¿Puede darse el lujo de ignorar el riesgo de fraude cibernético en su oficina familiar?

Read

By Jorge Rey, CISA,CISM and Todd Kesterson, CPA | octubre 14, 2021

Este artículo se publicó originalmente en el blog el 24 de agosto de 2018. Se actualizó el 14 de octubre de 2021.

 

Muchos piensan que una empresa más pequeña con menos empleados facilita la supervisión y el control del fraude. Sin embargo, cuantos menos empleados haya, más difíciles pueden volverse los controles.

Según el Informe a las naciones 2020 de la Asociación de Examinadores de Fraude Certificados (ACFE), las pequeñas empresas tienen el doble de probabilidades de sufrir fraude de facturación y de nómina, y cuatro veces más probabilidades de sufrir pérdida por fraude relacionada con la manipulación de cheques y pagos. Además, las empresas con menos de 100 empleados tuvieron la pérdida mediana más alta por incidentes de fraude de $150.000.

Las empresas familiares no son diferentes. Al igual que otras operaciones pequeñas, tienden a carecer de políticas y procedimientos para prevenir el fraude.

Tomar medidas para implementar controles internos y minimizar la oportunidad de fraude a través de la división de tareas puede ayudar a limitar la posibilidad de que un empleado de confianza le robe el patrimonio familiar. El fundador de Reebok, Paul Fireman, aprendió esa lección de la manera más difícil cuando descubrió que su antiguo empleado de confianza y administrador de dinero, Arnold Mullen, había malversado $25 millones sistemáticamente en casi 20 años.

Pero incluso si establece controles y divide las tareas, el patrimonio de su familia todavía está en riesgo.

El riesgo de pérdida desde el exterior, a través del fraude cibernético, está creciendo a un ritmo espectacular.

El ciberdelito es uno de los tipos de actividad delictiva de más rápido crecimiento en los Estados Unidos. Los ciberdelincuentes tienen como objetivo las cuentas financieras de los propietarios y empleados de pequeñas y medianas empresas, lo que genera una interrupción significativa del negocio y pérdidas monetarias sustanciales debido a transferencias fraudulentas de estas cuentas. Su empresa familiar puede representar un objetivo lucrativo para estos estafadores. A menudo, estos fondos pueden no recuperarse.

Cómo se hace

Para obtener acceso a las cuentas financieras, los ciberdelincuentes se dirigen a los empleados, a menudo altos ejecutivos o personal de contabilidad, y estas personas propagan, sin saberlo, software malintencionado («virus» o «malware») que roba su información personal y sus credenciales de inicio de sesión. Una vez que una cuenta bancaria en línea se ve comprometida, el atacante puede iniciar transferencias de fondos mediante ACH o transferencia bancaria a las cuentas bancarias de los asociados dentro de los EE. UU. o directamente en el extranjero mediante transferencias.

Para acceder a las credenciales legítimas de la banca de las empresas, los ciberdelincuentes utilizan muchos métodos diferentes. Pueden replicar el sitio web de una institución o usar malware y virus para comprometer el sistema de la empresa. Los sistemas de su empresa familiar pueden verse comprometidos por un documento infectado adjunto a un correo electrónico, empleados que visitan sitios web legítimos (especialmente sitios de redes sociales) y hacen clic en documentos, videos o fotos infectados publicados allí, o un empleado que usa una unidad flash que fue infectada por otra computadora.

Un método popular es enviar un correo electrónico falso que se conecta a un sitio web infectado. Por ejemplo, un correo electrónico falso de UPS podría decir «Ha habido un problema con su envío». Un correo electrónico falso del Better Business Bureau podría decir «Se ha presentado una queja en su contra». Un correo electrónico falso de un sistema judicial podría decir «Se le ha entregado una citación».

Cómo protegerse

Hay varios pasos importantes que debe realizar si desea proteger la empresa familiar.

Primero, debe mejorar la seguridad de su computadora y sus redes. Evalúe estas medidas:

  1. Instale y mantenga actualizado un antivirus en tiempo real y un firewall de escritorio anti-spyware y un software de detección y eliminación de malware. Utilice estas herramientas con regularidad para escanear su computadora. Permita actualizaciones automáticas y análisis programados.
  2. Instale enrutadores y firewalls para evitar el acceso no autorizado a su computadora o red.
  3. Realice evaluaciones de seguridad de TI periódicamente.

En segundo lugar, debe mejorar la seguridad de sus procesos y protocolos corporativos de la banca. Analice las opciones que ofrece su institución financiera para ayudar a detectar o prevenir cambios o pagos no autorizados en sus cuentas. Como mínimo, considere estos cambios en su propia actividad:

  • Utilice una computadora de alta seguridad exclusivamente para la banca en línea y la actividad de gestión de efectivo.
  • Evite realizar actividades bancarias en línea y de gestión de efectivo en puntos de acceso Wi-Fi, incluidos aeropuertos o cibercafés.
  • Solicite un control dual para hacer transferencias electrónicas y ACH; por ejemplo, la creación de archivos por parte de un empleado y la aprobación y emisión de archivos por parte de otro empleado en una computadora diferente con una ID de usuario diferente.
  • Revise las cuentas con regularidad para detectar rápidamente la actividad no autorizada. Esto les permite a usted y a la institución financiera tomar medidas para prevenir o minimizar las pérdidas.

Considerar soluciones externas

Muchas familias de alto poder adquisitivo contratan empleados de confianza para que se ocupen de los detalles del día a día. En una empresa pequeña, es posible que los miembros de la familia deban involucrarse más en la implementación y evaluación de los controles. Alternativamente, una familia podría contratar a una empresa de contaduría independiente con experiencia en la administración de empresas familiares. La selección de una empresa calificada para realizar un análisis de control, asumir tareas administrativas y de gestión específicas y realizar revisiones inesperadas de control interno puede ayudar a protegerse contra el fraude interno y brindar una gran tranquilidad.

Pero con el creciente riesgo de fraude externo, el ciberfraude, la asistencia externa se vuelve aún más esencial. Los procesos y herramientas que los profesionales de la ciberseguridad pueden emplear para protegerlo son complejos y están en constante evolución. Por ejemplo, a menudo recomendamos comenzar con PhishNet by Kaufman Rossin®, una forma confiable de poner a prueba y capacitar a los empleados para que reconozcan los riesgos cibernéticos. Al mejorar su defensa contra el phishing y otros ataques de ingeniería social, estará mejor posicionado para proteger a su organización.

Sabemos que su empresa familiar no es simplemente una pequeña empresa. De hecho, es un blanco muy tentador para un tipo de criminal muy sofisticado. ¿Puede darse el lujo de ignorar el riesgo creciente?

Jorge Rey, CISA, CISM, is a Cybersecurity & Compliance Principal at Kaufman Rossin, one of the Top 100 CPA and advisory firms in the U.S.

Todd Kesterson, CPA, is a Family Office Services Principal at Kaufman Rossin, one of the Top 100 CPA and advisory firms in the U.S.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

We respect your personal information. Please review our Privacy Policy for more details.