brechas

EL EFECTO PARI EN EL CONTROL INTERNO

Sin duda alguna los siguientes meses y hasta años oiremos hablar mucho del "Efecto PARI". Si tomamos en cuenta la relación causa y efecto, tendremos que analizar las causas que llevan a una situación como la que esta atravesando el Banco Unión. Mas allá del tema político nos interesa el aspecto técnico del control interno, bajo un escenario cada vez más digital y automatizado.

EFECTO PARI ha alcanzado a Operativos, Gerentes, reguladores y otros. Quizá el monto, el tipo de entidad, el momento político y sobre todo la amplia cobertura mediática han contribuido. Entre todo, tendremos unos buenos años de MIEDO, en lugar de decir “cuidado con el cucu”, podremos decir “Efecto Pari”.

En una época donde la cantidad de información digital ha sobrepasado toda razonabilidad de imaginación y tiene a aumentar se hace muy difícil anticipar las brechas en el control interno. Por un lado, hemos visto comprobado que las entidades sin importar su giro de negocio o actividad buscan protegerse del que está afuera y no tienen el mismo cuidado hacia adentro.

Los sistemas de información no solo están ayudando a aligerar tareas conocidas, sino están creando nuevas formas de negocio. En ese escenario tenemos muchas áreas que requieren atención. Citemos algunas:

  1. La brecha generacional entre quienes dirigen y quienes operan. Ya no es un tema de conocimiento tradicional, sino de verdadera brecha digital donde unos conocen la forma rutinaria de hacer las cosas y los otros conocen muy bien los instrumentos actuales y las muchas otras posibilidades que se pueden lograr. Si vemos por ejemplo la edad de quienes controlan y dirigen tendremos fácilmente un promedio de 50 años para arriba. Bajo este esquema tratar de implementar tecnología actual se hace misión imposible, del 1 al 10. No vamos a negar que existen instituciones que a lo largo de los años han desarrollado sensores humanos de seguridad. Redes humanas con alta fidelidad a los dueños o directores que alertaban de todo acontecimiento raro en el negocio y esto permitía actuar hasta de manera muy oportuna. Seguimos teniendo esos esquemas. Pero tienen los días contados. Los sentidos humanos no sirven para controlar el mundo digital.
  2. La brecha tecnológica de control. Con cierto optimismo, tímido y hasta permisivo decimos que nuestras empresas ya están entendiendo que el mundo digital se controla con técnicas y herramientas digitales. Estos días por ejemplo se ha levantado mucho polvo en los medios de comunicación sacando estadísticas de cuánto gasta cada entidad financiera en materia de seguridad, pero ojo FÍSICA. Si solo tomamos los años 2016 y 2017 y colocamos en una balanza los delitos digitales versus los delitos físicos tradicionales a mano armada, creo que solo el caso de PARI supera a todo el resto. Porque entonces no muestran e investigan la inversión en seguridad digital? Simple. La brecha digital. Las personas tienden a hablar de lo que conocen.
  3. Del antivirus a los sistemas inteligentes de seguridad. Presupuestar una solución antivirus ya es historia y hasta obsoleto. Cuando en 17 años ya logramos que se considere este ítem en el presupuesto de seguridad, resulta que ahora se considera los sistemas antivirus obsoletos. Ahora se hablan de soluciones integrales y complementarias como DLPs, WAF, SIEM, Machinelearning, sistemas de seguridad basados en inteligencia artificial, modelos de markov y redes bayesianas. En el fondo vemos una afusión entra técnicas avanzadas de programación y matemáticas. Lamentablemente como país estamos a buenos años no solo de poder comprar esas soluciones, quizá es lo más fácil, sino muy lejos de entender y tratar de crear nuestras propias herramientas. Así que tener un antivirus y un firewall es como tener un guardia para 20 agencias. Sera imposible que sea efectivo.
  4. La responsabilidad de la alta dirección. Definitivamente las leyes las escriben para un mundo de átomos. Se dice por ejemplo que los directores son responsables de la información en todo el negocio. Pero los mismos directores no entiende estas responsabilidades. Aceptar tal situación es como jugar una ruleta rusa donde cada año se le aumenta un proyectil al tambor. La cantidad de información que circula por las redes empresariales hace imposible que esta pueda ser controlada tratando de equilibrar el acceso a la información con la protección de la misma. Esto va de mal en peor por cuanto las nuevas generaciones entienden cada vez menos de privacidad y confidencialidad, ellos quieren tener libre acceso a todo. No está mal si definiéramos ese TODO permisible de ser publicado, pero como no se hace, quedamos expuestos con la información.
  5. Debemos repensar la efectividad de las auditorias sin herramientas. La necesidad de un control más cercano al proceso. Mas inmediato. Todo esto viene con el reciclaje del recurso humano o con su inevitable renovación. Los auditores deben actualizarse e implementar herramientas. Quiza tengamos que reforzar unidades de control interno de TI para apoyar sin modificar areas ya estructuradas.

 

LA SEGURIDAD – UNA PARED PERFORADA POR LA CORRUPCION INTERNA

Hay muchas formas de tratar de definir la seguridad digital, las más conocidas

  • Es una cadena, tan fuerte como su eslava más débil. Y generalmente ese eslabón es humano.
  • Es un procese continuo y no un producto.
  • Es una forma de vivir, es un conjunto de hábitos y no solo responsabilidades.

Pero para analizar la seguridad, podemos analizar su opuesto complementario, la inseguridad.

Con el tiempo trato de definir la seguridad de la siguiente manera:

UNA GRAN PARED DE LADRILLOS, TAN FUERTE COMO CADA LADRILLO Y SUS UNIONES CON OTROS LADRILLOS.

 

Esta complicado proteger Todos los ladrillos y sus uniones. Siempre será más fácil encontrar el ladrillo o la unión deficiente para hacer una brecha a la seguridad. Si esta es minúscula, la fuga o daño será invisible, pero existirá.

Llevo más de 15 años en estos gajes de la seguridad y hemos visto de todo. Para no ser muy amplios voy a limitarme a situaciones o fisuras en el campo de las Tecnologías de la información y el abuso de estos recursos. Puedo citar algunas fisuras en la seguridad empresarial:

  1. Negocios con el reemplazo de activos buenos de la empresa por activos dañados de terceros. Como no controlamos datos seriales o huellas mas exactas, el cambio no se nota.
  2. Funcionarios que aprovechan la infraestructura empresarial para desarrollar sus propios negocios. Programadores que llevan parte de sus desarrollos a empresas particulares o realizan desarrollo para terceros desde y en horarios laborales.
  3. Gerentes de TI que extrañamente y de forma permanente renuevan su tecnología con los mismos proveedores. Generalmente las políticas de renovación tienen entre 30 a 50% de descuento, pero los presupuestos se mantienen sin modificación alguna.
  4. Personal retirado crea empresas para participar como proveedores. Extrañamente sin la experiencia necesaria se adjudican todos los contratos.
  5. Empresas o profesionales que se dedican a otros rubros, pero aparecen de un día para otro como proveedores de seguridad, sean en hardware o en software. No se valida experiencia especifica.
  6. Bases de datos que se negocian en el mercado negro de la información. Ciertas entidades invierten miles de dólares para colectar datos, pero estos aparecen en el mercado negro.
  7. Manipulación de bases de datos en cuentas por cobrar. Extraños descuentos y hasta eliminación de deudas por servicios.
  8. Manipulación de programas para favorecer a clientes con servicios que por alguna razón no se contabilizan, pero se consumen.
  9. Recurrentes viajes de capacitación que más parecen vacaciones divertidas por los lugares y tipo de reunión. Ciertos proveedores en el campo de la tecnología ya están estigmatizados por sus suculentos programas de fidelización.
  10. Contrataciones extrañas entre clientes y proveedores. De un dia para otro los funcionarios de un cliente pasan a filas del proveedor o viceversa. Ya se tienen constantes en el mercado.
  11. Contrataciones y pases extraños entre regulados y reguladores. Como que de un dia para otro el control se vuelve controlado, pero la mano dura se ablando.
  12. Compras de activos que no se utilizan o están guardados en almacenes hasta que quedan obsoletos. Esto es mas frecuente en inversiones de licencias de software. Claro que no hablamos de licencias de antivirus, sistema operativo y offimatica, sino licencias de utilitarios de diseño e ingeniería por ejemplo donde las licencias están bordeando los 50mil dólares.
  13. Cursos de capacitación que nunca existieron, pero generaron el gasto, el viaje, el hotel, los viáticos y todo lo relacionado.
  14. Equipamiento reacondicionado entregado como nuevo. Una cosa es comprar versiones nuevas, pero no las ultimas por temas de precio. Pero otra es comprar de un revendedor que al igual que la ropa usada recolecta equipos de todo lado, los reacondiciona, a veces le coloca en la caja el sello “reacondicionado”, pero como las cajas no llegan hasta el usuario final, nadie se da cuenta.
  15. Manipulación de bases de activos dar de bajo o simplemente eliminarlos del inventario y hacerse del mismo. Ojo que no hablamos de un pc o una resma de papel, sino muebles, inmuebles y vehículos generalmente.
  16. Funcionarios de empresas de servicios de comunicaciones con crédito ilimitado. Hasta revenden y transfieren crédito.
  17. Auditores cuidando el contrato del siguiente año y vendiendo observaciones y dictámenes limpios. Como pasarle las preguntas del examen para que siempre salga bien.

 

Todos los ejemplos mencionados son cosechados de nuestro entorno. Como dicen, “los pecados se silban pero no se cantan”. Asi que muchos de estos no salen a la luz por cuanto la brecha es pequeña, parte de la Perdida o merma esperada.

TODOS los negocios tienen su miel y sus propias brechas, sino que tire la primera piedra el que este libre de pecado y pecadores. Como dicen “En todas partes se cuecen habas”

Definitivamente el monstruo de la corrupción tiene muchos tentáculos y la estrategia de contagio es la mas difundida. Todos tiene un negocio particular y como son bomberos, no se pisan la bandera. Por tanto, querer controlar las brechas de la seguridad, identificar las fisuras se hace cada vez mas complejo y hasta imposible. Cuando la brecha ha sido iniciada desde adentro, se hace invisible, traspasa la pared de seguridad haciéndose invisible.

Únicamente aflora cuando la ambición o la colusión interna se rompe. Vemos que los controles son cada vez mas ineficientes por que también los que los escriben, y dominan son parte de las brechas de seguridad.