Hace un par de años, introducimos en nuestro producto de seguridad una nueva característica: un botón de «Bloqueo de Usuario». Si el usuario de la solución recibía una alerta «muy grave», podía entrar en el sistema, detectar el fraude en el acto, pulsar el botón «Bloquear usuario» y evitar que el ladrón robara. Bang… eres el héroe.
Bien, era bueno en teoría. En la práctica, era más o menos lo primero que los clientes nos pedían que elimináramos.
«¿Quitar? ¿No quieres detener el fraude en el acto?» le pregunté al responsable de seguridad de un gran banco de Nueva York quién había solicitado este cambio. «¿Cómo puede no quererlo?».
El CISO, que era un profesional experimentado de 50 años, respondió con calma:
«Déjeme plantearte un escenario y entenderás qué problema tiene tu botón de “Bloquear usuario”».
Me ofreció un café y continuó: «Imagina que recibo una alerta en mi BlackBerry a las tres de la madrugada. El sistema ProfileTailor me dice que alguien está usando una actividad sensible; por ejemplo, aprobar una orden de compra muy elevada mediante un dispositivo sin soporte. Como esto es muy sospechoso, rápidamente me conecto remotamente a mi computadora en la oficina y capturo al usuario S0677325 con las manos en la masa, aprobando una orden de compra. Sin dudarlo, hago clic en el codiciado botón “Bloquear usuario”. Ahora me siento mejor, fuera de peligro; nadie realiza actividades sospechosas en mi turno. Me duermo sintiéndome genial.
»Por la mañana, el CIO viene a mi oficina y me dice: “El CEO quiere reunirse. ¿Por qué bloqueaste su usuario ayer?
»Puedes imaginar que no va a ser una buena reunión. Ayer, el director general estuvo en Francia, que está a seis horas de distancia, e intentó aprobar un pedido muy importante a través de su smartphone. De repente, se quedó bloqueado y sin poder volver a conectarse. ¡Ups!»
Cuando el riesgo es mayor que el fraude
Descubrí que el botón «Bloquear usuario» puede crear involuntariamente un riesgo muy grande: impedir que el negocio funcione. Muchos CEO y CIO dirán que preferirían 20.000 dólares de fraude a la más breve interrupción del negocio que podría costar 100.000 dólares o incluso 1.000.000 de dólares.
Los CIO y CIO siempre deben comparar el beneficio de las actividades de seguridad con el riesgo potencial de prevenir o ralentizar las actividades comerciales. He sido testigo de que los CISO más experimentados manejan las actividades de seguridad con mucha cautela, considerando cuidadosamente el posible impacto en el negocio.
El fraude en los sistemas de planificación de recursos empresariales crece poco a poco
Es bastante difícil llevar a cabo un fraude importante en un sistema complejo, especialmente hoy en día, con tantas regulaciones estrictas. Según nuestra vasta experiencia, puedo decirles que en la mayoría de los casos el fraude comenzará lentamente y de forma insignificante. La persona que realiza el fraude probablemente será un empleado que comienza probando la seguridad del sistema. Tratará de mirar las tablas sensibles, como facturas y clientes, tal vez cambiar la cuenta bancaria de un proveedor por un dígito, y otras pequeñas actividades de poca importancia. Normalmente continuará hasta que cometa un verdadero fraude.
Usar un sistema que pueda identificar actividades irregulares detectando pequeños cambios es la mejor manera de prevenir grandes fraudes en la etapa inicial —puede detectar el acceso a tablas sensibles o cambios en la cuenta del proveedor— y alertar sobre ello. Una llamada telefónica del equipo de seguridad a la persona exacta es lo más probable que recortará cualquier plan futuro de fraude, sin necesidad de bloquear a nadie o poner en peligro el negocio.
