24 de diciembre de 2009

Cómo prevenir el fraude de sus empleados

No es ningún secreto que la crisis ha aumentado los despidos, pero con lo que no muchos directivos han contado es con las posibles represalias de los ex empleados.

"En una economía en recesión, muchos empleados que han pasado por un proceso de despido podrían mostrar resentimiento hacia su empresa y realizar acciones que podrían afectar negativamente a ésta", explica Marc Martínez, socio del área de Information Tecnology Risk & Assurance de Ernst & Young, "de hecho, cada vez hay más casos en los que los sistemas de información y los datos de las compañías son objeto de robo o manipulación por parte de los ex empleados".

Un fraude habitual

Pero no sólo hay que fijarse en los despedidos, dentro de la propia empresa puede haber empleados que empleen información de su empresa para beneficio propio. Se trata de un tipo de fraude bastante habitual: un grupo de trabajadores crea una empresa propia y, sin dejar de trabajar en la primera, deriva clientes de una a otra.

Todo esto parece un planteamiento paranoico, y muchos empresarios no terminan de creer en esta amenaza. "En las compañías de investigación sí que están concienciados, en el resto no tanto", asegura José Ramón Pin Arboledas, profesor del IESE. Lo cierto es que se puede matizar que en los equipos de sistemas y seguridad sí están alerta pero, como lamenta Marc Martínez, "donde falta concienciación es en la alta dirección, que son los que le tienen que dar los presupuestos. A ese alto nivel no se llega hasta que no ocurre algo grave".

Por otro lado, Daniel Sanmartín, secretario de la Asociación Profesional de Detectives Privados de España, añade que "las empresas siempre piensan en el típico hacker, pero en una empresa industrial típica esta amenaza es despreciable. El principal riesgo es el factor humano interno".

Lo cierto es que del 75% de empresarios que afirma estar preocupado ante las represalias que sus antiguos empleados pudieran tomar, un escaso 26 por ciento tiene en marcha alguna medida para mitigarla, según los datos del informe 2009 Global Information Security Survey de Ernst & Young.

Para combatir o por lo menos mitigar este problema existen ciertas medidas que puede tomar.

Despido sorpresa:

"Muchas veces los despidos se hacen de forma sorpresiva", explica José Ramón Pin, "de manera que ya no se le deja entrar en su ordenador una vez se le ha comunicado". Este procedimiento es especialmente importante en caso de que el despido se deba a las sospechas de que el empleado filtra información.

Cifrado de portátiles y DLP:

No basta con ponerle una contraseña al ordenador portátil, lo prudente es cifrar la información para evitar que se filtre en caso de pérdida o robo. "Esto tiene mucho sentido en empresas con empleados con alta movilidad. Una contraseña es fácilmente saltable", afirma Marc Martínez, "se trata de cifrar todo el disco duro. Hay un segundo nivel de acceso adicional mas complicado de saltar".

Aun así, según el mencionado estudio de Ernst & Young, tan sólo el 41 por ciento de las empresas cifra sus portátiles, y un 17% planea hacerlo en el próximo año.

El cifrado de portátiles es una de las aplicaciones de las tecnologías de prevención de fuga de datos (DLP por sus siglas en inglés), que se basa en la combinación de distintas herramientas y procesos para la identificación, supervisión y protección de información sensible. Marc Martínez pone un ejemplo: "Hay empresas que no dejan copiar en pendrive información sin cifrar. De manera que sólo lo podría volver a leer en un ordenador de la misma empresa, previa introducción de clave".

'Cloud computing':

Se trata de almacenar el software y la información de la empresa en Internet, de manera que los equipos físicos están vacíos y su robo no entraña peligro alguno. "Es una tecnología muy reciente, pero su uso se extiende muy rápidamente", asegura Marca Martínez.


Las empresas sufren robos al descuido por abuso de confianza de sus empleados y desaparece material o equipo, pero los más costosos son los realizados por altos directivos. Bien a golpe de 'visa oro' o por medios más sofisticados. El que quiere robar siempre encuentra justificación para hacerlo, aunque lo más abundante son venganzas por sentirse mal valorado.

El robo de productos suele ser el más corriente entre los empleados. Aunque sea de bajo coste, la continuidad delictiva en el tiempo termina suponiendo un auténtico dineral, aunque este tipo de delitos sean los más sencillos de detectar.

Así, por ejemplo, la Policía Nacional detuvo hace unas semanas a un transportista que trabajaba para una empresa valenciana como presunto autor de un delito de hurto continuado de jamones ibéricos, ya que se apoderó de 254 de ellos valorados en unos 60.000 euros de la empresa de embutidos. En el momento de la detención llevaba seis de ellos.

La tentación de las llaves

Más difícil de detectar resulta el caso en que es el directivo quien roba, ya que él impone y verifica los controles. Tal es el caso del director de almacén de una gran superficie comercial que desviaba algún camión de reparto de botellas a un pub cercano donde las vendía. Para disimular el robo, registraba la entrada del material falsificando los albaranes. El delito se detectó varios años después, cuando la dimensión del volumen de botellas registradas en los anaqueles triplicaba físicamente las dimensiones del almacén.

Por cierto, que el directivo de la empresa reconoció que sabía que antes o después le iban a descubrir, pero ya se había acostumbrado a los ingresos extras y era incapaz de rebajar su nivel de vida.

La tarjeta de la empresa

Uno de los fallos de los controles de seguridad más clamorosos es el de las tarjetas de crédito. Cuanto mayor es el nivel más facilidad hay para encubrir gastos personales y extracciones de dinero en los cajeros. Las cifras defraudadas suelen ser, tras un periodo de actuaciones más o menos largo, muy elevadas. Con extracciones de 600 euros cuando se quiso detener a uno de los investigados, la cifra ascendía a 400.000 euros.

Lo de meter la mano en la caja, considerada aquí como picaresca española, es una de las corrupciones que peor llevan holandeses, daneses o alemanes, que se lo piensan dos veces antes de comprar una empresa española o de abrir una sucursal.

Crear negocio propio o por venganza

Aunque la obsesión de los departamentos de informática es protegerse de la entrada de intrusos a través de los servidores, la mayor parte de los robos de propiedad industrial los ejecutan directivos de la empresa.

Resulta muy común el robo de información en una empresa para ser utilizada particularmente por el directivo en negocios personales, paralelos a su trabajo en la entidad, para fundar su propia empresa, o para ser vendida a un competidor.

Pero la causa más frecuente es la venganza. Un directivo que se siente poco reconocido o que ha sido despedido puede encontrar en el hurto la manera de perjudicar a la empresa y de sentirse compensado.

Robo de secretos

En los departamentos de ventas, por ejemplo, lo más corriente es tratar de robar la base de datos de clientes y de clientes potenciales. En otros, lo que se trata de conseguir son los planes de negocio, campañas publicitarias, diseños o planos, que son grandes activos de la compañía.

Estos robos de secretos industriales y de propiedad intelectual resultan muy difíciles de detectar puesto que quienes los realizan suelen dejar pistas o incluso implicar a empleados de la empresa con escasos conocimientos técnicos, que aparecen como culpables del desmán al revelar su contraseña, desactivar un programa de seguridad, realizar una copia ilegal o activar un virus.

Basta con que un usuario avezado decida aprovechar la línea ADSL de la empresa e instalar un programa de intercambio de archivos peer to peer en el ordenador para bajarse música o películas.

El mejor ejemplo se dio en Estados Unidos en 2006 con la más emblemática de las empresas en lo que se refiere a secretos industriales: Coca-Cola. En este caso, una directiva media de la compañía fue detenida cuando intentaba vender información secreta sobre la fórmula a Pepsi-Cola, la gran empresa de la competencia. En este caso fue Pepsi quien avisó a su competencia del intento de robo. La directiva actuó en connivencia con personas externas a la empresa que hicieron de intermediarios.

Para cumplir los objetivos

Las empresas que imponen a sus directivos objetivos poco reales sufren las consecuencias, ya que una buena parte de ellos maquillará sus resultados para percibir sus incentivos, lo que hará que la contabilidad sea irreal y, en muchas ocasiones coloque a la empresa en una situación desesperada.

Mucho peligro tienen los que maquillan los ingresos de dinero para justificar las cantidades que distraen hacia sus cuentas.

Mediante compañías comisionistas

Algunos directivos se especializan en crear cuentas fantasmas de acreedores que desvían dinero a otras abiertas a nombres de familiares o amigos. Más corriente es crear sociedades intermedias entre los proveedores y la empresa para encarecer las compras con la comisión que perciben ests individuos.

Esta actividad no afecta sólo al material que compra la compañía, sino que durante los últimos años ha sido muy corriente en la compra de inmuebles, donde sin moverse de la propia notaria el alto directivo conseguía plusvalías de hasta un millón de euros sin que la empresa se enterase hasta muchos años después.

Timo en compras y fusiones

Lo mismo ocurre con las empresas que obtienen unos beneficios discretos, lo que redunda en un menor reparto de dividendos, ya que en la cúpula de la compañía suele tener tentación de maximizarlos para mejorar el reparto entre los accionistas, sobre todo si la empresa tiene un posible comprador.

Se han comprado empresas con notable ligereza. Pues una vez que el comprador ya es el nuevo dueño empieza a detectar maquillajes para mejorar las cuentas o, incluso, vaciados patrimoniales que no constaban en la contabilidad. Lo mismo ocurre con las emisiones de deuda empresarial.

Investigación:

Si un empleado está realizando actividades fraudulentas derivando clientes, la situación se puede detectar a tiempo. "Lo principal es que cualquier situación atípica debe investigarse", asegura Daniel Sanmartín, "si un empleado, por ejemplo, vende menos que sus compa- ñeros, es una situación atípica, no tiene que ser porque esté defraudando (puede tener una cartera más afectada por la crisis, ser menos capaz, etc.), pero debe investigarse, tanto internamente, desde la empresa, como externamente, con detectives privados".

Y, sobre todo, es importante actuar, si no lo hace, se arriesga a crear una sensación de impunidad entre el resto de su plantilla.

0 comentaris:

Publicar un comentario

Twitter Facebook Favorites

 
Design by NewWpThemes | Blogger Theme by Lasantha - Premium Blogger Themes | New Blogger Themes