BLOG

Fraude:Menos é Mais

Joshua Goldfarb Miniatura
Josué Goldfarb
Publicado em 17 de junho de 2022

Em seu livro Megatrends de 1982, John Naisbitt escreveu: “Estamos nos afogando em informações, mas famintos por conhecimento.” Esta é uma das minhas citações favoritas, pois acho que ela captura com muita precisão o estado de muitas coisas na vida moderna. 

Em particular, ele descreve sucintamente o estado de muitos programas de gerenciamento de riscos e fraudes empresariais. Muitos desses programas, infelizmente, sofrem com altos níveis de falsos positivos e outros “ruídos” que reduzem sua eficácia.

Para entender por que o ruído é um problema tão grande na gestão de fraudes e riscos, precisamos primeiro entender suas consequências para a empresa. Embora não seja uma lista exaustiva, aqui estão algumas das principais:

  • Ciclos desperdiçados: Quando equipes de combate à fraude criam um fluxo de trabalho em torno de uma fila de trabalho centralizada, todos os eventos na fila precisam ser priorizados e revisados. O ruído preenche essa fila com itens que precisam ser revisados, mas não agregam valor ao programa de fraude e risco. Em outras palavras, o ruído desperdiça os preciosos e valiosos ciclos da equipe.
  • Verdadeiros positivos perdidos: A frase "encontrar uma agulha no palheiro" é uma boa maneira de descrever como é procurar fraudes em meio ao grande volume de dados e eventos que uma empresa típica vê. Nessa analogia, a agulha representa verdadeiros positivos (incidentes de fraude), enquanto o palheiro representa falsos positivos que não são fraude. Quanto mais falsos positivos houver, mais difícil será encontrar os verdadeiros positivos.
  • Aumento dos custos de infraestrutura: O ruído também traz um custo de infraestrutura. Cada registro, alerta e evento, independentemente de agregar valor ao programa de fraude e risco, deve ser retido. Portanto, se a equipe estiver coletando uma grande quantidade de informações que agregam pouco ou nenhum valor, ela estará apenas usando infraestrutura em excesso. Isso acarreta um custo que tira dinheiro de áreas onde poderia agregar muito mais valor.
  • Métricas distorcidas: Falsos positivos criaram o hábito de distorcer as métricas. Certas métricas, particularmente aquelas que se concentram na porcentagem de tempo gasto em incidentes de fraude reais, proporções de verdadeiros positivos para falsos positivos, volume de eventos, número de eventos tratados, tempo do analista por evento e outras, serão altamente afetadas pelo volume de ruído. Quanto menor for a taxa de falsos positivos, mais precisas e favoráveis essas métricas serão.

Conhecer alguns dos motivos pelos quais falsos positivos e ruídos afetam negativamente nosso programa de fraudes nos ajuda a criar um plano para resolver o problema. Aqui estão algumas sugestões que achei úteis ao longo da minha carreira:

  • Comece com o risco: Não é de surpreender que todos os caminhos de sucesso comecem com uma compreensão firme e um compromisso com o risco.  Avalie os riscos e ameaças à empresa, entenda o que eles afetam dentro da empresa e aprenda o potencial custo/perda associado a cada um.
  • Defina metas e prioridades: Selecionar o que abordar e quando é uma das decisões estratégicas mais importantes que uma equipe de fraude e risco pode tomar. Priorize os riscos e ameaças enumerados na etapa anterior e defina metas e prioridades que serão abordadas tanto no curto quanto no longo prazo.
  • Avaliar impacto: Identificar ativos críticos, recursos-chave e armazenamentos de dados importantes, entre outras coisas, ajuda a equipe a entender o impacto potencial de um incidente. Saber onde estão os ativos, recursos e dados mais sensíveis e importantes ajuda a equipe a focar onde existem lacunas na telemetria.
  • Identificar dados e lacunas: Entenda a coleta de telemetria existente e avalie se cada fonte de dados contribui para o programa de fraude e risco. Se isso não acontecer, coletá-lo apenas adicionará custos de infraestrutura, sem agregar valor algum. Identifique lacunas na telemetria que deixam a equipe cega para possíveis fraudes e desenvolva um plano para lidar com essas lacunas.
  • Considere a tecnologia e as lacunas: Analise atentamente a tecnologia existente, examine onde ela é útil, como detectar fraudes de forma confiável com baixos volumes de falsos positivos, coletar dados valiosos de telemetria e/ou tornar o processo e o fluxo de trabalho mais eficientes. Fique de olho em onde a tecnologia está combatendo, em vez de ajudar, a equipe de fraudes, bem como onde existem lacunas na telemetria e detecção.
  • Jogue fora regras e assinaturas barulhentas: Regras, assinaturas e outras técnicas de detecção que geram um grande volume de ruído não agregam valor ao programa de fraude. Em vez disso, eles enterram a equipe em falsos positivos e trabalham ativamente contra a detecção oportuna e precisa de incidentes de fraude. Pode parecer radical, mas há muito mais benefícios em descartar esses mecanismos de detecção ruidosos do que desvantagens.
  • Implementar detecção rigorosa: Adotar verdadeiramente a filosofia "menos é mais" inclui entender a necessidade de interrogar incisivamente os dados e produzir alertas e eventos de alta fidelidade e confiabilidade. Embora a implementação de abordagens mais sofisticadas para detecção exija um investimento de tempo significativo no início, ela traz grandes dividendos.  Quanto melhor for o alerta e a realização de eventos, mais sinal e menos ruído a fila de trabalho terá.
  • Foco no processo: A fila de trabalho de mais alta qualidade do mundo não ajudará quando houver processos quebrados ou inexistentes. Uma equipe de combate à fraude de alto nível tem processos maduros, eficientes e eficazes que orientam e governam como eles trabalham.
  • Melhorar continuamente: Nenhuma equipe antifraude é perfeita, e as melhores equipes antifraude estão cientes de suas fraquezas e oportunidades de melhoria. Tirar lições aprendidas de cada um dos pontos acima e usá-las para melhorar continuamente o programa antifraude é fundamental para o sucesso a longo prazo da equipe antifraude.

A sabedoria convencional de que mais dados, mais eventos e mais alertas resultam em melhor detecção de fraudes está desatualizada e equivocada. Por meio de um foco estratégico no risco e uma abordagem metódica para reduzir o ruído, as empresas podem melhorar tanto o estado de sua detecção de fraudes quanto a maturidade de seus programas de fraude. Melhorar a relação sinal-ruído e adotar a filosofia "menos é mais" para detecção de fraudes pode ajudar as empresas a detectar mais fraudes, desperdiçando significativamente menos recursos em falsos positivos.

Interessado em saber mais? Venha conversar com Josh na Infosecurity Europe de 21 a 22 de junho (estande P20) .