the fraud explorer userguide · 3 tabla de contenido aviso legal ..... 2 propiedad intelectual........

The Fraud Explorer Guíadeusuarioadministradoryoperador

NF Cybersecurity and Antifraud Firm S.A.S

División Investigación y Desarrollo Medellín, Colombia PBX +57 (4) 322 2663 [email protected]

Clasificación del documento: PÚBLICO Julio de 2018 https://www.thefraudexplorer.com NF S.A.S Medellín, Colombia Calle 64 Sur # 39 – 110, INT 810

The Fraud Explorer – Guía de usuario administrador y operador Julio/2018

División de Investigación y desarrollo – NF Cybersecurity and Antifraud Firm 2

Aviso legal

© NF S.A.S – MEDELLÍN, COLOMBIA El presente documento es de carácter público y está protegido por las normas de derechos de autor, cualquier reproducción, distribución o modificación total o parcial a usuarios no autorizados o cualquier uso indebido de la información será considerado un delito conforme a lo establecido en el artículo 258 del Código Penal Colombiano. The Fraud Explorer es un producto desarrollado por NF S.A.S. El lector se obliga a que toda la información contenida en el presente documento sea utilizada exclusivamente para el desarrollo de actividades en nuestro software. Igualmente, el lector se obliga a hacer un buen uso de la plataforma DEMO, no atentando contra su disponibilidad, confidencialidad e integridad.

Propiedad intelectual

Este documento y otros archivos que contienen las metodologías, sistemas de información y procedimientos desarrollados por NF S.A.S son de su propiedad intelectual. Si va a utilizar esta metodología o parte de ella deberá mencionar la fuente original y mantener el mismo esquema de licenciamiento. Versión del documento

El documento ha tenido las siguientes versiones:

Versión del software

La versión actual del software es:

Versión Fecha Comentario

v1.0 06/05/2017 Primera versión del documento

V1.1 24/05/2017 Añadido estadísticas de palabras

V1.2 01/07/2018 Actualizado a la version 1.2.0 del software

Versión Fecha URL DEMO v1.0.0 06/05/2017 https://console.thefraudexplorer.com

V1.2.0 01/07/2018 https://demo.thefraudexplorer.com



Tabla de contenido

Aviso legal ............................................................................................................................. 2Propiedad intelectual ............................................................................................................. 2Versión del documento .......................................................................................................... 2Versión del software .............................................................................................................. 2Analítica del triángulo del fraude ........................................................................................... 4Componentes de la solución ................................................................................................. 4

Lo que ocurre tras bambalinas ....................................................................................... 5Conceptualización ................................................................................................................. 5

Agentes o Endpoints ....................................................................................................... 5Objetos de políticas de grupo ......................................................................................... 5Framework .NET ............................................................................................................. 6Librería de frases ............................................................................................................ 6

Instalación y configuración inicial .......................................................................................... 6Compilación .................................................................................................................... 6Servidor y sistema operativo ........................................................................................... 6Infraestructura corporativa .............................................................................................. 6

Roles necesarios ................................................................................................................... 7Rutina .................................................................................................................................... 8

Actividades diarias .......................................................................................................... 8Actividades semanales o quincenales ............................................................................ 8

Ingreso a The Fraud Explorer ............................................................................................... 9Bienvenida al software ........................................................................................................ 10Dashboard ........................................................................................................................... 11Endpoints ............................................................................................................................ 12

People under analytics .................................................................................................. 13Ruleset .......................................................................................................................... 13Version, status, last y puntajes ..................................................................................... 13Comandos y datos generales ....................................................................................... 14Configuración del agente .............................................................................................. 14

Analítica ............................................................................................................................... 15Alertas ................................................................................................................................. 16

Tagging de alertas ........................................................................................................ 17Visualización de frases completas ................................................................................ 18

Configuración ...................................................................................................................... 19Datos semilla ................................................................................................................ 19Llave y vector de cifrado ............................................................................................... 19Contraseña de administrador ........................................................................................ 20Puntaje del cálculo del fraude ....................................................................................... 20

Librería de frases ................................................................................................................ 20Modificación de la librería de frases ............................................................................. 21Verificación de la librería modificada ............................................................................ 21

Roles y perfiles .................................................................................................................... 22Mantenimiento ..................................................................................................................... 23Despliegue del Endpoint ..................................................................................................... 24Efectos de la política ........................................................................................................... 25Estadísticas de escritura ..................................................................................................... 26Preguntas The Fraud Explorer ............................................................................................ 28



Analítica del triángulo del fraude

The Fraud Explorer es un software que inició su desarrollo en el año 2014 a través de ingenieros de software, desarrolladores y expertos certificados en el combate del fraude ocupacional y ciber-crímen, con el objetivo de tener una herramienta de investigación que permitiera perfilar a un grupo de personas al interior de una corporación como posibles perpetradores de conductas fraudulentas. Para lograr lo anterior, nuestro equipo eligió la teoría del triángulo del fraude de Donald Cressey, la llevó al ámbito digital apoyado de la semántica (el significado de las palabras) e hizo posible recolectar las frases digitadas por las personas usando las aplicaciones corporativas, para llevarlas a un sistema de almacenamiento y allí hacer los análisis y cálculos correspondientes. La manera en que The Fraud Explorer detecta conductas sospechosas es muy sencilla, basado en una librería de frases pre-construida, donde cada vértice del triángulo del fraude tiene un listado de palabras, se compara cada ciertos minutos las acciones de las personas, se asocian las conductas a la librería y se generan alertas si éstas concuerdan. Componentes de la solución

The Fraud Explorer tiene varios componentes, que juntándolos hacen posible que trabaje la metodología de analítica del triángulo del fraude.

Componente Descripción

Agente o Endpoint

Software que se instala en cada máquina (PC) mediante un .msi que recolecta datos conductuales, desarrollado en .NET C#.

Consola web Aplicación web donde se opera y administra toda la solución, desarrollada en PHP, Javascript, CSS y HTML5.

Transformador de datos no estructurados

Logstash es una herramienta de administración de logs que recolecta los datos enviados por el agente .msi, los parsea y envía a Elasticsearch.

Almacenamiento y motor de búsqueda

Elasticsearch es el motor de almacenamiento que indexa y analiza los datos enviados por el agente .msi y parseados a través de Logastash.

Base de datos SQL

MariaDB es la base donde residen los datos que se consultan de forma inmediata a través de la consola web. A menudo, el procesador de alertas envía datos de Elasticsearch a MariaDB.

Procesador de alertas

Software CLI que corre cada 5 minutos, busca asociaciones del triángulo del fraude, calcula y alimenta la base de datos SQL.



Lo que ocurre tras bambalinas

Cada agente instalado en los PC está pendiente de qué aplicación se utiliza y qué palabras se escriben en ella. Al filtrar ciertos caracteres no deseados (unos por seguridad de los datos personales y otros por compatibilidad técnica), éste agente envía cada palabra digitada en modo organizado, sin almacenarse en el disco duro, en tiempo real y de forma cifrada al servidor, donde el sistema de administración de registros las recibe (Logstash) y las envía en forma organizada y categorizada a Elasticsearch. Cada ciertos minutos el procesador de alertas revisa los datos ingresados y los compara con la librería del triángulo del fraude (disponible en Español e Inglés). Si se encuentra una asociación se genera una alerta, que es almacenada en el mismo motor de búsqueda, para luego trasladar una pequeña parte de su información a la base de datos SQL. En la interfaz web se visualizan estas alertas en una gráfica de dispersión, se ven los Endpoints registrados y se pueden llevar a cabo tareas operativas y administrativas de parametrización. Conceptualización

Agentes o Endpoints

El software The Fraud Explorer usa agentes (software) desarrollados en .NET que se instalan en los computadores y estos a su vez reportan datos a la consola central de acuerdo con su programación y objetivos. Estos agentes están diseñados para ser desplegados a través de las políticas GPO del Directorio Activo de Microsoft en una red corporativa que posea un Controlador de Dominio. Un instalador de agente es un archivo MSI que contiene procedimientos de instalación, post-instalación y des-instalación del software. Objetos de políticas de grupo

También llamada Directiva de Grupo, es una característica de Windows NT. La Directiva de grupo es un conjunto de reglas que controlan el entorno de trabajo de cuentas de usuario y cuentas de equipo. La Directiva de grupo proporciona la gestión centralizada y configuración de sistemas operativos, aplicaciones y configuración de los usuarios en un entorno de Active Directory. En otras palabras, la Directiva de Grupo, en parte, controla lo que los usuarios pueden y no pueden hacer en un sistema informático. Aunque la Directiva de Grupo es más frecuente en el uso de entornos empresariales, es también común en las escuelas, las pequeñas empresas y otros tipos de organizaciones más pequeñas. La Directiva de grupo a menudo se utiliza para restringir ciertas acciones que pueden presentar riesgos de seguridad potenciales, por ejemplo: Bloquear el acceso al



Administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables, como también para el despliegue de software automático. Framework .NET

.NET Framework es un entorno de ejecución runtime que administra aplicaciones cuyo destino es .NET Framework. Incorpora el Common Language Runtime, que proporciona administración de la memoria y otros servicios del sistema, y una biblioteca de clases completa, que permite a los programadores aprovechar el código sólido y confiable de todas las áreas principales del desarrollo de aplicaciones. Los sistemas operativos deben tener una instalación básica del Framework .NET en su versión Profile 4.0 o superior, que viene instalado por defecto desde la versión Service Pack 3 de Windows XP. Librería de frases

Es un diccionario que utiliza el software The Fraud Explorer que contiene sólo tres definiciones: presión, oportunidad y justificación. Bajo cada una de esas definiciones se tienen frases y palabras que se asocian a dicho comportamiento. Se puede decir que la librería de frases es el corazón del sistema de detección de conductas sospechosas y de ella depende que se tengan buenos o malos resultados. Instalación y configuración inicial

Las instrucciones de compilación, instalación y configuración de The Fraud Explorer están documentadas en https://www.thefraudexplorer.com/es/wiki. Esa es la única fuente oficial donde encontrará todas las instrucciones. A continuación se resumen los pasos que debe seguir para una correcta implementación. Compilación

El agente (Endpoint) de la solución debe ser compilado antes de desplegarse en la infraestructura y generar el MSI de instalación automática, silenciosa y desatendida. Servidor y sistema operativo

Debe elegir un servidor OnPremise u OnDemand con suficientes recursos para atender la demanda de recepción de datos en su organización y éste debe estar basado en Red Hat Linux o clones, por ejemplo, CentOS. Infraestructura corporativa

Su corporación debe contar con un controlador de dominio e infraestructura basada en Windows. The Fraud Explorer soporta el uso de sistemas operativos Windows XP en adelante.



Roles necesarios

Una organización que use el software The Fraud Explorer debe tener a cargo un personal que se encargue de su operación, administración y mantenimiento, así como de personal encargado de evaluar y analizar las alertas generadas de comportamientos.

Rol Procedimientos Descripción Implementador Instalar la

solución, configurarla y mantenerla

Debe existir una persona que se encargue de implementar técnicamente la solución, que tenga conocimientos de infraestructura Linux y programación en PHP.

Desplegar el Endpoint

Debe existir una persona con conocimientos en infraestructura Windows y Directorio Activo que se encargue de configurar la política GPO para el despliegue del agente en los PC.

Examinador del Fraude

Mantener y mejorar la librería de frases

La librería de frases se debería ajustar a las necesidades y rubro de la corporación. Debe existir un examinador del fraude que entienda la teoría del triángulo de Donald Cressey y ayude a alimentar, mejorar o corregir el diccionario principal que usará The Fraud Explorer para asociar las conductas.

Establecer rangos de criticidad del fraude

La solución The Fraud Explorer viene con tres categorías de fraude: baja, media, alta y crítica. Cada alerta y puntuación total, así como promedios están definidos por estas categorías, que pueden modificarse en la solución de acuerdo a las necesidades que considere el examinador del fraude.

Analizar las alertas y comunicar

El Examinador del Fraude es aquel que analizará las alertas generadas por el software, decidirá si son pertinentes o si son un falso positivo que debe marcar e ignorar. Esta persona deberá comunicar a la organización sobre cualquier alerta verdadera para que se tomen las decisiones administrativas correspondientes, como una investigación dirigida, análisis forense o asistencia legal especializada.



Rutina

Actividades diarias

La rutina del examinador del fraude que use la solución dependerá del apetito al riesgo de fraude de la organización, sin embargo las siguientes son actividades que son recomendadas realizarse de forma diaria.

Actividades semanales o quincenales

El examinador de fraude podrá de forma semanal o quincenal realizar las siguientes actividades en beneficio del programa de gestión de riesgos de fraude de la organización.

Rutina Descripción

Dashboard El Dashboard tiene cuatro dashlets. Estos entregan datos de una forma rápida sobre las últimas alertas generadas por el sistema y sobre el top de Endpoints que han convergido más en conductas relacionadas con el triángulo del fraude. Se puede observar rápidamente el score total de fraude de la organización y la cantidad de palabras que se están recolectando día tras día. Si encuentra una alerta, podrá darle clic y analizarla en detenimiento, en caso de que considere la alerta como inválida, podrá marcarla como falso positivo e incluso modificar la librería de frases para que no se incluya en los próximos análisis.

Agentes conectados

Podrá revisar cuántos Endpoints se conectan a la solución, de ellos quienes están conectados y cuales están fuera de línea.

Rutina Descripción Analítica Se recomienda de manera quincenal o mensual entrar al módulo

de analítica y ver cómo están los Endpoints en la gráfica de dispersión con respecto a otras personas.

Endpoints Podría establecer el nombre y departamento de cada Endpoint para hacer una mejor referencia a él en el software. Recuerde que The Fraud Explorer nombra a los agentes por su usuario asignado en el Directorio Activo.

Modificar los rangos de calificación del fraude

Podría ir ajustando el nivel bajo, medio, alto y crítico de calificación de las alertas dependiendo de las consideraciones que se hagan en el análisis de cada una de ellas.



Ingreso a The Fraud Explorer

Se ingresa al sitio web https://console.thefraudexplorer.com con las credenciales proporcionadas por nuestro equipo encargado de distribuir los accesos. A estas credenciales se suma el CAPTCHA que deberá digitar en conjunto.

Este sistema de autenticación le permitirá equivocarse 3 veces antes de bloquear por 5 minutos su dirección IP. Hay variados mecanismos de seguridad disponibles para este inicio de sesión, que se prueban constantemente basados en el framework OWASP (Open Web Application Security Project). Debido a que The Fraud Explorer es multi-rol y multi-compañía, asegúrese de digitar en el campo Login el que le da derecho a usted de observar los datos de su compañía o departamento. Para el DEMO disponible en la página web de The Fraud Explorer podrá ingresar con el usuario admin, quien tiene pre-cargados unos datos semilla para efectos de demostración de la solución en idioma Español.



Bienvenida al software

Después de ingresar las credenciales correctas se le dará la bienvenida. Aquí se le explica que el software The Fraud Explorer es una implementación de la teoría del triángulo del fraude de Donald Cressey en tiempo real.

Usando este software podrá detectar y prevenir oportunamente una ocurrencia de fraude ocupacional en su organización. Al recolectar las palabras que digitan las personas en sus aplicaciones empresariales y por medio de una librería de expresiones clasificadas en presión, oportunidad y justificación, la metodología implementada por The Fraud Explorer sería capaz de encontrar la ocurrencia de un fraude tanto en sus etapas iniciales como terminales. En la pantalla de Bienvenida puede acceder al Wiki de GitHub donde encontrará la guía de instalación y compilación de toda nuestra solución, así como una opción para reportar bugs que también podrá encontrar en la barra inferior de The Fraud Explorer y que podrá usar sin necesidad de registrarse en nuestro sitio web o tener alguna relación comercial con nosotros.



Dashboard

Después de pasar por el mensaje de bienvenida y dar clic en Let’s Begin, ingresará a la pantalla principal (Dashboard) de The Fraud Explorer. Esta pantalla está dividida en 4 secciones llamadas Dashlets, donde cada una intenta mostrar en un resumen ejecutivo todo lo que ha pasado recientemente en su organización de acuerdo a la teoría del triángulo del fraude.

El primer Dashlet (superior izquierdo) muestra el TOP 50 de personas donde se han encontrado ocurrencias del triángulo del fraude, ordenándolas por su calificación total. El segundo Dashlet (superior derecho) muestra las estadísticas globales de la solución en cuanto a los Endpoints. El cuarto Dashlet (inferior izquierdo) resume los tres vértices del triángulo del fraude y da una puntuación por cada uno para generar un gran total de calificación del fraude en la organización. Finalmente, el cuarto Dashlet (inferior derecho) muestra un consolidado de las últimas 50 alertas generadas por la solución, mostrando fecha, tipo de alerta, la persona que la generó, la frase que digitó y en qué aplicación.



Endpoints

En el menú superior de The Fraud Explorer encontrará el link Endpoints, donde podrá ver todas las personas que tienen el agente instalado de la solución y que están reportando todas las palabras que escriben.

En la primera columna (al pasar el mouse por el ícono gris que tiene forma de edificio) podrá ver el detalle de los datos de cada agente en cuanto a su plataforma (Dominio corporativo, versión de sistema operativo, nombre, dirección IP, número de sesiones y el estado de la conexión). Esta información es importante en el sentido de que se tendrá un inventario de qué posee el agente instalado y de donde viene. Una persona puede iniciar sesión en varios computadores, es por ello que introducimos el concepto de conteo de sesiones, para determinar que los datos enviados a la solución pueden proceder de múltiples equipos al interior de la organización e incluso sirve para poder detectar un uso inadecuado de sus credenciales para su trabajo donde varias personas estén usando un solo nombre de usuario sin que lo sepa la organización.



People under analytics

En esta columna se verá la identificación del agente, junto con su género (masculino, femenino). Cuando los agentes se conectan por primera vez a The Fraud Explorer, se mostrará el nombre de usuario que se le otorgó en el directorio activo, seguido del caracter @ y el nombre del dominio corporativo. Al pasar el mouse por el nombre del agente podrá observar un resumen de las alertas generadas por él, de los registros que han sido almacenados (cantidad de palabras), del score del fraude calculado (es un promedio entre las alertas por vértice de presión, oportunidad y justificación) y la representación de los datos del agente en la plataforma en porcentaje de acuerdo a todos los datos almacenados por todos los usuarios de la plataforma The Fraud Explorer. Al darle clic al usuario se le enviará a la pantalla de alertas donde se le mostrarán todas las que se han generado (esto se verá en un capítulo más adelante).

Ruleset

Esta columna muestra la clasificación de la librería a la que pertenece el agente. Esta clasificación recibe el nombre del departamento al que pertenece el empleado, ya que la librería de frases está diseñada para que concuerde con los cargos que ocupan las personas. Por defecto, todas las personas están bajo una línea base llamada BASELINE, que contiene frases en el vértice de presión, oportunidad y justificación que aplican a cualquier departamento y cualquier persona. Una vez se le cambie el Ruleset a una persona, ésta quedará aplicando la línea base más la nueva categorización especificada. Version, status, last y puntajes

Estas columnas muestran datos como la versión del Endpoint utilizada, el estado actual, si está online u offline y cuándo fue la última vez que el agente registró con la plataforma y envió datos conductuales.

Después de Last, siguen las columnas P, O, R, L y Score. P muestra las alertas que se han generado en el vértice de presión, O para oportunidad y R para justificación. La columna L muestra el nivel (Level) de criticidad de este Endpoint de acuerdo a los intervalos de criticidad definidos (que más delante se revisarán en este mismo documento). Finalmente en la columna SCORE se promedian las alertas de los tres vértices del triángulo del fraude.



Comandos y datos generales

En la parte inferior de la pantalla de Endpoints, se encuentra el botón que le permitirá hacer switch entre la activación y desactivación de la recolección de datos en los agentes.

Una vez presionado el botón, se le dará la orden a los Endpoints de que actualicen su configuración interna obedeciendo las instrucciones de desactivar o activar la recolección de frases en los computadores donde se encuentre instalado. Para un mayor detalle de esta funcionalidad por favor consultar en el Wiki de GitHub.

Configuración del agente

En la columna SET cada agente puede ser configurado. Se puede especificar un nombre, cambiar el género del agente y establecer cuál será su RULESET o Diccionario objetivo. En este diccionario objetivo se encuentran categorías como SALES, HUMAN RESOURCES, PURCHASES, MARKETING, entre otras.



Analítica

En el menú superior de The Fraud Explorer encontrará el link Analytics, donde podrá acceder al módulo de analítica horizontal y vertical. En él, encontrará un gráfico de dispersión donde cada Endpoint con alertas es graficado en dos ejes (x, y) pero con 4 variables (cantidad de alertas por presión en el eje y, cantidad de alertas por justificación en el eje x, oportunidad mediante el tamaño de la bola y finalmente el score con el color).

En el menú izquierdo podrá seleccionar el Ruleset que quiere graficar. Por defecto se grafican todos los agentes pero puede seleccionarse un Diccionario específico para que grafique solamente los empleados de un departamento en especial. En la leyenda se muestra un resumen de la cantidad de frases que existen en el diccionario y la cantidad de palabras clasificadas como alertas por cada uno de los vértices del triángulo del fraude. Adicionalmente puede dar clic en el link Access graphic data para visualizar en una tabla la analítica vertical (origen de datos).



Alertas

A esta pantalla se llega de varias maneras, a través de Endpoints cuando se da click en el nombre del endpoint, a través del módulo de Analítica cuando se da click en los puntos de la gráfica o desde el Dashboard en el dashlet inferior derecho que muestra las últimas alertas generadas por The Fraud Explorer.

En esta pantalla se observa la fecha en la que se generó la alerta, el tipo de alerta (si fue de presión, oportunidad o justificación), la aplicación en la que se digitó la frase que generó la alerta, la frase escrita, su par en el diccionario de frases y finalmente la opción de hacer tag de falso positivo a dicha alerta. Si se pasa el mouse por la primera columna en el ícono de información se podrá obtener una vista en detalle de la alerta, mostrando la expresión regular que generó dicha alerta y la frase con la cual hace match en el diccionario.



Tagging de alertas

Las alertas son generadas a través de un sistema que va buscando asociaciones de las frases escritas por las personas con las que están almacenadas en la librería o diccionario de frases, que contiene un listado de las frases que convergen con cada vértice del triángulo del fraude.

Es posible que una frase digitada por una persona corresponda con la almacenada en la librería de frases pero que por determinadas circunstancias ésta no encaja dentro la teoría del triángulo del fraude para la situación vivenciada en ese momento. Es por ello que The Fraud Explorer tiene la funcionalidad de marcar esa alerta como falso positivo o deshabilitarla y así eliminar sus cálculos para este Endpoint en especial. Estas alertas son calculadas cada ciertos minutos por el procesador de alertas que trae incluido la solución The Fraud Explorer. Este mismo procesador de alertas es el encargado de mantener la base de datos con información actualizada del comportamiento de cada Endpoint, es por ello que la plataforma actualiza cada ciertos minutos el estado de todas las alertas y cálculos en general de la teoría del triángulo del fraude de Donald Cressey.



Visualización de frases completas

En la misma pantalla de visualización de las alertas por presión, oportunidad y justificación de un Endpoint se puede ver la trama completa de escritura desde donde se generó la asociación con el triángulo del fraude.

Al dar clic sobre la palabra o frase en la columna Phrase typed se abrirá un popup con el historial completo de la escritura en la ventana especificada en la columna Application context. Aquí podrá visualizar toda la frase completa desde la cual salió la palabra o frase asociada en la librería de palabras del triángulo del fraude. Notará que las frases pueden contener errores de escritura, esto es debido a que las personas no escriben de forma perfecta la mayoría de las veces y estos errores de typo quedan reflejados en la base de datos del software y por ende en el visualizador de palabras. Existe una teoría de la cantidad de palabras que escriben las personas promedio por minuto, hombres y mujeres, así como de la cantidad de errores que comenten al escribir. Esta estadística podrá leerla al final del documento.



Configuración

En el menú superior, Configuration, es utilizado para modificar parámetros de la solución The Fraud Explorer. El primer parámetro key es el que permite a un Endpoint contactar con el servidor central, ambos, el servidor y el Endpoint deben tener el mismo key para permitir su comunicación, esto puede considerarse como una clave simétrica de seguridad.

Datos semilla

Todas las implementaciones de The Fraud Explorer vienen con datos de muestra o datos semilla. Estos datos pueden inhabilitarse seleccionando disabled en la opción Disable sample data calculation. Llave y vector de cifrado

Todos los datos almacenados y transmitidos viajan codificados con el algoritmo de llave simétrica Rijndael-128 Bits, es por ello que en esta opción debe especificar una cadena de 16 Bytes que será usada como llave para el cifrado y descifrado de los datos.



Contraseña de administrador

En este campo se puede cambiar la contraseña del administrador principal de la solución. Por defecto The Fraud Explorer viene con la contraseña de fábrica. Puntaje del cálculo del fraude

En toda la solución se observa que el fraude es catalogado como bajo, medio, alto y crítico, tanto en la pantalla de Endpoints como en el módulo de Analítica. Estos valores pueden ser ajustados por cada compañía y rol.

Librería de frases

En el menú superior, opción Ruleset, podrá descargar las librerías de frases (Español e Inglés) dando clic en el botón Download rules, para modificarlas y posteriormente volverlas a cargar una por una dando clic en el botón Upload rule.



Aquí también se puede visualizar el estado de la librería de frases, donde se tendrá un consolidado de cada una de ellas por vértice, el total y cuántos agentes pertenecen a su clasificación como departamento o área en la corporación.

Modificación de la librería de frases

Las librerías pueden modificarse, incluso, pueden crearse nuevas librerías en otros idiomas. Por el momento se tiene desarrollada una librería en Español y otra en Inglés. El archivo de la librería está en formato JSON, donde para cada llave se tiene un valor específico. Para especificar dentro del vértice Oportunidad (opportunity) la frase “economic problems” se usará la expresión regular "/\\b(economic (problems?|issues?))\\b/". Estas expresiones regulares están en el estándar PCRE.

Verificación de la librería modificada

Es muy importante verificar la librería modificada antes de subirla de nuevo a la plataforma The Fraud Explorer. Se puede utilizar el software en línea JSONLint en la dirección https://jsonlint.com, subir allí el contenido del archivo y darle clic en Validate JSON. Una vez que el archivo sea validado es seguro subirlo a la plataforma mediante el botón Upload rule.

Cualquier error en las librerías de frase de tipo sintaxis hará que la solución The Fraud Explorer no funcione de manera correcta, presentando errores en toda su interfaz de usuario.



Roles y perfiles

En el menú superior, opción Roles, se pueden crear usuarios y mapearlos a dominios corporativos, para que estos tengan las mismas funciones del administrador global pero solamente para su dominio dentro de la organización.

La solución The Fraud Explorer puede ser desplegada en ambientes donde sólo existe un dominio o en grupos empresariales donde existen múltiples dominios para cada compañía. El mecanismo que separa los roles y dominios está diseñado de tal forma que sea completamente independiente la operación y administración de aquellos subdominios creados. Cada rol y dominio realiza sus propios cálculos de fraude basado en la teoría del triángulo de fraude de Donald Cressey. Cada dominio y rol tiene su propio Dashboard con sus propios dashlets completamente independientes, todos los cálculos a su vez son propios, las gráficas, alertas, marcación de falsos positivos, reportes, la analítica horizontal y vertical y los mecanismos de configuración de intervalos de clasificación del fraude como bajo, medio, alto y crítico, son independientes de un dominio y rol a otro.



Mantenimiento

En el menú superior, opción Maintenance, se puede llevar a cabo un purgado de los datos del motor de base de datos MariaDB y del motor de datos no estructurados Elasticsearch.

La solución The Fraud Explorer recolecta gran cantidad de datos, segundo a segundo, de las palabras que son digitadas en las estaciones de trabajo donde el Endpoint se encuentra desplegado. Esta cantidad de datos va saturando los índices de Elasticsearch y la base de datos relacional MariaDB. Mediante este módulo se pueden llevar a cabo actividades administrativas, eliminando datos viejos de 1 mes a 3 meses en adelante en el índice donde se almacenan las palabras, en el índice de las alertas, en el índice de estado y también se pueden purgar los Endpoints viejos que hace más de 30 días no se conectan y que corresponden a aquellos empleados que cambiaron de equipo, que cambiaron de usuario o que simplemente ya no trabajan en la organización.



Despliegue del Endpoint

Ubicación del agente El MSI (thefraudexplorer.msi) debe estar ubicado en una ruta de red alcanzable para los usuarios finales al momento de la instalación. Se recomienda que se utilice el mismo servidor de Directorio Activo para crear el recurso compartido. Creación de la política para instalar Se debe utilizar el Group Policy Management de Windows Server para construir la política que desplegará el agente en los computadores de los usuarios asignados. Esta política tiene como premisas que el software se asignará, mas no se publicará, que se hará a nivel de usuario/grupo, mas no a nivel de computador y que se instalará después de que el usuario haga login. El procedimiento a seguir desde la consola del Group Policy Management de Windows Server es el que se muestra a continuación. Paso Actividad

1 Abrir el Group Policy Management en el menú Start Administrative Tools Group Policy Management.

2 Seleccionar el bosque por defecto dominio por defecto Group Policy Objects click derecho en él y luego en new.

3 Escoger un nombre de política que no llame mucho la atención y sea genérico. Se recomienda para esta solución usar uno como “Analytics Software”

4 En Display Links in this location seleccionar el bosque por defecto.

5

Asegurarse de que en el campo “The following sites, domains, and OUs are linked to this GPO” contenga la lista de unidades organizacionales a las que se les aplicará globalmente la GPO. Esto no significa que aquí se desplegará, sino que se utlizará como base para el filtro del siguiente paso.

6 En Security Filtering se deben agregar los usuarios del dominio a los cuales se les desplegará el software.

7 Dar click en el OU al cual pertenece el usuario a asignar el software y hacer link de la política dándo click derecho en el OU y luego en Link an existing GPO, para posteriormente seleccionar “Analytics Software”.

8 Dar click en Group Policy Objects y luego click derecho en la política Helper Software Package Edit

9 En User Configuration Policies Software Settings Software Installation, dar click en New Package.

10 Seleccionar el archivo msrhl64svc.msi en la ruta de red compartida creada en el procedimiento de ubicación del agente en este mismo capítulo.

11 Seleccionar Advanced en la lista de opciones de despliegue.



12 Seleccionar la pestaña Deployment, luego dar click en la opción Assigned, luego en Uninstall this application when it falls out of the scope of management y luego en install this application at logon.

13 Presionar el botón OK. Este procedimiento crea la política, selecciona a qué usuarios se les desplegará y establece patrones de configuración para su instalación y des-instalación. Pueden existir cambios de acuerdo a la topología de la organización, pero en todo caso se seguirá este procedimiento y lo único que cambiará será el Link de la política al OU y el Secuity Filtering. Des-instalación del agente Para des-instalar el software se debe entrar al Group Policy Management, seleccionar la política creada llamada Analytics Software, que está dentro del bosque principal, en Group Policy Objects, dar click derecho sobre ella y luego en Edit. Ubicarse dentro de User Configuration Policies Software Settings Software Installation, dar click derecho sobre el software asignado y luego en All Tasks Remove. Finalmente se debe seleccionar la opción Immediately uninstall the software from users and computers. Esto ocasionará que al próximo inicio de sesión se des-instale completamente el software de la lista de aplicaciones del sistema operativo. Efectos de la política

El usuario objeto de la política iniciará sesión con su usuario y el sistema operativo se dará cuenta de que debe aplicar una nueva configuración de política GPO. En este orden de ideas, el sistema operativo y entorno del usuario experimentará estas acciones:

Efecto Componente Descripción 1 Al hacer login Si el sistema operativo es Windows XP, el usuario

verá un aviso diciendo “Instalando Analytics Software” inmediatamente después de hacer login. Si es Windows Vista, 7, 8 o 10 el usuario no verá ningún mensaje en pantalla.

2 Al empezar a trabajar después del primer login

En el primer login se instala lo dictado por la GPO (el agente MSI). Al correr el MSI, éste crea una entrada en el listado de aplicaciones instaladas bajo el nombre de “Analytics Software”, al mismo tiempo que crea los componentes de instalación en



Estadísticas de escritura

La persona que mas palabras ha escrito en el mundo a través del teclado fue Stella Pajunas en el año 1946, con un registro de 216 palabras por minuto.

la ruta AppData\Roaming de los directorios protegidos del usuario. Luego, el instalador ejecuta un procedimiento de post-instalación que ejecuta el agente y éste se copia a la ruta ProgramData\Software. Este agente verifica si es primera vez que se ejecuta o si es la segunda en adelante. Si es la primera, se limita a instalar su llave en el registro de Windows que le permitirá arrancar las siguientes veces y luego sale.

3 Al hacer el segundo login

El agente se inicia de acuerdo a lo especificado en la llave del registro de Windows y empieza a capturar datos para enviarlos al servidor central.

4 Al desinstalar el agente

El usuario no percibe nada. Internamente el software elimina su entrada de listado de aplicaciones instaladas, del registro de Windows y de cualquier archivo ejecutable y base de datos relacionada con el software.



Los hombres y mujeres promedio no escriben tantas palabras por minuto. Se ha registrado que los hombres pueden escribir hasta 44 palabras por minuto y las mujeres 37. Esta conclusión nos llevaría pensar que un trabajador que dedica el 30% de su tiempo laboral (2.5 horas) a escribir, podría generar al día 6.336 palabras, contando con que escribe sin parar, sin descansar y sin interrupciones.

Sin embargo, no todas la palabras que escribe una persona promedio en el teclado son perfectas. Al escribir cometemos errores. La estadística indica que las personas promedio cometen 8 errores por cada 100 palabras digitadas. The Fraud Explorer es un software que recoge todas las palabras digitadas en un ambiente laboral, por lo que los errores de escritura por parte de un empleado podrían afectar la exactitud con la que se analizan y se toman decisiones sobre los datos. Este punto es de vital importancia a entender por parte del operador y administrador de la plataforma porque dichos errores se pueden visualizar en el módulo de alertas, en el visor de frases y no es que el software esté capturando mal los datos sino que cada uno de esos errores está justificado por un error de typo en el teclado. The Fraud Explorer intenta hacer frente a estos errores implementando un corrector de escritura dentro de su núcleo, que viene habilitado por defecto. Este corrector de escritura se basa en el algoritmo fonético de Lawrence Philips que usa la pronunciación de las palabras, pero aún así, el corrector podría cometer errores al momento de intentar generar la corrección de una palabra. Basado en las estadísticas, The Fraud Explorer es un software que espera recibir por cada persona en ambiente laboral un promedio de 6.336 palabras diarias. Cada palabra tiene en promedio 8 caracteres (8 bytes), por lo que el tamaño en Kilobytes diario esperado para una persona en la base de datos sería de 49.5 Kb. Si la solución The Fraud Explorer se despliega en una compañía con 1500 empleados, se esperaría recibir en promedio (tope mas alto) 74.250 Kb de datos diarios, es decir, 72.5 Mbytes, que serían al mes 2.12 GB de datos que estarían en el motor de almacenamiento de texto Elasticsearch.



Preguntas The Fraud Explorer

Para preguntas sobre tópicos Contacte aquí

• Procedimientos técnicos internos • Integraciones • Metodología técnica • Licenciamiento técnico

NF S.A.S Medellín, Colombia Calle 64 Sur # 39 - 110, Sabaneta PBX: +57 (4) 322-2663 [email protected]

the fraud explorer userguide · 3 tabla de contenido aviso legal ..... 2 propiedad intelectual........

Documents