SlideShare a Scribd company logo

Роль ИТ в выявлении и предотвращении мошенничества на предприятии

Vladimir Matviychuk
Vladimir Matviychuk

Материалы выступления с круглого стола “Корпоративное мошенничество в украинских компаниях: смириться или побороться?”

1 of 24
Download to read offline
Роль ИТ в выявлении и предотвращении мошенничества на предприятии круглый стол “Корпоративное мошенничество в украинских компаниях: смириться или побороться?” 17 декабря 2009
Ожидания украинских топ менеджеров: результаты исследования Ernst & Young Вопрос: Вы ожидаете рост или снижение уровня корпоративного мошенничества в течение следующих нескольких лет? Не знаю Уменьшится значительно Уменьшится 21% 45% незначительно 67% Не изменится 1% 22% Увеличится 4% незначительно 7% Увеличится значительно 17.12.2009 Страница 2 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Треугольник мошенничества Давление Треугольник мошенничества Возможность Оправдание Adapted from Occupational Fraud and Abuse, Joseph T. Wells, Obsidian Publishing Company 17.12.2009 Страница 3 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Введение контрольных мер Оценка риска Упреждение/ Расследование Предотвращение информирование Выявление/ мониторинг 17.12.2009 Страница 4 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Управление рисками мошенничества Управление рисками мошенничества Целевой Риск Правила Внутренний Внутренний Аудит Остаточные Корпоративной Контроль существенные Этики риски мошенничества Риск Риск Риск Расследование Риск Упреждающие Предотвра – Выявление Снижение риска меры щающие меры до приемлемого уровня 17.12.2009 Страница 5 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Программа по управлению рисками мошенничества: 3 линии обороны 1 линия обороны Кодекс корпоративной этики и политики, связанные с ним 2 линия обороны Система внутреннего контроля 3 линия обороны Деятельность службы внутреннего аудита 17.12.2009 Страница 6 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Кодекс корпоративной этики: Первая линия обороны ► На основании оценки возможных рисков, в компании должен быть разработан, принят и доведен до сотрудников Кодекс Корпоративной Этики. Важно – необходима регулярная проверка знаний сотрудников в отношении ККЭ. ► Эффективный ККЭ должен содержать: 1 линия обороны Кодекс корпоративной этики и ► «Упреждающие» элементы (например, наказания политики, связанные с ним за неэтичное поведение) ► «Выявляющие» элементы (например, 2 линия обороны стимулировать сотрудников на сообщение о Система внутреннего контроля фактах неэтичного поведения) ► ККЭ должен основываться на этических ценностях, а 3 линия обороны не регламентированных правилах Деятельность службы ► ККЭ должен акцентироваться на позитивных внутреннего аудита моментах этичного поведения ► ККЭ должен устанавливать честные отношения между сотрудником и компанией (например, предусматривать меры по защите сотрудников в спорных ситуациях) 17.12.2009 Страница 7 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Кодекс корпоративной этики: роль ИТ ► Наличие в компании людей, не понимающих и потому не соблюдающих существующие политики информационной безопасности, может свести на нет все усилия и затраты на защиту информации ► Необходимо внедрение программы повышения осведомленности в области информационной безопасности и проведения соответствующих тренингов для сотрудников компании 17.12.2009 Страница 8 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Система Внутреннего Контроля: Вторая линия обороны ► Эффективная система внутреннего контроля обладает и предотвращающими и выявляющими элементами, но не упреждающими. Она направлена в основном на подавление факторов группы «Возможность». ► Эффективность СВК наиболее четко поддается 1 линия обороны измерению, кроме того, этот вопрос наиболее Кодекс корпоративной этики и проработан методологически (например, COSO) политики, связанные с ним 2 линия обороны Система внутреннего контроля 3 линия обороны Деятельность службы внутреннего аудита 17.12.2009 Страница 9 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Система Внутреннего Контроля: роль ИТ ► Общие ИТ контроли ► Внедрение технологий по предотвращению утечки информации (DLP). ► DLP технологии не панацея! ► В компании должны быть внедрены контроли, позволяющие определить, аутентифицировать и авторизовать доступ к информации в информационных системах ► Контроли аутентификации транзакций должны обеспечивать условия невозможности отказа (non-repudiation) и определения владельца (accountability) ► Должны быть внедрены контроли авторизации прав доступа пользователям информационных систем ► Контроли должны обеспечивать необходимое разграничение обязанностей ► Должны быть внедрены контроли, позволяющие фиксировать все операции (логирование) ► Должны быть внедрены контроли, обеспечивающие конфиденциальность ключевой информации операций ► Должен быть поставлен процесс управления инцидентами, связанными с процессом управления доступом ► Контроли уровня приложения 17.12.2009 Страница 10 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Деятельность службы внутреннего аудита: Третья линия обороны ► Служба внутреннего аудита во многих компаниях отвечает за выявление мошенничества, представляя третью линию обороны ► Операционные аудиты и проверка внутреннего контроля 1 линия обороны ► Аналитические процедуры для выявления Кодекс корпоративной этики и «необычных» данных политики, связанные с ним ► Детальные тесты областей с высокими рисками ► Внутренний аудит может нести и упреждающую 2 линия обороны функцию (неотвратимость наказания), но из-за Система внутреннего контроля прогнозируемости аудиторских процедур, это не всегда так 3 линия обороны Деятельность службы внутреннего аудита 17.12.2009 Страница 11 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Деятельность службы внутреннего аудита: Третья линия обороны (продолжение) ► На основании оценки рисков, Служба внутреннего аудита должна выявить, критически оценить и протестировать эффективность «защитных мер» первой и второй линий обороны ► Если защитные меры (в частности, СВК) эффективны, то требуется проведение 1 линия обороны аналитических процедур для выявления необычных Кодекс корпоративной этики и показателей с целью их дальнейшего анализа на политики, связанные с ним возможные признаки мошенничества ► Если защитные меры признаются неэффективными 2 линия обороны или недостаточно эффективными, то требуется Система внутреннего контроля детальное тестирование для выявления мошенничества 3 линия обороны ► В сущности, именно Служба внутреннего аудита (или Деятельность службы ее аналог) отвечает за выявление мошеннических внутреннего аудита действий ► Расследование мошенничества может проводиться совместно с другими подразделениями (например, Службой безопасности) 17.12.2009 Страница 12 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Деятельность службы внутреннего аудита: роль ИТ ► Анализ рисков ► Поиск индикаторов мошенничества ► Анализ 100% транзакций ► Сопоставление данных из различных баз данных и информационных систем ► Определение влияния мошенничества ► Проактивное тестирование ► Непрерывный мониторинг 17.12.2009 Страница 13 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Три подхода по выявлению мошенничества ► Детальный анализ(drill-down) ► Анализе большой популяции данных и определение зон риска ► Детальный анализ рисковых зон ► Выборка по качественным признакам ► Выборка данных удовлетворяющих определенным критериям ► Сравнение данных из разных источников ► Сравнение данных, содержащихся в различных источниках, на предмет отличий (например, выявление несуществующих поставщиков) 17.12.2009 Страница 14 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Примеры тестов по выявлению мошенничества ► Сомнительные закупки ► Заказ с незаполненной/нулевой суммой ► Заказ / счет где уплаченная сумма > полученной суммы ► Сомнительные счета ► Счет без действительного заказа ► Счет от поставщика, которого нет в списке поставщиков ► Несколько счетов с одинаковыми реквизитами ► Поставщики с повторяющимся номерами заказов ► Высокая/несоответствующая цена ► Счета с одинаковыми суммами и датами ► Счета с одинаковыми заказами и датами ► Новые или не утвержденные поставщики ► Тесты поставщиков ► Сверка имен поставщиков / сотрудников ► Поставщики и сотрудники с одинаковыми адресами или телефонами ► Адрес поставщика – абонентский ящик ► Большое количество возвратов от одного поставщика ► Платеж без счета ► Дублирующиеся документы 17.12.2009 Страница 15 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Сложности при выявлении мошенничества ► Выборки ► Выборки эффективны в случае с проблемами, которые релевантны ко всей популяции данных ► Мошеннические операции по своей природе не возникают случайным образом ► Мошеннические операции часто попадают «в рамки» для стандартного тестирования и следовательно не выделяются для анализа 17.12.2009 Страница 16 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Анализ аномалий Случайная выборка 17.12.2009 Страница 17 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Определение допустимых параметров 17.12.2009 Страница 18 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Закон Бенфорда ► Во многих списках чисел из произвольных реальных источников, числа встречаются с предсказуемой частотой: Вероятность = LOG(1+1 / Первое_число) Где Первое_число – целое число от 1 до 9 1=30.1% 2=17.6% 3=12.5% 4=9.7% 5=7.9% 6=6.7% 7=5.8% 8=5.1% 9=4.6% 17.12.2009 Страница 19 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Проведение расследования: общие моменты ► Система управления рисками мошенничества сфокусирована на организации в целом, а не на конкретных инцидентах. В таких случаях, основной фокус надо делать на расследования. Расследования становятся неотъемлемой частью системы ► В случае возникновения и выявления инцидента необходимо организовать расследование, провести его, составить отчет о результатах и довести их до руководства ► Необходимо учесть, что потенциальный конфликт интересов внутри компании может помешать проведению расследования только внутренними силами, поэтому целесообразно рассмотреть участие внешних ресурсов ► Кроме того, отсутствие четкого понимания четких юридических последствий расследования и его результатов может существенно снизить возможности их дальнейшего использования. Поэтому целесообразно консультироваться с юристами (внешними и внутренними) на всех этапах подготовки и проведения расследования ► Рекомендуется разработать, утвердить и применять на практике внутренний документ, устанавливающий правила проведения расследования и использование его результатов 17.12.2009 Страница 20 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Расследование мошенничества: анализ информационных систем Преимущества Сложности ► То, что однажды было занесено на ► Если расследование проводит человек не компьютер практически невозможно имеющий необходимого опыта: полностью уничтожить ► важные доказательства могут быть ► Даже если это уничтожено, процесс упущены уничтожения как правило оставляет следы ► качественные доказательства могут ► Следы остаются в таких местах, которые быть испорчены недоступны для каждого пользователя ► Доказательства могут быть собраны ► Доказательства, на подобии электронных писем, как правило можно обнаружить на таким способом, который сделает их других носителях информации бесполезными в суде ► Доказательства могут быть не выявлены по причине того что: ► Они защищены паролем ► Они зашифрованы ► Скрыты 17.12.2009 Страница 21 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Типы анализа ► Носители ► Данные ► Сеть ► Электронная почта ► Интернет ► Исходный код 17.12.2009 Страница 22 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Инструменты ► Программы для ► создания образов диска ► просмотра истории посещения Интернет ► восстановления электронных сообщений ► анализа неиспользуемого пространства (slack space, unallocated cluster ) ► подбора паролей ► восстановления удаленных файлов ► комплексные решения: ► EnCase ► Vogon 17.12.2009 Страница 23 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM, ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.com 17.12.2009 Страница 24 Роль ИТ в выявлении и предотвращении мошенничества на предприятии

Recommended

Актуальность внедрения Системы Комплаенс в России
Актуальность внедрения Системы Комплаенс в РоссииАктуальность внедрения Системы Комплаенс в России
Актуальность внедрения Системы Комплаенс в РоссииElena Koroleva
 
Актуальность внедрения Системы Комплаенс в России
Актуальность внедрения Системы Комплаенс в РоссииАктуальность внедрения Системы Комплаенс в России
Актуальность внедрения Системы Комплаенс в РоссииGeorgy Atanasov
 
IT in business
IT in businessIT in business
IT in businessSSA KPI
 
Effective risk management
Effective risk managementEffective risk management
Effective risk managementVladimir Matviychuk
 
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВМЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВVladislav Chernish
 
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятиясуиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятияa_a_a
 
24_glebov
24_glebov24_glebov
24_glebovOleg Glebov
 
Threat Modeling (Part 2)
Threat Modeling (Part 2)Threat Modeling (Part 2)
Threat Modeling (Part 2)Aleksey Lukatskiy
 

Recommended

Актуальность внедрения Системы Комплаенс в России
Актуальность внедрения Системы Комплаенс в РоссииАктуальность внедрения Системы Комплаенс в России
Актуальность внедрения Системы Комплаенс в РоссииElena Koroleva
 
Актуальность внедрения Системы Комплаенс в России
Актуальность внедрения Системы Комплаенс в РоссииАктуальность внедрения Системы Комплаенс в России
Актуальность внедрения Системы Комплаенс в РоссииGeorgy Atanasov
 
IT in business
IT in businessIT in business
IT in businessSSA KPI
 
Effective risk management
Effective risk managementEffective risk management
Effective risk managementVladimir Matviychuk
 
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВМЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВVladislav Chernish
 
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятиясуиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятияa_a_a
 
24_glebov
24_glebov24_glebov
24_glebovOleg Glebov
 
Threat Modeling (Part 2)
Threat Modeling (Part 2)Threat Modeling (Part 2)
Threat Modeling (Part 2)Aleksey Lukatskiy
 
комплаенс
комплаенскомплаенс
комплаенсElena Koroleva
 
Uisg itgov 3_ rm -silver bullet ey
Uisg itgov 3_ rm -silver bullet eyUisg itgov 3_ rm -silver bullet ey
Uisg itgov 3_ rm -silver bullet eyuisgslide
 
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Vladimir Matviychuk
 
2012 04 opa for frauddetection apps_day_moscow
2012 04 opa for frauddetection apps_day_moscow2012 04 opa for frauddetection apps_day_moscow
2012 04 opa for frauddetection apps_day_moscowcrm2life
 
Управление рисками в малом и среднем бизнесе - Успех ТВ
Управление рисками в малом и среднем бизнесе - Успех ТВУправление рисками в малом и среднем бизнесе - Успех ТВ
Управление рисками в малом и среднем бизнесе - Успех ТВAlexei Sidorenko, CRMP
 
Управление инцидентами
Управление инцидентамиУправление инцидентами
Управление инцидентамиАлексей Волков
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизовjet_information_security
 
ОТУС управление рисками - оценка
ОТУС управление рисками - оценкаОТУС управление рисками - оценка
ОТУС управление рисками - оценкаAlexei Sidorenko, CRMP
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumVladimir Matviychuk
 
ОТУС управление рисками - управление рисками и отчетность
ОТУС управление рисками - управление рисками и отчетностьОТУС управление рисками - управление рисками и отчетность
ОТУС управление рисками - управление рисками и отчетностьAlexei Sidorenko, CRMP
 
Концепция. Security Awareness Programm
Концепция. Security Awareness ProgrammКонцепция. Security Awareness Programm
Концепция. Security Awareness ProgrammGeorgiy Kuznetsov
 
Риски. Д. Софьина.
Риски. Д. Софьина.Риски. Д. Софьина.
Риски. Д. Софьина.Expolink
 
Положение о системе управление рисками
Положение о системе управление рискамиПоложение о системе управление рисками
Положение о системе управление рискамиAlexei Sidorenko, CRMP
 
Detective services and investigations (RUS)
Detective services and investigations (RUS)Detective services and investigations (RUS)
Detective services and investigations (RUS)Дмитрий Иванов
 
СКОЛКОВО: Основы управления рисками - оценка рисков
СКОЛКОВО: Основы управления рисками - оценка рисковСКОЛКОВО: Основы управления рисками - оценка рисков
СКОЛКОВО: Основы управления рисками - оценка рисковAlexei Sidorenko, CRMP
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCRISClubSPb
 
Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Expolink
 
Комплаенс – эффективный инструмент предотвращения и профилактики нарушений
Комплаенс – эффективный инструмент предотвращения и профилактики нарушенийКомплаенс – эффективный инструмент предотвращения и профилактики нарушений
Комплаенс – эффективный инструмент предотвращения и профилактики нарушенийAsters
 
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...imbasoft ru
 
Взломать за 60 секунд
Взломать за 60 секундВзломать за 60 секунд
Взломать за 60 секундSkillFactory
 
дети в интернете
дети в интернетедети в интернете
дети в интернетеVladimir Matviychuk
 
Thinking outside the box survey questions
Thinking outside the box survey questions Thinking outside the box survey questions
Thinking outside the box survey questions Vladimir Matviychuk
 

More Related Content

Similar to Роль ИТ в выявлении и предотвращении мошенничества на предприятии

Uisg itgov 3_ rm -silver bullet ey
Uisg itgov 3_ rm -silver bullet eyUisg itgov 3_ rm -silver bullet ey
Uisg itgov 3_ rm -silver bullet eyuisgslide
 
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Vladimir Matviychuk
 
2012 04 opa for frauddetection apps_day_moscow
2012 04 opa for frauddetection apps_day_moscow2012 04 opa for frauddetection apps_day_moscow
2012 04 opa for frauddetection apps_day_moscowcrm2life
 
Управление рисками в малом и среднем бизнесе - Успех ТВ
Управление рисками в малом и среднем бизнесе - Успех ТВУправление рисками в малом и среднем бизнесе - Успех ТВ
Управление рисками в малом и среднем бизнесе - Успех ТВAlexei Sidorenko, CRMP
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизовjet_information_security
 
ОТУС управление рисками - оценка
ОТУС управление рисками - оценкаОТУС управление рисками - оценка
ОТУС управление рисками - оценкаAlexei Sidorenko, CRMP
 
ОТУС управление рисками - управление рисками и отчетность
ОТУС управление рисками - управление рисками и отчетностьОТУС управление рисками - управление рисками и отчетность
ОТУС управление рисками - управление рисками и отчетностьAlexei Sidorenko, CRMP
 
Концепция. Security Awareness Programm
Концепция. Security Awareness ProgrammКонцепция. Security Awareness Programm
Концепция. Security Awareness ProgrammGeorgiy Kuznetsov
 
Риски. Д. Софьина.
Риски. Д. Софьина.Риски. Д. Софьина.
Риски. Д. Софьина.Expolink
 
Положение о системе управление рисками
Положение о системе управление рискамиПоложение о системе управление рисками
Положение о системе управление рискамиAlexei Sidorenko, CRMP
 
СКОЛКОВО: Основы управления рисками - оценка рисков
СКОЛКОВО: Основы управления рисками - оценка рисковСКОЛКОВО: Основы управления рисками - оценка рисков
СКОЛКОВО: Основы управления рисками - оценка рисковAlexei Sidorenko, CRMP
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCRISClubSPb
 
Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Expolink
 
Комплаенс – эффективный инструмент предотвращения и профилактики нарушений
Комплаенс – эффективный инструмент предотвращения и профилактики нарушенийКомплаенс – эффективный инструмент предотвращения и профилактики нарушений
Комплаенс – эффективный инструмент предотвращения и профилактики нарушенийAsters
 
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...imbasoft ru
 
Взломать за 60 секунд
Взломать за 60 секундВзломать за 60 секунд
Взломать за 60 секундSkillFactory
 

Similar to Роль ИТ в выявлении и предотвращении мошенничества на предприятии (20)

комплаенс
комплаенскомплаенс
комплаенс
 
Uisg itgov 3_ rm -silver bullet ey
Uisg itgov 3_ rm -silver bullet eyUisg itgov 3_ rm -silver bullet ey
Uisg itgov 3_ rm -silver bullet ey
 
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?
 
2012 04 opa for frauddetection apps_day_moscow
2012 04 opa for frauddetection apps_day_moscow2012 04 opa for frauddetection apps_day_moscow
2012 04 opa for frauddetection apps_day_moscow
 
Управление рисками в малом и среднем бизнесе - Успех ТВ
Управление рисками в малом и среднем бизнесе - Успех ТВУправление рисками в малом и среднем бизнесе - Успех ТВ
Управление рисками в малом и среднем бизнесе - Успех ТВ
 
Управление инцидентами
Управление инцидентамиУправление инцидентами
Управление инцидентами
 
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.СизовВыявление и предотвращение мошенничества ИТ-средствами. А.Сизов
Выявление и предотвращение мошенничества ИТ-средствами. А.Сизов
 
ОТУС управление рисками - оценка
ОТУС управление рисками - оценкаОТУС управление рисками - оценка
ОТУС управление рисками - оценка
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
 
ОТУС управление рисками - управление рисками и отчетность
ОТУС управление рисками - управление рисками и отчетностьОТУС управление рисками - управление рисками и отчетность
ОТУС управление рисками - управление рисками и отчетность
 
Концепция. Security Awareness Programm
Концепция. Security Awareness ProgrammКонцепция. Security Awareness Programm
Концепция. Security Awareness Programm
 
Риски. Д. Софьина.
Риски. Д. Софьина.Риски. Д. Софьина.
Риски. Д. Софьина.
 
Положение о системе управление рисками
Положение о системе управление рискамиПоложение о системе управление рисками
Положение о системе управление рисками
 
Detective services and investigations (RUS)
Detective services and investigations (RUS)Detective services and investigations (RUS)
Detective services and investigations (RUS)
 
СКОЛКОВО: Основы управления рисками - оценка рисков
СКОЛКОВО: Основы управления рисками - оценка рисковСКОЛКОВО: Основы управления рисками - оценка рисков
СКОЛКОВО: Основы управления рисками - оценка рисков
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
 
Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.Анализатор событий для предотвращения событий. Р. Мустафаев.
Анализатор событий для предотвращения событий. Р. Мустафаев.
 
Комплаенс – эффективный инструмент предотвращения и профилактики нарушений
Комплаенс – эффективный инструмент предотвращения и профилактики нарушенийКомплаенс – эффективный инструмент предотвращения и профилактики нарушений
Комплаенс – эффективный инструмент предотвращения и профилактики нарушений
 
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
 
Взломать за 60 секунд
Взломать за 60 секундВзломать за 60 секунд
Взломать за 60 секунд
 

More from Vladimir Matviychuk

Thinking outside the box survey questions
Thinking outside the box survey questions Thinking outside the box survey questions
Thinking outside the box survey questions Vladimir Matviychuk
 
Insights on it risks evolving it landscape
Insights on it risks evolving it landscapeInsights on it risks evolving it landscape
Insights on it risks evolving it landscapeVladimir Matviychuk
 
Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Vladimir Matviychuk
 
Insights on it risks cyber attacks
Insights on it risks cyber attacksInsights on it risks cyber attacks
Insights on it risks cyber attacksVladimir Matviychuk
 
2010 giss results_global and ua_2010
2010 giss results_global and ua_20102010 giss results_global and ua_2010
2010 giss results_global and ua_2010Vladimir Matviychuk
 
как составить грамотный Slа
как составить грамотный Slакак составить грамотный Slа
как составить грамотный SlаVladimir Matviychuk
 

More from Vladimir Matviychuk (16)

дети в интернете
дети в интернетедети в интернете
дети в интернете
 
Thinking outside the box survey questions
Thinking outside the box survey questions Thinking outside the box survey questions
Thinking outside the box survey questions
 
Thinking outside the box (SOX)
Thinking outside the box (SOX)Thinking outside the box (SOX)
Thinking outside the box (SOX)
 
Insights on it risk bcm
Insights on it risk bcmInsights on it risk bcm
Insights on it risk bcm
 
Insights on it risks evolving it landscape
Insights on it risks evolving it landscapeInsights on it risks evolving it landscape
Insights on it risks evolving it landscape
 
Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign Building control efficiency: Rationalization, optimization and redesign
Building control efficiency: Rationalization, optimization and redesign
 
Insights on it risks cyber attacks
Insights on it risks cyber attacksInsights on it risks cyber attacks
Insights on it risks cyber attacks
 
Privacy trends 2011
Privacy trends 2011Privacy trends 2011
Privacy trends 2011
 
2010 giss results_global and ua_2010
2010 giss results_global and ua_20102010 giss results_global and ua_2010
2010 giss results_global and ua_2010
 
как составить грамотный Slа
как составить грамотный Slакак составить грамотный Slа
как составить грамотный Slа
 
BCP intro
BCP introBCP intro
BCP intro
 
2010 GISS EY
2010 GISS EY2010 GISS EY
2010 GISS EY
 
Continious auditing
Continious auditingContinious auditing
Continious auditing
 
Security certification overview
Security certification overviewSecurity certification overview
Security certification overview
 
Legalcamp 2.0
Legalcamp 2.0Legalcamp 2.0
Legalcamp 2.0
 
Security Innovation Forum
Security Innovation ForumSecurity Innovation Forum
Security Innovation Forum
 

Роль ИТ в выявлении и предотвращении мошенничества на предприятии

  • 1. Роль ИТ в выявлении и предотвращении мошенничества на предприятии круглый стол “Корпоративное мошенничество в украинских компаниях: смириться или побороться?” 17 декабря 2009
  • 2. Ожидания украинских топ менеджеров: результаты исследования Ernst & Young Вопрос: Вы ожидаете рост или снижение уровня корпоративного мошенничества в течение следующих нескольких лет? Не знаю Уменьшится значительно Уменьшится 21% 45% незначительно 67% Не изменится 1% 22% Увеличится 4% незначительно 7% Увеличится значительно 17.12.2009 Страница 2 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 3. Треугольник мошенничества Давление Треугольник мошенничества Возможность Оправдание Adapted from Occupational Fraud and Abuse, Joseph T. Wells, Obsidian Publishing Company 17.12.2009 Страница 3 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 4. Введение контрольных мер Оценка риска Упреждение/ Расследование Предотвращение информирование Выявление/ мониторинг 17.12.2009 Страница 4 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 5. Управление рисками мошенничества Управление рисками мошенничества Целевой Риск Правила Внутренний Внутренний Аудит Остаточные Корпоративной Контроль существенные Этики риски мошенничества Риск Риск Риск Расследование Риск Упреждающие Предотвра – Выявление Снижение риска меры щающие меры до приемлемого уровня 17.12.2009 Страница 5 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 6. Программа по управлению рисками мошенничества: 3 линии обороны 1 линия обороны Кодекс корпоративной этики и политики, связанные с ним 2 линия обороны Система внутреннего контроля 3 линия обороны Деятельность службы внутреннего аудита 17.12.2009 Страница 6 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 7. Кодекс корпоративной этики: Первая линия обороны ► На основании оценки возможных рисков, в компании должен быть разработан, принят и доведен до сотрудников Кодекс Корпоративной Этики. Важно – необходима регулярная проверка знаний сотрудников в отношении ККЭ. ► Эффективный ККЭ должен содержать: 1 линия обороны Кодекс корпоративной этики и ► «Упреждающие» элементы (например, наказания политики, связанные с ним за неэтичное поведение) ► «Выявляющие» элементы (например, 2 линия обороны стимулировать сотрудников на сообщение о Система внутреннего контроля фактах неэтичного поведения) ► ККЭ должен основываться на этических ценностях, а 3 линия обороны не регламентированных правилах Деятельность службы ► ККЭ должен акцентироваться на позитивных внутреннего аудита моментах этичного поведения ► ККЭ должен устанавливать честные отношения между сотрудником и компанией (например, предусматривать меры по защите сотрудников в спорных ситуациях) 17.12.2009 Страница 7 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 8. Кодекс корпоративной этики: роль ИТ ► Наличие в компании людей, не понимающих и потому не соблюдающих существующие политики информационной безопасности, может свести на нет все усилия и затраты на защиту информации ► Необходимо внедрение программы повышения осведомленности в области информационной безопасности и проведения соответствующих тренингов для сотрудников компании 17.12.2009 Страница 8 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 9. Система Внутреннего Контроля: Вторая линия обороны ► Эффективная система внутреннего контроля обладает и предотвращающими и выявляющими элементами, но не упреждающими. Она направлена в основном на подавление факторов группы «Возможность». ► Эффективность СВК наиболее четко поддается 1 линия обороны измерению, кроме того, этот вопрос наиболее Кодекс корпоративной этики и проработан методологически (например, COSO) политики, связанные с ним 2 линия обороны Система внутреннего контроля 3 линия обороны Деятельность службы внутреннего аудита 17.12.2009 Страница 9 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 10. Система Внутреннего Контроля: роль ИТ ► Общие ИТ контроли ► Внедрение технологий по предотвращению утечки информации (DLP). ► DLP технологии не панацея! ► В компании должны быть внедрены контроли, позволяющие определить, аутентифицировать и авторизовать доступ к информации в информационных системах ► Контроли аутентификации транзакций должны обеспечивать условия невозможности отказа (non-repudiation) и определения владельца (accountability) ► Должны быть внедрены контроли авторизации прав доступа пользователям информационных систем ► Контроли должны обеспечивать необходимое разграничение обязанностей ► Должны быть внедрены контроли, позволяющие фиксировать все операции (логирование) ► Должны быть внедрены контроли, обеспечивающие конфиденциальность ключевой информации операций ► Должен быть поставлен процесс управления инцидентами, связанными с процессом управления доступом ► Контроли уровня приложения 17.12.2009 Страница 10 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 11. Деятельность службы внутреннего аудита: Третья линия обороны ► Служба внутреннего аудита во многих компаниях отвечает за выявление мошенничества, представляя третью линию обороны ► Операционные аудиты и проверка внутреннего контроля 1 линия обороны ► Аналитические процедуры для выявления Кодекс корпоративной этики и «необычных» данных политики, связанные с ним ► Детальные тесты областей с высокими рисками ► Внутренний аудит может нести и упреждающую 2 линия обороны функцию (неотвратимость наказания), но из-за Система внутреннего контроля прогнозируемости аудиторских процедур, это не всегда так 3 линия обороны Деятельность службы внутреннего аудита 17.12.2009 Страница 11 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 12. Деятельность службы внутреннего аудита: Третья линия обороны (продолжение) ► На основании оценки рисков, Служба внутреннего аудита должна выявить, критически оценить и протестировать эффективность «защитных мер» первой и второй линий обороны ► Если защитные меры (в частности, СВК) эффективны, то требуется проведение 1 линия обороны аналитических процедур для выявления необычных Кодекс корпоративной этики и показателей с целью их дальнейшего анализа на политики, связанные с ним возможные признаки мошенничества ► Если защитные меры признаются неэффективными 2 линия обороны или недостаточно эффективными, то требуется Система внутреннего контроля детальное тестирование для выявления мошенничества 3 линия обороны ► В сущности, именно Служба внутреннего аудита (или Деятельность службы ее аналог) отвечает за выявление мошеннических внутреннего аудита действий ► Расследование мошенничества может проводиться совместно с другими подразделениями (например, Службой безопасности) 17.12.2009 Страница 12 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 13. Деятельность службы внутреннего аудита: роль ИТ ► Анализ рисков ► Поиск индикаторов мошенничества ► Анализ 100% транзакций ► Сопоставление данных из различных баз данных и информационных систем ► Определение влияния мошенничества ► Проактивное тестирование ► Непрерывный мониторинг 17.12.2009 Страница 13 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 14. Три подхода по выявлению мошенничества ► Детальный анализ(drill-down) ► Анализе большой популяции данных и определение зон риска ► Детальный анализ рисковых зон ► Выборка по качественным признакам ► Выборка данных удовлетворяющих определенным критериям ► Сравнение данных из разных источников ► Сравнение данных, содержащихся в различных источниках, на предмет отличий (например, выявление несуществующих поставщиков) 17.12.2009 Страница 14 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 15. Примеры тестов по выявлению мошенничества ► Сомнительные закупки ► Заказ с незаполненной/нулевой суммой ► Заказ / счет где уплаченная сумма > полученной суммы ► Сомнительные счета ► Счет без действительного заказа ► Счет от поставщика, которого нет в списке поставщиков ► Несколько счетов с одинаковыми реквизитами ► Поставщики с повторяющимся номерами заказов ► Высокая/несоответствующая цена ► Счета с одинаковыми суммами и датами ► Счета с одинаковыми заказами и датами ► Новые или не утвержденные поставщики ► Тесты поставщиков ► Сверка имен поставщиков / сотрудников ► Поставщики и сотрудники с одинаковыми адресами или телефонами ► Адрес поставщика – абонентский ящик ► Большое количество возвратов от одного поставщика ► Платеж без счета ► Дублирующиеся документы 17.12.2009 Страница 15 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 16. Сложности при выявлении мошенничества ► Выборки ► Выборки эффективны в случае с проблемами, которые релевантны ко всей популяции данных ► Мошеннические операции по своей природе не возникают случайным образом ► Мошеннические операции часто попадают «в рамки» для стандартного тестирования и следовательно не выделяются для анализа 17.12.2009 Страница 16 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 17. Анализ аномалий Случайная выборка 17.12.2009 Страница 17 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 18. Определение допустимых параметров 17.12.2009 Страница 18 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 19. Закон Бенфорда ► Во многих списках чисел из произвольных реальных источников, числа встречаются с предсказуемой частотой: Вероятность = LOG(1+1 / Первое_число) Где Первое_число – целое число от 1 до 9 1=30.1% 2=17.6% 3=12.5% 4=9.7% 5=7.9% 6=6.7% 7=5.8% 8=5.1% 9=4.6% 17.12.2009 Страница 19 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 20. Проведение расследования: общие моменты ► Система управления рисками мошенничества сфокусирована на организации в целом, а не на конкретных инцидентах. В таких случаях, основной фокус надо делать на расследования. Расследования становятся неотъемлемой частью системы ► В случае возникновения и выявления инцидента необходимо организовать расследование, провести его, составить отчет о результатах и довести их до руководства ► Необходимо учесть, что потенциальный конфликт интересов внутри компании может помешать проведению расследования только внутренними силами, поэтому целесообразно рассмотреть участие внешних ресурсов ► Кроме того, отсутствие четкого понимания четких юридических последствий расследования и его результатов может существенно снизить возможности их дальнейшего использования. Поэтому целесообразно консультироваться с юристами (внешними и внутренними) на всех этапах подготовки и проведения расследования ► Рекомендуется разработать, утвердить и применять на практике внутренний документ, устанавливающий правила проведения расследования и использование его результатов 17.12.2009 Страница 20 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 21. Расследование мошенничества: анализ информационных систем Преимущества Сложности ► То, что однажды было занесено на ► Если расследование проводит человек не компьютер практически невозможно имеющий необходимого опыта: полностью уничтожить ► важные доказательства могут быть ► Даже если это уничтожено, процесс упущены уничтожения как правило оставляет следы ► качественные доказательства могут ► Следы остаются в таких местах, которые быть испорчены недоступны для каждого пользователя ► Доказательства могут быть собраны ► Доказательства, на подобии электронных писем, как правило можно обнаружить на таким способом, который сделает их других носителях информации бесполезными в суде ► Доказательства могут быть не выявлены по причине того что: ► Они защищены паролем ► Они зашифрованы ► Скрыты 17.12.2009 Страница 21 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 22. Типы анализа ► Носители ► Данные ► Сеть ► Электронная почта ► Интернет ► Исходный код 17.12.2009 Страница 22 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 23. Инструменты ► Программы для ► создания образов диска ► просмотра истории посещения Интернет ► восстановления электронных сообщений ► анализа неиспользуемого пространства (slack space, unallocated cluster ) ► подбора паролей ► восстановления удаленных файлов ► комплексные решения: ► EnCase ► Vogon 17.12.2009 Страница 23 Роль ИТ в выявлении и предотвращении мошенничества на предприятии
  • 24. Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM, ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.com 17.12.2009 Страница 24 Роль ИТ в выявлении и предотвращении мошенничества на предприятии