organizaciones suficientemente
preparadas para gestionar ciberamenazas que podrían
causar interrupciones, daños a la reputación y daños
económicos.
 CULTURA: Si las organizaciones entienden, monitorear
y administrar el tono, los incentivos y las acciones que
impulsan el comportamiento deseado frente a la
ciberseguridad y seguridad de la información.
 INNOVACIÓN DISRUPTIVA: Si las organizaciones están
preparadas para adaptarse y/o capitalizar la
disrupción.
PRINCIPALES riesgos que afectarána las organizaciones
(sin importarsu tamaño) en 2022
Principios sobre riesgos al
negocio relacionados con
ciberseguridad, y como
enfrentarlos
(actualización y gestión
del riesgo de
ciberseguridad en toda la
empresa, implicancias
legales, discutir en las
juntas estos riesgos, así
como el presupuesto y
recursos para mitigarlos)
Manual de supervisión de riesgos cibernéticospara
juntas corporativas

28. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

29. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Entender
el
contexto

30. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

31. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
CONTROLES
DE
CIBERSEGURIDAD
Factor Humano

32. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
 Auditorías de ciberseguridad según el objetivo
 Auditorías forenses
 Auditorías web
 Auditorías de código
 Hacking ético
 Análisis de vulnerabilidades
 Auditoría de redes
 Auditorías de ciberseguridad según la
información proporcionada (test de
penetración)
Auditorías de
ciberseguridad

33. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
HERRAMIENTAS DE GESTIÓN DE
PROCESOS DE AUDITORÍA
 Herramientas de gestión
documental
 Software de gestión de auditoría
 Herramientas de reconocimiento
óptico de caracteres (OCR)
 Herramientas de analítica
 Herramientas de reportes
 Herramientas de muestreo
 Herramientas de tratamiento de la
información y circularizaciones
 Herramientas de análisis de redes
sociales
 Herramientas de automatización
(minería de procesos, contratos,
segregación, etc.)
 Herramientas de control de
inventario
TENDENCIAS
 Cloud
 Social media
 Analytics
 AI & RPA
 Ciberseguridad
IMPACTO EN LAS AUDITORÍAS
 Revisión de procesos utilizando
sistemas
 No trabajar solo con muestreos
 Modelos analíticos y datos
sectoriales
 Identificación de riesgos futuros y
oportunidades
 Profundización de trabajos de
aseguramiento

34. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Inteligenciaartificial
LOS SISTEMAS DE IA
SON SUSCEPTIBLES DE
SUFRIR CIBERATAQUES
 1950 Alan Turing define condiciones
 1956 John McCarth crea el término AI
 1970/1980 Investigaciones
 1996 DeepBlue gana al campeón de ajedrez Kaspárov
No deja de ser un sistema de
software en el que se utilizan
datos, modelos y algoritmos
de procesamiento
ATAQUES MAS COMUNES A LA AI
 Inyección de datos
 Manipulación de datos (salida)
 Manipulación de datos (entrada)
 Corrupción de la lógica (algoritmo de machine learning para alterar el proceso de aprendizaje)
 Reconstrucción de datos para violar la privacidad de un individuo
 Extracción, para cambiar el modelo y generar pérdida de integridad
https://insights.sei.cmu.edu/blog/adversarial-ml-threat-matrix-adversarial-tactics-techniques-and-common-knowledge-of-machine-learning/
ATAQUES QUE UTILIZAN LA AI
 Ataques de phishing perfeccionados y personalizados
 Malware y ransomware más efectivo
 Data poisoning
 Robo de datos personales y suplantación de identidad
 Deepfakes
QUE DEBEMOS AUDITAR EN LA AI
 Privacidad
 Equidad/ Causalidad
 Trazabilidad y Robustez/Fiabilidad
 Gobernanza del dato

35. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo

36. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
MEJORAR LA IDENTIDAD Y
AUTENTICACIÓN
Las tecnologías de autenticación están
evolucionando más rápido (certificados móviles,
digitales, identificación federada, biometría, etc.)
convirtiéndose en la norma
APRENDER
Desarrollar nuevas alianzas y formas de trabajar en todo el
ecosistema. Imaginar nuevas formas de resolver problemas de
fraude
DISEÑAR EL MODELO OPERATIVO
DE GESTIÓN DE FRAUDE
Diseñar componentes de gobierno, procesos,
estructura y fuerza de trabajo, tecnología y cultura
GESTIONAR EL TALENTO
Modificar y entrenar los equipos para que se ajusten a las nuevas
tecnologías y creen valor real para el negocio
INVERTIR EN AUTOMATIZACIÓN DE
CONTROLES
Know Your Customer (KYK) controles y procesos de
supervisión para conocer a nuevos y antiguos clientes.
Análisis de comportamiento, geolocalización, autenticación
basada en riesgos (SOC, CIAM, IAM, OSINT, OFD, etc)
CREAR UNA ARQUITECTURA
ORGANIZACIONAL
Alinear diferentes procesos de la organización
orientados a los roles, datos y privilegios de acceso y
procesamiento de datos con una visión de riesgos
relacionados con el fraude
PILARES PARA LA
PREVENCIÓN DEL
FRAUDE

37. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
 Tener una visión de auditoría en función de negocio y procesos
 Invertir en capacitación sobre nuevas tecnologías para el control interno
 Capacitar a los auditores en la tecnología utilizada en la compañía
 Incluir los riesgos de ciberseguridad en el plan estratégico de auditoría
 Discutir asuntos relacionados con el fraude y la ciberseguridad en toda la
organización
 Mejorar los diferentes procesos de la organización con una visión de riesgo y
prevención del fraude
 Mantener registros de problemas de ciberseguridad y ataques de fraude
 Fortalecer el monitoreo de los contratos y la gestión con terceros
 Fomentar el autocontrol y la autogestión
 Implementar y mantener controles
Principales tips

38. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Fabián Descalzo
Socio
fdescalzo@bdoargentina.com