El crimen cibernético obliga a las empresas a mirarse por dentro
Aunque todos los delitos que son cometidos a través de plataformas digitales acarrean pérdidas económicas, los mayores temores de los altos ejecutivos se reflejan en la posibilidad de una reducción de la moral interna.
Colombia, en algunos casos, muestra un comportamiento superior en la ejecución de crímenes cibernéticos o de plataformas electrónicas comparada con los demás países del continente, lo que sucede no por falta de controles internos de las compañías, si no por una poca conciencia sobre el tema.
La mayoría de los altos ejecutivos consideran que estos casos corresponden exclusivamente a los departamentos de control interno, sin embargo, toda la empresa es responsable de identificar sus fallas, debilidades y casos que ya forman parte de la cotidianidad de la misma.
En la mayoría de los hechos no son agentes externos quienes atacan los sistemas, roban datos, realizan transacciones fraudulentas o extraen información de las bases de datos. Son los mismos trabajadores de las compañías quienes ejecutan estos delitos. En la mayoría de los casos de manera continuada.
“De cien mil pesos en cien mil, hemos identificado como se han producido en el país robos de hasta 3000 mil millones de pesos. Un millón de dólares que van minando la capacidad financiera de una empresa sin importar su sector.” Dijo Ana Milena Villareal M. Advisory Service de la empresa PricewaterhouseCoopers.
La ejecutiva en una exposición ante más de 200 directivos cooperativos, en Cartagena organizada por Fecolfin, señaló que muchos esperarían que los mayores crímenes cibernéticos se realizaran por Hackers o ladrones cibernéticos que interceptan las comunicaciones y redes de una empresa a otra, por el contrario en mucho de los casos son los mismos empleados, con antigüedad en la nómina quienes realizan estas acciones ilegales.
En un Estudio realizado por PWC el perfil de los responsables de este delito para Latinoamérica muestra que en el 67 por ciento de los casos son hombres entre 35 y 40 años con tres a cinco años de trabajo en la compañía. Sin embargo para Colombia se ha determinado que estos empleados llevan en promedio más tiempo de vinculación.
Los delitos no son solo el robo de dinero de las cuentas bancarias, tarjetas de crédito o transacciones no aprobadas por los usuarios, también se presentan casos como el robo de información, corrupción de los departamentos de compras, sobre todo los más grandes, sobornos y la manipulación de activos.
Los robos, cuya consecuencia son evidentes en pérdidas económicas para los usuarios y las empresas, acarrean otras consecuencias que a largo plazo pueden ser mucho más graves, como la pérdida de credibilidad, o el costo reputacional y lo que más preocupa a los CEO de las compañías, la afectación en la moral de los grupos de trabajo.
Lo que pareciera algo de control cotidiano se convierte, en entonces, en todo un tema que exige la mayor especialización de los equipos directivos, quienes muchas veces están concentrados en el funcionamiento de los negocios y ven estos casos como aislados. Sin embargo, la práctica continua de delitos informáticos y de sistemas implica daños irreparables para las compañías.
Cultura organizacional
Se considera que es en el sector bancario y financiero donde se concentra el mayor número de casos, sin embargo hoy cualquier empresa está expuesta a estos riesgos.
Por ejemplo en el comercio, la industria, servicios, los manejos de grandes volúmenes de información implican controles más estrictos. Controles que no pueden ser delegados a un departamento exclusivamente.
Ana Milena Villareal M. explicó que muchos directivos consideran que la responsabilidad del control de los crímenes cibernéticos son exclusividad de los departamentos de auditoría, pero estos en muchos casos no des engloban los problemas de seguridad, lo que impide identificar el o los responsables del delito.
“Son los dueños del proceso quienes tienen la primera responsabilidad de identificar aquello que no le parezca normal. También están los departamentos de gestión de riesgo y defensa y en una tercera instancia los de auditoría interna” dijo.
A lo anterior hay que sumarle, que departamentos como los de personal o una empresa forense, cuando es contratada contribuyen a identificar las irregularidades, fortalecer los controles e identificar a los responsables.
Las administraciones tienen la obligación de crear una cultura interna sobre los delitos informáticos y recordar permanentemente las consecuencias de cometerlos. Más aún cuando se ha identificado que la mayoría de los casos fraudulentos son cometidos por el personal interno, con manejo y confianza. Personas que por su trayectoria tienen los permisos en los sistemas para borrar las pruebas de las operaciones cometidas.
“No son delitos de un día, son acciones continuadas que sumando llevan a rodos de millones de dólares por períodos de varios años” insistió la ejecutiva.
Otra alternativa está en la formación permanente de los equipos sobre el tema para que se dé una autorregulación y todo el sistema vigile las irregularidades que se cometan. El control a cada proceso.
Entre tanto las autoridades judiciales muestran evidentes falencias frente al manejo de este tipo de actividades, muchas de ellas asumidas por la misma empresa, que se limita a mantenerlas en reserva para evitar señalamientos por parte de los usuarios, dijo.
Por último la experta destacó que son los altos ejecutivos quienes tienen la primera responsabilidad de llevar el tema de los delitos cibernéticos a sus procesos de cultura organizacional, pues éstos no son servicios que deban ser delegados a departamentos específicos. Su manejo y castigo debe ser ejemplificante, así quienes los cometan sean los trabajadores más cercanos y con trayectoria dentro de la empresa.