El Insider, el delito interno y los fraudes “Insiders” son todas aquellas personas autorizadas para ingresar, acceder, trabajar y circular con cierto grado de libertad en una empresa. Implantar una política de control de insiders le entrega a toda empresa beneficios inmediatos, para ello tiene que proveerse de equipamiento electrónico, técnicas profesionales de mitigación y un buen nivel de concientización de los empleados de confianza.
Todas las empresas, independiente de su tamaño, rubro o lugar geográfico son pasibles de actos delictivos. Para poder comprender este problema tan arraigado en el ámbito empresarial, se debe partir del principio que las personas y el dinero siempre producen una mezcla explosiva. La codicia, la envidia o creer que el dinero lo va a resolver todo hace que algunos individuos vean a la apropiación fácil de dinero como una solución rápida a todos sus problemas. Cuando me refiero a “insiders” son todas aquellas personas autorizadas para ingresar, acceder, trabajar y circular con cierto grado de libertad en una empresa, para clarificar el tipo de empresas a las que me refiero no incluyo a los comercios. Continuando con la definición de “insider” incluyo a los empleados, gerentes, jefes, contratistas, subcontratistas, personal auxiliar, personal eventual, proveedores e, inclusive, clientes que ingresan a la empresa en todas sus variantes. Pensemos a la empresa como si fuera nuestra casa, imaginemos entonces una empresa actual como si fuera nuestra casa pero donde las personas, no necesariamente miembros de nuestra familia, circulan, trabajan y permanecen dentro de ella debidamente autorizados. Esos son los “insiders”.
Las empresas poseen activos y estos activos valen dinero, el vínculo entre el insider y el activo es un vínculo puramente económico, sin excepción. Esto no significa que se deba sospechar de todo insider, lo cual podría definirse como un síntoma de paranoia (¡!), sino tener un grado de control activo, no pasivo, sobre todos aquellos autorizados a permanecer en la empresa, durante o fuera de los horarios de trabajo. Cualquier tipo de control que se aplique debe ser un control activo ya alguien debe ejercerlo. Cuando comenzó a leer esta nota seguramente habrá pensado directamente en el robo interno de parte de los empleados. Esa es la forma más común de perpetrar un delito, sin embargo no es la única ni la que más perjuicio económico causa a una empresa.
Imagine un gerente de desarrollo o de márketing que pasa información de equipos, modelos, precios, zonas de venta, áreas de explotación, stocks, nuevos desarrollos, métodos y procedimientos, acciones estratégicas u operativas a una empresa competidora. O se lleva ciertos documentos confidenciales para extorsionar a la Dirección General en caso de que lo quieran despedir.
En el ejemplo anterior comenzamos a descubrir que no solo el robo de mercadería o herramientas es un perjuicio sino también el robo de información. El fraude, por otra parte, es un delito que siempre es planeado con anticipación. No es un acto delictivo de los que denominamos “de oportunidad”.
Veamos un ejemplo. Cuando un mal empleado descubre que fue registrado por las cámaras de seguridad cometiendo una de acción no permitida: no trabajar correctamente, o descansar en horas laborales o retirarse del lugar de trabajo sin autorización, puede recurrir a su sindicato aludiendo algún tipo de dolencia o persecución personal. El sindicato le asignará automáticamente y de forma gratuita un abogado y un médico y, en consecuencia, el empleador estará en la obligación de abonar mensualmente el salario de este empleado a la vez que debe mantenerle el puesto, contratar a un empleado suplemente y prepararse para abonar una indemnización. Todo esto representa una acción fraudulenta. El insider también puede ser un contratista, un empleado de un contratista, o personal auxiliar o eventual. Estas personas, generalmente dependen de un jefe o responsable externo a la empresa con lo cual sus acciones son difíciles de controlar o evaluar.
Son muchos los que piensan que las cámaras de seguridad resuelven todo. Las cámaras son un complemento invalorable a las contramedidas que se pueden implementar para impedir este tipo de delitos.
Sin embargo, la lista de delitos es extremadamente amplia, y no solo debe incluir a los delitos intencionales sino a aquellos actos causados por negligencia de parte de los propios insiders. Es decir, acciones sin mala intención pero que resultan en un perjuicio a las empresas. Sumemos a esto los ciberataques, los hackers, la información no destruida adecuadamente, e, inclusive, todos aquellos mecanismos que evito nombrar por razones obvias que permiten obtener datos para perpetrar delitos con anticipación como lo son los mecanismos de inteligencia de fuente abierta. Resumiendo: la seguridad es una ciencia y un arte y el epílogo de lo que acabo de contar me hace recordar una antigua frase “a grandes males, grandes remedios”. En seguridad ser drástico es obligatorio, cualquier punto débil representará una vulnerabilidad que alguien, tarde o temprano, va a aprovechar.