Cibercrimen: ¿Qué tan expuesta está su organización?

De acuerdo con los últimos estudios e investigaciones relacionadas con crímenes económicos, el cibercrimen (interno y externo) está cada día más presente en las agendas de los directorios y alta gerencia de las empresas, siguiendo a pasos agigantados a la apropiación ilícita de activos.

En ese sentido, queda claro que la plana gerencial debe tomar muy en serio estos riesgos, más aún si su industria tiene un alto nivel de automatización en las operaciones productivas y de “back-office”. El último Estudio de Delitos Económicos y Fraude de PwC señala que menos de la mitad de los participantes indica haber realizado una evaluación de riesgos de cibercrimen, lo cual implica una mayor dificultad para identificar las capacidades de la organización para prevenir y/o detectar este tipo de fraude.

Tomando en consideración la data incluida en el mencionado informe, la apropiación ilícita de activos continúa liderando los diferentes tipos de fraude y/o delito económico cometidos en los últimos dos años, tanto globalmente (45%) como en Perú (60%).  En el mundo, le siguen los cibercrímenes (31%) y los fraudes de consumidores o clientes (29%), aunque en el Perú los cibercrímenes (16%) están después de soborno y corrupción (32%), fraudes de compras (30%) y mala conducta comercial (20%). No obstante, los encuestados consideran que los delitos derivados de los ciberataques van a ir ganando relevancia significativa durante los próximos dos años; como ya lo he mencionado, debido sustancialmente a la automatización y globalización empresarial.

Cabe resaltar que en el Perú el robo de información privilegiada (24%) es mucho más frecuente que en el resto del mundo (8%).

Así, las técnicas de ciberataque más usadas a nivel mundial son el “malware” (36%) y “phishing” (33%), lo cual se replica en Perú. Sin embargo, las cifras difieren nuevamente en cuanto al número de encuestados que afirma no haber sufrido un ataque cibernético en los últimos dos años (34% Perú vs. 24% resto del mundo).  Es válido en este punto aclarar que, a pesar de que alguna compañía indique no haber sido víctima de este delito, la realidad puede ser distinta y que simplemente no haya identificado el ataque.

Tanto en Perú como a nivel global, los tipos de fraude más comunes producidos por un ciberataque son la interrupción de procesos comerciales y la apropiación ilícita de activos.  Aunque es notable que, en comparación con el resto del mundo (10%), el acceso no autorizado a información privilegiada en el Perú ocupa el primer lugar (32%).

En el caso de los agentes externos asociados a fraude, el 50% de entrevistados peruanos afirmó que el delito fue cometido por el crimen organizado, en comparación con el 39% global que señala al consumidor o cliente como principal responsable.  Ahora, si bien el delito puede cometerlo alguien interno o externo a la compañía, la mayoría de brechas cibernéticas y robos de información son consecuencia de capacidades deficientes en las siguientes áreas:

Para entender y gestionar los riesgos vinculados con los aspectos antes mencionados, es necesario desarrollar una serie de actividades para el establecimiento de un programa de ciberseguridad que incluya principalmente:

• Entender las capacidades actuales en relación a los riesgos de la industria.
• Establecer procesos sostenibles para gestionar los riesgos identificados.
• Establecer procesos sostenibles para monitorear los controles de ciberseguridad.
• Preparar los reportes internos y externos a compartir con las partes interesadas.

…Recordemos a Richard Clake: “Si gastas más en café que en seguridad de TI, serás pirateado. Además, mereces ser pirateado.”