CONOCE MÁS DE COMPLIANCE

BLOG AMEXICOM

10 Amenazas de Ciberseguridad a Integrar en los Sistemas de Compliance

Los ciberataques no sólo han crecido en número, sino también en variedad y calidad. Las brechas de seguridad se han ampliado por la falta de madurez del trabajo en remoto, que precisa de una mayor información sobre cómo seguir pautas de uso seguras tanto con los equipos informáticos corporativos como privados. Desde Bonatti Compliance, su socio director, Francisco Bonatti, recopila las 5 amenazas y las 5 debilidades a combatir desde los sistemas de compliance:

Amenazas

  1. Ramsomware: el secuestro de información mediante malware que encripta el contenido de unidades, discos duros y servidores se ha convertido en uno de los riesgos estrella. La mejora de los algoritmos de encriptación y el recurso a los criptoactivos como medio de pago que evita el rastreo posterior son alicientes adicionales para los cibercriminales.
  2. Estafas del CEO: la suplantación de la identidad de los directivos para engañar a los empleados que tienen las claves y códigos para realizar transferencias bancarias se ha incrementado exponencialmente con la pandemia.
  3. Ataques a servidores y bases de datos: los delincuentes explotan brechas de seguridad para acceder a los servidores y sustraer los datos que contienen. Los datos son el petróleo del siglo XXI y es uno de los grandes tesoros que poseen las empresas.
  4. Ataques Botnet: los equipos y servidores de empresa son convertidos en zombies a través de Botnets, que gestionan los cibercriminales para evitar ser rastreados, eludir las listas de SPAM o para realizar transferencias económicas ilícitas, envíos masivos de correos o ataques DDoS.
  5. Sustracción de las credenciales: el acceso a las credenciales y contraseñas de los empleados y directivos facilita a los cibercriminales un amplio abanico de delitos a costa de la empresa: desde el acceso a los fondos depositados en las cuentas bancarias hasta el robo de secretos de empresa, el acceso a la intimidad de los empleados y directivos, a las cámaras de seguridad o la sustracción de bases de datos.
Debilidades
  1. Ingeniería social: todavía hoy un número ingente de ataques informáticos se producen porque las empresas, empleados o directivos se dejan engañar y voluntariamente envían los datos, abren enlaces o ejecutan las acciones pretendidas por los cibercriminales. La ingeniería social es una actividad delictiva muy depurada, imprescindible, por ejemplo, para ejecutar la estafa del CEO y se debe combatir desde Compliance con sólidas acciones de formación y concienciación del personal, ayudándoles a que nunca ‘bajen la guardia’.
  2. Debilidades internas: los delincuentes aprovechan en muchas ocasiones las propias debilidades, derivadas de usos inadecuados de los equipos por los empleados, que acaban infectados por error, negligencia o ignorancia; o bien, por comportamientos maliciosos de empleados desleales o insatisfechos. El análisis de riesgos y la implantación de protocolos y procedimientos de usos tecnológicos consistentes debe reforzarse con medidas para asegurar su eficaz aplicación por todos los empleados.
  3. Uso de equipos personales y teletrabajo desde el hogar: una de las debilidades estrella de la pandemia procede del uso de equipos personales compartidos con el resto de la familia, que pueden desvirtuar todas las medidas de protección empresarial si los padres, hijos o pareja hacen un uso inadecuado del mismo equipo. El propio espacio familiar, como entorno de trabajo, puede ofrecer mucha información a ciberdelincuentes para diseñar ataques de ingeniería social, al igual que ocurre con la información que pueden obtener de las redes sociales (RRSS), una vez han identificado el hogar del empleado o directivo y al resto de su familia.
  4. Phishing: en 2020 se ha multiplicado el volumen y la complejidad de los ataques de phishing para distribuir botnets y malware de todo tipo, robar credenciales o acceder a las cámaras y micrófonos de los equipos. Las técnicas se han sofisticado, aprovechando fenómenos coyunturales como el incremento del uso de los correos electrónicos durante la pandemia o saltándose los mecanismos de protección a través de nuevos canales de phishing como son el SMS (smishing) o el uso de PDF infectados que, inconscientemente, relacionamos con una actividad empresarial. Junto con las medidas de ciberseguridad más adecuadas, nuevamente Compliance debe aportar procesos y procedimientos de conducta adecuados y acciones de formación y concienciación dinámicas, que se adapten a un entorno de riesgo que cambia a gran velocidad.

Deepfakes: no puede faltar una de las grandes novedades que comienza a ofrecer usos ilícitos. Se trata de técnicas de edición de vídeo que sustituyen a una persona por otra mediante la inteligencia artificial alcanzando resultados altamente realistas, que ofrecen a los cibercriminales nuevos recursos para sofisticar sus procesos de hackeo social o quebrantar contraseñas biométricas.

Fuente: https://www.observatoriorh.com/orh-posts/10-amenazas-de-ciberseguridad-a-integrar-en-los-sistemas-de-compliance.html

Papel de Compliance Tecnológico en el Entorno de las Pymes y Startups

Las obligaciones de compliance se aplican a todo tipo de compañías. Y aunque tradicionalmente han sido las grandes empresas y los entornos muy regulados los primeros en implantar modelos de riesgos y cumplimiento normativo, en la actualidad es esencial que todas las entidades, independientemente de su tamaño y sector de actividad, sean conscientes y puedan analizar y mitigar cualquiera de estas amenazas.

Entre los beneficios de llevar a cabo estas buenas prácticas se encuentran la posibilidad de evitar sanciones por parte de las Autoridades de Control o Tribunales de Justicia, así como la oportunidad de minimizar al máximo el impacto reputacional ante un problema de incumplimiento normativo.

Partiendo de esta premisa, Cumplen, la Asociación de Profesionales de Cumplimiento Normativo, y Madrid International Lab han organizado una mesa redonda virtual en la que se ha abordado el papel del compliance tecnológico en el entorno de las Pymes y startups, “dos de los objetivos prioritarios de los ciberdelincuentes cada año”.

El evento, que ha centrado parte de su interés en la gestión de los riesgos legales en los procesos de transformación digital de las empresas, ha contado con la intervención de expertos en el ámbito del compliance tecnológico como Carlos Alberto Saiz Peña, Presidente de Cumplen y Vicepresidente de Ecix Group, Eduardo Navarro Villaverde, Consejero Ejecutivo en BeCompliance y Vicepresidente de Cumplen, y Edward Bello, Account Executive en One Trust.

Edward Bello fue el encargado de abrir el debate señalando que, ante el avance de la ciberdelincuencia en el entorno de la pequeña y mediana empresa, resulta imprescindible que estas cuenten con su propio programa de privacidad. Entre las razones esgrimidas para llevar a cabo tal apuesta, el experto destacó ventajas como la posibilidad de “limitar la amenaza de accesos no autorizados, dar respuesta a las brechas de datos, mantener la confianza y la fidelidad en la marca online, construir una reputación positiva para la continuidad del negocio, así como mostrar el compromiso de la entidad con el cumplimiento”.

A lo largo de su intervención, Bello también explicó a los asistentes los desafíos a los que, desde su punto de vista, deben hacer frente las Pymes en materia de compliance. “El coste y su escalabilidad, el conocimiento jurídico, las reglas de seguridad limitadas, así como la demostración de su correcto funcionamiento, son los principales retos de cumplimiento”, aseguró.

Por su parte, Eduardo Navarro ilustró a los asistentes con una intervención en la que mostró la evolución del compliance a lo largo de las últimas décadas para, finalmente, detenerse en la importancia del canal de denuncia como medio imprescindible y seguro para garantizar las buenas prácticas en el seno de las organizaciones.

El vicepresidente de Cumplen también se refirió al empleo de las nuevas tecnologías como el impulso necesario para consolidar y normalizar los hábitos de cumplimiento en compañías más pequeñas y variadas.

Finalmente, Carlos A. Saiz recordó a los asistentes que “la transformación digital es una apuesta de futuro hacia nuevos métodos de trabajo que aprovechen todo el potencial de la digitalización”, en clara alusión a la gran oportunidad que tienen las empresas para actualizar su modelo de negocio y acceder a través de los nuevos canales a sus respectivos públicos.

El Presidente de Cumplen finalizó su intervención analizando el impacto de la transformación digital en la función de Compliance y Legal, y apuntando a la necesidad de establecer aquellos mecanismos necesarios para garantizar un proceso seguro y respetuoso con las normas: “Para diseñar un proceso de soporte legal en transformación digital es esencial industrializar o automatizar las tareas legales para que el mencionado soporte sea ágil, experto y, entre otras cuestiones, esté alineado a los intereses y plazos de negocio y tecnología”.

Fuente: https://elderecho.com/papel-del-compliance-tecnologico-en-el-entorno-de-las-pymes-y-startups

Menú