El que no sabe lo que busca, no entiende lo que encuentra
Claude Bernard
El tejido empresarial ha sufrido grandes cambios en los últimos años, debido a la incorporación de nuevas tecnologías y a inevitables cambios en los procesos de negocio. Aunque dichas transformaciones tienen un indudable impacto positivo en la eficiencia y productividad de las compañías, conviene estar alerta ante los retos que surgirán de los nuevos modelos de relaciones internas y con terceras partes. Esto es especialmente importante en el contexto actual, en constante cambio, donde cada vez resulta más difícil realizar previsiones a medio o largo plazo, y donde las modificaciones sobre procesos y plantilla se producen con muchísima más rapidez.
En el ámbito de investigaciones internas relacionadas con fraude ocupacional e incumplimientos de políticas corporativas, debido al contexto bajo el que se diseñaron en primera instancia, los controles siempre han ido un paso por detrás de las conductas irregulares. Este desfase, si no se es especialmente cuidadoso, puede acusarse más aún con la incorporación de nuevas tecnologías ya que, necesariamente, con la evolución de los procedimientos internos, la forma de esquivar ciertos controles evoluciona también.
Aunque el primer impulso a la hora de enfrentar esta problemática pueda ser el establecer controles muy estrictos para los empleados (reglas y herramientas de Data Loss Prevention, restricción de envío a dominios de correo electrónico gratuito, bloqueo de ciertas páginas web, inhabilitación de puertos USB, etc.) es importante hacer una reflexión pausada antes de actuar. La incorporación de controles excesivamente restrictivos, que puedan incluso impedir el desempeño habitual de funciones, puede generar malestar entre los empleados. Asimismo, no evitará necesariamente ciertas conductas irregulares, sino que forzará a que se lleven a cabo de forma que escape al control de la compañía (teléfonos móviles personales, aplicaciones de mensajería instantánea, etc.).
El enfoque más eficaz y flexible a la hora de enfrentarse a estas amenazas consiste en combinar limitaciones genéricas como las anteriormente mencionadas – en su modalidad menos restrictiva-, con controles que no respondan a una simple alerta binaria sino a combinaciones de eventos sospechosas. Siguiendo este planteamiento mixto, se pueden además automatizar diferentes respuestas en función de la naturaleza y gravedad de las acciones irregulares que se detecten. Este tipo de granularidad es clave a la hora de neutralizar riesgos en una empresa, ya que permite establecer prioridades y focos de atención a nivel funcional, sin alertar ni afectar a la operativa normal, y asegurando una postura mucho más sólida de la entidad ante un potencial proceso judicial, en caso de que se identifiquen acciones que deban ser sancionadas.
En línea con esa necesaria garantía formal, un aspecto adicional que debería guiar una toma de decisiones eficaz es la consideración de una metodología forense, que garantice la preservación de datos en aquellos casos en los que se pueda estar incurriendo en algún tipo de actividad irregular. Los sistemas de monitorización tradicionales han priorizado la respuesta ante incidentes y la seguridad de los sistemas de información, sobre la constitución de fuente de prueba; sin embargo, en el contexto de investigaciones, cuando lo que queremos es controlar y evitar acciones contrarias a políticas o leyes, es importante incorporar, desde el diseño de los mecanismos de defensa, la cobertura de generación de prueba que permita dar solidez y garantía a todo el proceso de investigación.
El objetivo debe ser, por tanto, moverse de forma ágil entre los controles internos eficaces y el efectivo desempeño de funciones de los trabajadores. Esa agilidad, tanto a la hora de establecer controles, como a la hora de ajustarlos y adaptarlos a una realidad cada vez más cambiante, será clave para establecer políticas internas eficaces a largo plazo.