Brand Abuse, Digital Fraud, Data Leakage, Sales Abuse, Threat Intelligence

Compliance digital: gestión de riesgos más allá de la Ley de Protección de Datos

Por André Luiz Rodrigues en
COMPARTIR

Es cierto, usted ya está interesado en el compliance digital. Antes de hablar sobre este asunto, preste atención a la siguiente lista de riesgos:

  • Phishings y malwares
  • Filtraciones de datos
  • Perfiles falsos en redes sociales
  • Dominios similares
  • Ventas no autorizadas
  • Aplicaciones fraudulentas
  • Otros usos indebidos de marca


Es muy probable que los dos primeros puntos sean por los que más se preocupa o de los que más ha oído hablar. Sin embargo, cuando hablamos de compliance digital, la preocupación no debe volcarse únicamente a lo que cubre la Ley de Protección de Datos. Una protección completa de una marca es indispensable para mitigar muchos otros riesgos que pueden, inclusive, darse en cadena.

 

¿Por qué el compliance digital no se debe restringir a la Ley de Protección de Datos?


Uno de los pilares más importantes de un programa de Compliance es la auditoría y el monitoreo. Esto significa permanecer con los ojos abiertos (o pensar en alguna forma de optimizarlo) en todo momento para que todo el programa y su gestión de riesgos funcionen correctamente. Esa preocupación se debe extender también al medio digital, aunque parezca un monstruo inconmensurable.

Una investigación del año 2017 llevada a cabo en Brasil por Deloitte, el gigante del sector de auditoría y consultoría empresarial, mostró que uno de los cinco pilares de los riesgos empresariales es el cibernético. Si pertenece al medio empresarial, es probable que hablar de riesgos digitales lo retrotraiga a la Ley de Protección de Datos, que penaliza a las empresa que no se adecúan a las reglas establecidas para la protección de los datos de sus clientes (como contraseña o datos de tarjeta de crédito).

La ética para tratar con responsabilidad los datos de sus clientes y evitar cualquier tipo de filtración es casi obvia. Sólo que el surgimiento de una ley que penaliza severamente a las empresas que descuidan ese punto, muestra que el gobierno está al tanto de la relación intrínseca entre dos campos en crecimiento (y muy importantes): (1) el compliance y las responsabilidades de las empresas y (2) los peligros a que se expone un ciudadano en el medio virtual.

Deloitte también indicó, en su último panorama de riesgos cibernéticos de marzo de 2019, que apenas el 31% de las empresas realizan un monitoreo de las redes sociales, o sea, se preocupan por otro tipo de infracciones de marca.

 

A fin de cuentas, ¿cuál es la extensión de los riesgos digitales?


Tenemos que admitir: internet tiene un tamaño inconmensurable. Sin embargo, es posible monitorearlo. Justamente eso hacemos muy bien en Axur. En nuestra constante caza de crímenes en línea, percibimos que muchos de ellos están interconectados. Por ejemplo: 

 

Perfiles falsos que divulgan phishings, vacantes falsas, ventas no autorizadas o estafas

blackfriday-fake-account

Todo perfil falso (en Instagram, en Facebook o en otras redes sociales) tiene un objetivo específico. En general, intentan:

  • Capturar datos (login, contraseña y tarjeta de crédito) a través del phishing
  • Publicar vacantes de empleo falsas y cobrar, inclusive, alguna contrapartida financiera
  • Realizar ventas no autorizadas y/o piratería
  • Practicar estafas

 

Dominios que pueden hospedar phishing o estafa

similar-domain-names

Un dominio como yourbr4nd.com, sin ningún contenido hospedado, puede parecer inofensivo, pero siempre es importante registrar todos los incidentes de este tipo para que no surjan phishings o estafas en esa página. También debe recordar verificar que no haya nada en la versión móvil. En Google Chrome, sólo tiene que apretar las teclas Ctrl + Shift + i.

 

Consejos para un buen programa de compliance digital


En una empresa existen tres esferas valiosas que pueden ser alcanzadas por un ataque al inmenso ambiente virtual: reputación de la marca, confianza del consumidor e ingresos. Estos son factores que pueden llevar al éxito o al fracaso, e invertir en una buena presencia digital muestra al consumidor que usted está dispuesto a entregar el mejor producto o servicio.

La prevención es el primer paso y siempre es muy importante. Sin embargo, muchas veces termina siendo más necesario estar atento a cualquier tipo de infracción que aparezca en la web, o sea: monitoreo digital. Al final de cuentas, nadie es inmune a nada.

El tiempo de reacción es otro momento del monitoreo que vale muchos puntos. Cuanto antes pueda enterarse de una filtración o un perfil falso para poder reaccionar de modo proactivo, mejor, ¿cierto? 


Reconocer los riesgos digitales

La explosión de los smartphones y del acceso a internet muestra que es necesario prestar atención al crecimiento de los datos que circulan por esos medios, muchas veces sin que se sepa. Sólo basta con observar la existencia de la deep y dark web, por ejemplo. Por eso, tenga en cuenta todas las posibilidades de riesgos que puede sufrir su empresa.

Para ello, un buen inicio sería analizar casos anteriores de fraude y crímenes digitales que se pretenden monitorear y que ya hayan ocurrido en otras empresas semejantes o del mismo sector.


Adoptar la Gestión integrada de riesgos

Es la adopción de un conjunto de prácticas en una única, e integrada, visión de riesgos. Para la empresa internacional Gartner, el sexto y último atributo de este tipo de gestión es la tecnología, herramienta por la cual se puede realizar la arquitectura de todo el proceso de gestión unificado. En otras palabras: ¡utilice plataformas y softwares buenos para poder ampliar sus resultados!

Esta práctica incluye también el diálogo y la colaboración rigurosa con el sector de Seguridad de la información de la empresa. Al final, ese será el equipo que se ocupará de fraudes y crímenes digitales más “pesados”, como phishings y malwares.


Código de conducta: la comunicación sobre la seguridad

El código de conducta que desarrolle en su programa de Compliance debe incluir alertas sobre ciberseguridad a los funcionarios (y, por supuesto, también a los clientes). Uno de los 4 bloques esenciales de este elemento de la gestión de riesgos es, al final de cuentas, el de Relaciones.

 

¿Cómo puede ayudar la tecnología al compliance digital?


PwC, otra de las mayores empresas de auditoría del mundo, mostró en un estudio de 2019 la importancia y también la tendencia, en las empresas, de utilizar aplicaciones de tecnología que ayuden al monitoreo de requisitos legales y normativos, y a las notificaciones de alerta.

En el informe, son tres los tipos de empresas que tienen esa preocupación bien definida (en porcentajes decrecientes): las principiantes, sólo 28%; las activas, 40%; y las dinámicas, 70%. Parece que no es por que sí que el sinónimo de dinámico sea ágil, ¿verdad?

 

Axur puede darle una mano (y nuestros robots también): realizamos el monitoreo de toda la web en busca de todos los tipos de infracciones que puedan estar perjudicando su marca y su presencia digital. Con esa información, podrá solicitar la remoción con unos pocos clics en nuestra plataforma, Axur One.

Algunas de nuestras propuestas son:

Se puede lograr una internet más segura; la gestión de riesgos no tiene por qué ser necesariamente complicada.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

André Luiz Rodrigues

Periodista y Content Creator de Axur, responsable por el Deep Space y actividades de prensa. Por aquí, también ya he analizado muchos datos y estafas como miembro del equipo de Brand Protection. Resumen: trabajar con tecnología, información y conocimiento en conjunto es uno de mis más grandes amores!