El creciente número de casos de fraude corporativo preocupa a los funcionarios responsables de la gestión de riesgos y seguridad de la información. De acuerdo con la Encuesta Mundial de Delitos y Fraudes Económicos de PwC 2018, el 49% de las empresas en todo el mundo son víctimas de fraude y delitos económicos. Estos se incrementaron en un 13% en el último año. PwC’s 2018 Global Economic Crime and Fraud Survey
Los medios de comunicación y los expertos destacan estos incidentes: los casos de fraude corporativo, las filtraciones de información y la incompetencia del personal son de gran interés para el público.
El problema no sólo está en las pérdidas financieras, sino también en la reputación empañada. En la era de la digitalización, las empresas enfrentan un gran dilema, una publicación con contenido negativo después de viajar a través de las redes sociales, se propaga en los medios de manera muy amplia y rápidamente.
Enfrentar las consecuencias no remedia nada, ya que el control post factum se refiere sólo a eventos pasados. La prevención es la base de la gestión moderna de riesgos.
Los campos de acción de la gestión de riesgos son muy amplios, los expertos son responsables del cumplimiento normativo, de la seguridad de las tecnologías informáticas, de la auditoría interna, de la prevención de fraudes e investigación de incidentes internos.
El objetivo de cualquier empresa es simplificar y asegurar los procesos de negocios, por lo tanto, es necesario identificar rápidamente y eliminar la fuente de los problemas. El monitoreo en línea ayuda a luchar contra todos los tipos de riesgos de recursos humanos.
Como desarrolladores de soluciones de protección contra el fraude corporativo y prevención de pérdidas financieras, proporcionamos control de los riesgos internos relacionados con el factor humano.
Creo que todos nos damos cuenta de que las actividades de los malos elementos internos relacionados con los datos corporativos son un problema. Los empleados desvían las bases de datos, divulgan conocimientos técnicos y los planes de negocios de la empresa, además de filtrar datos personales.
Además de la ventaja que se concede a los competidores, la realización de estas actividades podría dar lugar a la quiebra y a sanciones relacionadas con el incumplimiento de la normativa vigente.
Sin embargo, las amenazas antes mencionadas son evidentes y ampliamente discutidas. Usemos ejemplos de casos de clientes reales para considerar amenazas ocultas, atribuibles a los riesgos del factor humano.
Análisis del estado anímico en el lugar de trabajo y gestión de la fidelidad de los empleados.
A veces, un empleado puede demostrar emociones negativas o insatisfacción laboral frente a sus colegas, y así socavar el estado de ánimo del equipo. Un empleador puede percatarse rápidamente sobre tales situaciones y tomar medidas para contrarrestarlas adecuadamente.
El encargado de la Gestión de Riesgos de una empresa de ventas al detalle, un supermercado, detectó que un Gerente de Ventas expresó su insatisfacción con las tareas y las condiciones de trabajo en conversaciones con sus colegas. El empleado incluso habló de dejar la empresa para irse a trabajar con la competencia. La investigación se inició para evitar la fuga de datos, porque el empleado tenía acceso a la base de datos de los clientes y a los documentos confidenciales. Resultó que el empleado era un trabajador experimentado y diligente, pero que no había tenido un aumento salarial durante dos años. El jefe de ventas habló con el empleado y resolvió el problema: se aumentó su salario y se modificó el área de responsabilidad de sus obligaciones laborales.
Esta situación pudo resolverse con ayuda del cifrado de datos y el control de los derechos de acceso. Sin embargo, si una empresa desea conservar empleados valiosos y devolverlos a su lugar de trabajo con una perspectiva más positiva, debe realizar un seguimiento sobre la lealtad de los empleados.
Sacando provecho de los recursos de la empresa
Desafortunadamente, el uso de recursos corporativos para beneficio personal es algo común. Un empleado puede obtener acceso a datos confidenciales, pero el sistema de detección de eventos anormales minimizará el impacto negativo. Uno de nuestros clientes tuvo un incidente de alto perfil:
El Departamento de Informática de una empresa de desarrollo de software descubrió que uno de los empleados instaló Photoshop en su computadora, pero este no era un programa necesario para realizar sus tareas.
El sistema también alertó sobre la copia constante de propuestas comerciales.
Una investigación interna reveló que las sumas de dinero en estos documentos fueron alteradas siendo cambiadas por otras más grandes. Gracias al seguimiento de eventos anormales, la empresa pudo detectar un esquema de fraude.
Prevención interna de riesgos corporativos
Comprender la influencia del factor humano en los procesos de una empresa significa haber hecho ya la mitad del trabajo, pero para tener éxito se debe garantizar un enfoque integrado de la gestión de riesgos. Para lograr esto se debe responder a las siguientes preguntas:
- ¿Quién está a cargo de la gestión de riesgos en su empresa?
Un aspecto del panorama de la gestión de riesgos es la responsabilidad de las organizaciones y sus empleados. En la mayoría de las empresas, un administrador de riesgos está a cargo del monitoreo de los empleados, la detección de fraudes y la investigación interna.
El análisis del nivel de los riesgos corporativos internos, la provisión de prácticas en investigaciones internas y los programas anticorrupción también son tareas del Jefe de Auditoría Interna. Sin embargo, en las empresas más pequeñas, los empleados del Departamento de Seguridad de la Información pueden realizar estas tareas. El punto principal es que la persona que asuma responsabilidades debe comprender los procesos de negocios, saber quién es quién en la empresa, tener experiencia en investigación y una mentalidad analítica sólida.
- ¿Qué herramientas le permitirán monitorear en línea los riesgos corporativos?
En mi opinión, dos sistemas principales ayudan a asegurar el control interno: la solución DLP y el software de monitoreo de empleados (EMS). Por un lado, DLP es una prioridad importante para las empresas en la actualidad para proteger la información confidencial de fugas y analizar una gran cantidad de datos. Por otro lado, la solución no tiene suficientes recursos para facilitar el cumplimiento de las normas y los procesos de investigación. Las herramientas de monitoreo de los empleados interceptan y recopilan mucha información sobre el personal de la empresa, lo que permite la investigación de fraudes corporativos y la detección de comportamientos anormales. Sin embargo, este software, así como la UEBA, (User Behaviour Analytics), no tiene instrumentos analíticos convenientes ni informes legibles, por lo que se acumulan datos sin procesar. Como resultado, para realizar una investigación y detectar empleados involucrados en esquemas fraudulentos, una empresa debe implementar una solución que incluya las características de EMS y DLP con tecnología forense moderna y una amplia gama de informes.
*Por Ricardo Martínez, Gerente de Negocios y Alianzas Regionales para LatAm, SearchInform