próximo »

[Alluz]

Juanita Florez no es una muchacha que sepa mucho de sistemas, pero sabe utilizar excel, outlook, gmail, facebook y messenger.
A Juanita le pusieron la tarea de pagar la nomina y los proveedores. Basicamente tenía que exportar un archivo del 'sistema contable' y en excel ajustarle el formato al estilo bancario. Luego de eso, Juanita tenía que subir el archivo al banco y por arte de mágia se mostraba la relación de pagos. Luego don Jaime (el jefe) entraba al banco y autorizaba el pago.
Un día don Jaime se enfermó y le dió por email su clave a Juanita para ella autorizara el pago a los proveedores.
Juanita estuvo realizando los pagos mientras don Jaime se recuperaba, pero luego don Jaime le delegó completamente la tarea a Juanita.
Un día Juanita necesitaba dinero y no tenía a quien pedirle, así que del pago de nomina que estaba ajustando en excel, tomo 100 empleados que ganaban mas de 3 salarios mínimos y les quitó $1000, pero esos 100mil pesos restantes se los puso a si misma y la cuenta total de la transaccion coincidia completamente con lo arrojado por el sistema contable.
Ese mes nadie dijo nada por esos mil pesos que no llegaron y juanita recibió 100mil pesos mas; por esta razón, juanita lo siguió haciendo durante varios meses.
Luego Juanita hizo lo mismo con el pago a proveedores
Y todo siguió así...
Y siguió así...
Y siguió así...

Luego de dos años (24 meses), Juanita renunció...

Nadie se dio cuenta que en esos 24 meses Juanita obtuvo alrededor de 14 millones de pesos.
6 meses después Leonor (el remplazo de Juanita) también se dio cuenta que podía modificar el archivo de excel y se autorizó un pago a su cuenta bancaria por 30millones de pesos y nunca más volvió a la empresa. A Leonor la procesaron judicialmente, pero en la investigación no pillaron a Juanita.

--------------------
Lamentablemente esta situación es muy común en muchas empresas.

Para hacer entretenido el tema, hablemos de amenazas, probabilidades, riesgos y controles.

[nitr0k1ller]

no se, pero seria muy avispado quien no llorara porque le bajaran el sueldo, así sea en 1000 pesos

[raptor_ttk]

Pues Alluz en eso tiene toda la razon... Yo puedo contar ke vi algo muy similar en la empresa donde realice mis practicas laborales -Una empresa supuestamente lider en bucaramanga en servicios informaticos y desarrollo de software para entidades de seguros, pensiones, etc- y alli alguna vez que tuve la oportunidad de visualizar la forma de organizar la nomina... y.. ¡wow vaya sorpresa! la super sistematizacion era en Excel, y efectivamente la forma de pagar era una persona comun entrando con una contraseña a la pagina del banco dando par de clicks y listo! todo realizado!

Obviamente frente a esta situacion alguien "avispado" podria aprovecharse facilmente. Ademas de estas fallas tambien esta el software que usan en sus actividades internas: un software de consola que muy probablemente solo ha sido adaptado mas no reparado o escalado a nuevas tecnologias. 

[flacman]

pues hay varias soluciones al problema, pero cual es la mas adecuada? así de rapidez se me pasan 2 cosas por la cabeza, primero un sistema que obligue a que se pague lo que es, a pepito se le paga mensualmente x pesos, cosa que se alimenta en el sistema una sola vez y nadie mas puede cambiar (excepto por cosas extraordinarias que se realizará en un proceso distinto, no algo rutinario). Igualmente, si el proceso de nómina y salarial está estandarizado al máximo, en este mismo proceso se podría incluir el aumento salarial (con un click o algo así) que está previamente ajustado a cierto porcentaje o algo así. Esto evitaría (bueno, si el sistema está bien diseñado) ese tipo de cosas, ya que el desembolso que se hace solo puede ser generado por el sistema y este no dejaría "quitar los mil pesitos".

Por otro lado, en caso de poca plata y mucho tiempo se peuden desarrollar procesos y práctias mas estrictas, con lo cual alluz en su próximo post nos ilustrará de la mejor forma de lograr esto en este caso específico xD

[nitr0k1ller]

Pues Alluz en eso tiene toda la razon... Yo puedo contar ke vi algo muy similar en la empresa donde realice mis practicas laborales -Una empresa supuestamente lider en bucaramanga en servicios informaticos y desarrollo de software para entidades de seguros, pensiones, etc- y alli alguna vez que tuve la oportunidad de visualizar la forma de organizar la nomina... y.. ¡wow vaya sorpresa! la super sistematizacion era en Excel, y efectivamente la forma de pagar era una persona comun entrando con una contraseña a la pagina del banco dando par de clicks y listo! todo realizado!

Obviamente frente a esta situacion alguien "avispado" podria aprovecharse facilmente. Ademas de estas fallas tambien esta el software que usan en sus actividades internas: un software de consola que muy probablemente solo ha sido adaptado mas no reparado o escalado a nuevas tecnologias. 

Tambien es asi donde estaba trabajando, y eso que es una entidad distrital, lo que evita que sucedan esas cosas es tener una estructura organizacional definida con manual de procesos y cosas por el estilo, por ejemplo quien maneje las cuentas bancarias sea el tesorero y su respectiva oficina de auditoria, por supuesto en empresas privadas la auditoria por lo general es poco aplicada

[Alluz]

Pues la solución resultó muy sencilla:
Tras estar hablando con varios bancos, el proceso de pago bancario puede estandarizarse en dos tipos de cifrados:

1. Uso de PGP
2. Uso de algoritmo propio del banco, utilizando un cifrador de línea de comandos.

Muchos bancos trabajan con el primero (o tienen la capacidad para hacerlo) y otros bancos prefieren el segundo.

Ante todo, debe negociarse con el banco si es posible permitir el envio de archivos cifrados a través de estos mecanismos y luego de eso realizar los cambios en el software.

El software que genera los archivos planos para el banco, debe tener la posibilidad de:
1. Definir estructura de salida del archivo
2. Poder agregar Nombre Banco:Llave publica PGP, y su tamaño de llave
3. Poder agregar Nombre Banco:Linea comandos ejecutar

El usuario final debe poder:
1. Escoger formado de salida
2. Escoger tipo cifrado

Al final el usuario final solo tendrá acceso a un archivo cifrado y no podrá modificarlo.

Sin embargo, queda la parte procedimental de la cadena de autorización de pagos, para evitar la concentración de funciones, pero al mismo tiempo evitar la pérdida de disponibilidad de pagos por ausencia de un autorizador.

[dak]

Pues sencillo, el problema ahi es que por muchos controles que se pongan quien maneja la plata debe ser de confianza  y el que autoriza verificar.

Ahora volvemos a lo mismo casa de herrero asadon de palo. Las empresas deberian fijarse en quien contratan para sus soluciones de tecnologia. Siempre contratan a unas empresas que hay dios.

[Alluz]

Una noticia con una historia parecida...
http://www.eltiempo.com/colombia/justicia/como-descubirir-a-un-empleado-defraudador_5738527-1

[c7b3r]

Tonces muchachos... para tratar de solucionar ese inconveniente lo mejor seria deacuerdo a lo que pienso:

1. Utilizar PKI, dos llaves publicas  y dos llaves secretas (una publica y otra secreta para cada entidad)

2. Cuando se trata de operaciones sensibles (en este caso pago de la nomina) propondria asignar un perfil a la persona, pero antes de eso la someteria a estrictas pruebas de confianza basandose en la sensibilidad del cargo (ojala fuese alguien de entera confianza)

3. Ataria a la persona a un menu desabilitando opciones que solo podran ser vistas por un usuario con mayores privilegios (roles)

4.Haria un control sobre la modalidad de acceso que tienen sobre los documentos (lectura, escritura y ejecucion)

5. Implementaria un control de acceso externo para impedir que se utilicen los puertos usb.

6. Implementar un sistema  de checksum sobre los archivos de pago de nomina en conjunto con etiquetas de seguridad sobre los archivos.

7. Pediria la huella digital para la autorizar  los pagos de nomina (importantisimo pero se necesita consultar el factor $$$ con la empresa)


saludos

[Alluz]

Cyber, cómo harías el primero?? no entiendo por qué doble pgp?

[c7b3r]

perdon, era PKI no PGP...

[Alluz]

Tras estar trabajando con varios bancos y una empresa que desarrolla software erp, (más la ayuda de Iker), se encontró que la mejor opción es usar PKI bajo x.509 con la llave pública del banco, para que el software realice el cifrado (no me gusta la palabra encripción).

Se necesitan dos cosas:
1. Modificar el software que genera los planos para que el archivo final sea uno cifrado con la llave pública del banco.
2. Modificar el flujo de recepción de archivos del portal bancario, para que se utilice la llave privada y se descifre el archivo.

PD. Si no me da pereza, escribo un paper de esto.