En su libro Megatrends de 1982, John Naisbitt escribió: “Nos ahogamos en información pero estamos hambrientos de conocimiento”. Esta es una de mis citas favoritas, ya que creo que captura con gran precisión el estado de muchas cosas en la vida moderna.
En particular, describe sucintamente el estado de muchos programas de gestión de riesgos y fraudes empresariales. Desafortunadamente, muchos de estos programas adolecen de altos niveles de falsos positivos y otro “ruido” que reducen su eficacia.
Para entender por qué el ruido es un problema tan grande en la gestión del fraude y el riesgo, primero debemos comprender sus consecuencias para la empresa. Si bien no es una lista exhaustiva, aquí hay algunos puntos clave:
- Ciclos desperdiciados: Cuando los equipos contra el fraude construyen un flujo de trabajo en torno a una cola de trabajo centralizada, todos los eventos en la cola deben priorizarse y revisarse. El ruido llena esta cola con elementos que necesitan ser revisados pero que no agregan valor al programa de fraude y riesgo. En otras palabras, el ruido desperdicia los preciosos y valiosos ciclos del equipo.
- Verdaderos positivos perdidos: La frase “encontrar una aguja en un pajar” es buena para describir lo que es buscar fraude entre el gran volumen de datos y eventos que ve una empresa típica. En esta analogía, la aguja representa los verdaderos positivos (incidentes de fraude), mientras que el pajar representa los falsos positivos que no son fraude. Cuanto más falsos positivos haya, más difícil será encontrar los verdaderos positivos.
- Aumento de los costes de infraestructura: El ruido también tiene un coste de infraestructura. Cada registro, alerta y evento, independientemente de si agrega valor al programa de fraude y riesgo, debe conservarse. Por lo tanto, si el equipo recopila una gran cantidad de información que agrega poco o ningún valor, simplemente está utilizando infraestructura en exceso. Esto implica un costo que quita presupuesto de áreas en las que podría agregar significativamente más valor.
- Métricas sesgadas: Los falsos positivos han adquirido el hábito de distorsionar las métricas. Ciertas métricas, particularmente aquellas que se centran en el porcentaje de tiempo dedicado a incidentes de fraude reales, las proporciones de verdaderos positivos y falsos positivos, el volumen de eventos, la cantidad de eventos manejados, el tiempo del analista por evento y otras, se verán altamente afectadas por el volumen de ruido. Cuanto menor sea la tasa de falsos positivos, más precisas y favorables resultarán estas métricas.
Conocer algunas de las razones por las que los falsos positivos y el ruido afectan negativamente a nuestro programa contra el fraude nos ayuda a elaborar un plan para abordar el problema. Aquí hay algunas sugerencias que me han resultado útiles a lo largo de mi carrera:
- Empecemos con el riesgo: No es sorprendente que todos los caminos exitosos comiencen con una firme comprensión del riesgo y un compromiso con él. Evaluar los riesgos y amenazas a la empresa, comprender qué afectan dentro de la empresa y conocer el costo/pérdida potencial asociado a cada uno.
- Establecer metas y prioridades: Seleccionar qué abordar y cuándo es una de las decisiones estratégicas más importantes que un equipo de fraude y riesgo puede tomar. Priorice los riesgos y amenazas enumerados en el paso anterior y establezca objetivos y prioridades que se abordarán tanto a corto como a largo plazo.
- Evaluar el impacto: Identificar activos críticos, recursos clave y almacenes de datos importantes, entre otras cosas, ayuda al equipo a comprender el impacto potencial de un incidente. Saber dónde se encuentran los activos, recursos y datos más sensibles e importantes ayuda al equipo a centrarse en dónde existen brechas en la telemetría.
- Identificar datos y lagunas: Comprenda la recopilación de telemetría existente y evalúe si cada fuente de datos contribuye al programa de fraude y riesgo. Si no es así, recolectarlo solo agrega costos de infraestructura sin agregar ningún valor. Identifique las brechas en la telemetría que dejan al equipo ciego ante posibles fraudes y desarrolle un plan para abordar esas brechas.
- Considere la tecnología y las brechas: Analice atentamente la tecnología existente y examine dónde es útil, por ejemplo, para detectar fraudes de manera confiable con bajos volúmenes de falsos positivos, recopilar datos de telemetría valiosos o hacer que los procesos y el flujo de trabajo sean más eficientes. Preste mucha atención a dónde la tecnología combate, en lugar de ayudar, al equipo contra el fraude, así como también dónde existen brechas en la telemetría y la detección.
- Deshazte de las reglas y firmas ruidosas: Las reglas, firmas y otras técnicas de detección que generan un gran volumen de ruido no agregan valor al programa de fraude. En lugar de ello, entierran al equipo en falsos positivos y trabajan activamente contra la detección oportuna y precisa de incidentes de fraude. Puede parecer radical, pero eliminar estos ruidosos mecanismos de detección tiene muchos más beneficios que desventajas.
- Implementar una detección estricta: Adoptar verdaderamente la filosofía “menos es más” incluye comprender la necesidad de interrogar incisivamente los datos y producir alertas y eventos de alta fidelidad y alta confiabilidad. Si bien la implementación de enfoques de detección más sofisticados requiere una importante inversión de tiempo al principio, ofrece grandes dividendos. Cuanto mejores sean las alertas y los eventos, más señal tendrá y menos ruido tendrá la cola de trabajo.
- Centrarse en el proceso: La cola de trabajo de mayor calidad del mundo no servirá de nada cuando haya procesos rotos o inexistentes. Un equipo de lucha contra el fraude de clase mundial cuenta con procesos maduros, eficientes y eficaces que guían y rigen su forma de trabajar.
- Mejorar continuamente: Ningún equipo contra el fraude es perfecto, y los mejores equipos contra el fraude son muy conscientes de sus debilidades y sus oportunidades de mejora. Tomar las lecciones aprendidas de cada uno de los puntos anteriores y utilizarlas para mejorar continuamente el programa contra el fraude es fundamental para el éxito a largo plazo del equipo contra el fraude.
La creencia popular de que más datos, más eventos y más alertas permiten una mejor detección del fraude está desactualizada y es errónea. Mediante un enfoque estratégico en el riesgo y un enfoque metódico para reducir el ruido, las empresas pueden mejorar tanto el estado de su detección de fraude como la madurez de sus programas contra el fraude. Mejorar la relación señal-ruido y adoptar la filosofía de “menos es más” para la detección de fraudes puede ayudar a las empresas a detectar más fraudes y, al mismo tiempo, desperdiciar muchos menos recursos en falsos positivos.
¿Interesado en aprender más? Ven a charlar con Josh en Infosecurity Europe del 21 al 22 de junio (stand P20) .