La comunidad FINCCOM nace en 2017 tras la necesidad de unir a oficiales de cumplimiento y especialistas en prevención de lavado de dinero, financiamiento al terrorismo, gobierno corporativo, gestión de riesgos, cumplimiento regulatorio y afines. Nuestra visión es compartir ideas sin costo en un ambiente de ética, profesionalismo y respeto.
Principio universal de la ciberseguridad
En su libro, Human Computer Interaction, Alan Rix explica cómo funciona el cerebro humano en la interacción con lo digital, con la computadora, nosotros al migrar hacia lo digital podemos poner medidas de seguridad, protocolos, contraseñas, uso de redes privadas para proteger la seguridad de la información, usar plataformas digitales de comunicación, almacenamiento en la nube, etc., sin embargo, el principio básico de la ciberseguridad es que si no es amigable el programa que estás implementando con la mente humana, todo programa está destinado a fracasar. Por ejemplo, si pides a tus colaboradores una contraseña de 16 dígitos como mínimo, que incluya caracteres especiales, que no se repitan y no se use en cualquier otro sistema de la organización, lo que ocurre es que el cerebro humano no funciona para almacenar información tan compleja, simplemente trata de asociar las cosas que ya conoce, palabras clave, y cuando pedimos controles excesivos a nuestros colaboradores, empezamos a abrir vulnerabilidades en la organización.
Al hacer migración digital no debemos llenarnos de políticas innecesarias o controles que no van alineados a la realidad de nuestros colaboradores cuando no tenemos las herramientas necesarias de administración de contraseñas, cuando les pedimos que instalen herramientas complejas de los que no les hemos dado cursos, tutoriales o antecedentes sobre su uso porque al final si no están alineadas a las necesidades de la organización van a buscar la manera de evadir esos controles. Muchas organizaciones se han resistido a migrar hacia lo digital, sobre todo los sectores altamente regulados. Cuando hablamos de las instituciones de crédito en México nos podemos dar cuenta que, de entrada, los servidores en donde almacenamos la información deben estar certificados, no pueden tener ese servidor presencia en una jurisdicción donde, por ejemplo, la Comisión Nacional Bancaria de Valores, tenga el control para solicitar información como así lo requiere, poder hacer una orden judicial. Hay muchas reglas que debemos tomar en consideración al momento de migrar hacia lo digital.
Para esto es fundamental hacer una lista sobre los controles con los que cuento para proteger la seguridad de mi empresa, qué me falta implementar para poder proteger la seguridad. Actualmente, los hackers saben que estamos migrando hacia lo digital y buscan puertas para vulnerar a las organizaciones. Por ejemplo, el One Time Password (OTP), ahora que alguien quiera iniciar sesión o loguearse en el sistema va a necesitar su usuario, contraseña y un código que va a cambiar constantemente, está alineado a la realidad, tus colaboradores saben cómo utilizarlo, les has dado una capacitación sobre cómo se instala. ¿Qué pasa cuando alguien pierde su dispositivo móvil o se descompone?, ¿hay forma de recuperarlo?, ¿sabe que debe tomar un respaldo del código QR para que pueda seguir teniendo acceso a los sistemas en caso de no contar con su dispositivo? Podemos implementar muchos controles, pero debemos estar alineados a la mente humana, darles la capacitación y las herramientas. El principio universal de seguridad es no existe control ni procedimiento ni sistema avanzado que pueda protegerte contra el error humano. Si en tu organización no cuentas con campañas robustas, cuidado con los mails sospechosos, verifica el correo del destinatario, si no tienes lo básico en tu organización, de nada sirven los mejores controles en ciberseguridad, si el factor humano no está tomado en cuenta.
Comunicación de los programas de cumplimiento
Debemos entender que existe una solución de comunicación para todo lo que abarca el cumplimiento. En primer lugar, debemos analizar qué es lo que quiero comunicar porque el tipo de comunicación depende del tema que voy a abordar. Si estoy hablando de un procedimiento, de cómo llevar a cabo acciones para proteger mejor a la organización, por ejemplo, un procedimiento para analizar alertas, el objetivo de cómo realizar esa comunicación, primero, al ser un procedimiento debes dar el tiempo necesario a las personas para que puedan leerlo y familiarizarse, lo puedes hacer por email y poner una fecha límite para su lectura y planteamiento de dudas. Luego puedes agendar sesiones para llevar de la mano a las personas y hacer un curso en línea.
Cuando se trata de códigos de ética y conducta, primero debes hacer una campaña digital, implementar una estrategia digital de alto impacto, aquí es donde el oficial de cumplimiento debe hacer de todo un poco, debe realizar diseño de marketing adecuado a la campaña. Cuando hablas de los valores debe ser una campaña que inspire, si uno de los valores de tu empresa en la inclusión, este valor no se puede comunicar por correo. Tienes que hacer un video donde el director general de la empresa platique a los colaboradores cómo se vive en el día a día la inclusión. Dependiendo de lo que quieras comunicar, es el esquema de lo que vas a planear, no se deben desgastar los recursos porque cuando valga la pena de que la gente preste atención a los elementos importantes, va a darle poca importancia al recurso que estás utilizando. Hay que diversificar las herramientas para tener un programa de cumplimiento de alto impacto, pueden ser cursos en línea, videos, campaña, etc.
Manejo adecuado de información abundante
Actualmente, es tanta la información que nos dice lo que debemos hacer los profesionales del cumplimiento que llega el punto en el que nos sentimos abrumados. Como profesionales de cumplimiento tenemos una lista impresionante de tareas, revisar procedimientos, mantener la cultura, revisar canales de denuncia, estar al día con todos los cambios regulatorios, responder a las nuevas tendencias de delitos financieros. Mi sugerencia es: te voy a dar diversas herramientas y un plan de acción de lo que tienes que hacer, pero aléjate de ser una persona de excelencia, es decir, alejarte del Excel. Las hojas de cálculo funcionaron en el pasado, pero el Excel no genera un registro de información sobre cómo ha evolucionado desde el primer día porque no registra todos los cambios.
Hoy en día tendríamos que hablar del Compliance Project Management, con el cual podemos utilizar plataformas como Asana, Trelos, Ojo Projects donde se puede actualizar en tiempo real lo que sí o sí tengo que cumplir. Trabajar vía remota de repente cuesta definir cuándo empiezo y cuándo termino, para lo cual funciona fijar metas por día y tener una gestión de cumplimiento a largo plazo.
También se debe considerar que no toda la información que consumes es importante, el principio de FINCCOM GRC es riesgo, uno de nuestros emblemas, uno de nuestros logotipos, y no todo riesgo es igual de importante que otro, tienes que saber priorizar cuál es la probabilidad de que suceda; si se materializa, cuál va a ser el impacto que va a tener en la organización. ¿Qué es más importante en términos de riesgo?, ponerme a leer los mensajes en los términos y condiciones de slack para ver si mi organización está expuesta o hacer una política de home office porque la gente está trabajando en casa, pero no tiene lo lineamientos claros sobre lo que debe o no debe hacer. ¿Qué es primero?, evidentemente la política para que todos sepan las expectativas de trabajo remoto.
¿Qué es el compliance?
El cumplimiento es una herramienta de transformación personal y colectiva, pues al adherir nuestra propia existencia al espíritu de la legalidad y la ética, las organizaciones que representamos y la sociedad a la que pertenecemos trascienden. El compliance es cuando el marco legal normativo no es suficiente para prever todos los riesgos, por ejemplo, cuando hablamos de protección al consumidor. Tenemos las reglas de la Condusef, así como la Unidad de Atención Especializada para Usuarios que dictan las reglas sobre cómo atender casos que son de alta relevancia para los consumidores y cómo se deben proteger. Si sigues solo las reglas que ya existen, vas a perder de vista el espíritu que es enfócate por tus clientes, por sus problemas, si alguien cometió fraude, investígalo de inmediato, canalízalo, busca las opciones para responder a estos temas. Más allá de un requerimiento regulatorio es porque te estás adhiriendo a la legalidad y a la ética y como líder de la organización tienes que hacer mucho trabajo personal porque tienes que modificar cómo respondes, cómo lideras al equipo.
Es mucho trabajo personal porque hablar de cumplimiento no es en términos medios ni te tienes que andar con medias tintas, eres ético o no lo eres, tienes que ser una persona íntegra, en lo profesional, en una esfera más personal, con las personas que te rodean porque cuando predicas con el ejemplo, las organizaciones en donde estás empiezan a cambiar y a trascender.
Responsabilidad penal de las personas jurídicas
Hay que sumarle a la matriz de cumplimiento los delitos que están tipificados en el Código Penal Federal o en lo aplicable en los estados, independientemente de la propuesta de unificar un código penal único para el país. Esos elementos que ya tenía los protocolos para evitar ese delito va más allá de un cambio cultural, estamos hablando de proteger a la organización contra riesgos que si se materializan y se concluye que la organización no contaba con los protocolos de prevención, pueden causar un daño desastroso para la organización.
¿Qué legislación penal debo tomar en cuenta en mi cumplimiento?
Nosotros tenemos una matriz de cumplimiento penal tomando el Código Penal Federal, tomamos el catálogo de delitos, y aquí un punto importante, si revisas el código de delitos puedes perder la motivación por el alto número de delitos. Como oficiales de cumplimiento hemos tenido sesiones productivas y complejas porque, por ejemplo, qué pasa si la organización por políticas donde maltratan o denigran o discriminan a las mujeres embarazadas, una colaboradora se embaraza y por esa toxicidad, por esta agresión al interior del trabajo ella se siente forzada a abortar para no perder su trabajo. Lo que tiene que hacer es tomar el catálogo del Código Penal Federal, revisar en qué estado se llevó a cabo esta operación y contrastar lo que dice el Código Penal Federal con lo que dice en el Código Penal del Estado, qué delitos faltan incorporar en la matriz y pensar en qué grado mi empresa podría ser responsable de, por ejemplo, instigación al suicidio porque si a los empleados los tienen trabajando en horarios inhumanos, les pides resultados imposibles de alcanzar, eventualmente podrías por lo menos estar en la discusión de si fuiste o no responsable. Por lo tanto, vale la pena mucho revisar qué delitos pueden caer en tu organización.
Matriz de cumplimiento digital
El lado humano es crítico, cómo hablas con tus equipos, cómo te comunicas, si ellos sienten que hay un canal de acceso a ti para poder platicar sus problemas. Hablamos de que todas las reglas de ciberseguridad que debemos implementar deben tener esta experiencia de usuario, tomar en consideración al usuario final porque si no se viene abajo. Una matriz de cumplimiento es una matriz de gestión de proyectos que permite a los profesionales del cumplimiento llevar un seguimiento puntual y focalizado en el riesgo, es decir, por fechas y que tú vas a poner qué va primero porque al final tu atención es limitada y lo que puedes trabajar en un día es limitado. Lo que tiene que ir focalizado en el riesgo es: ¿cuál de todos los riesgos que tiene mi organización queda hasta arriba después de haber hecho la cuantificación de riesgos? Qué voy a trabajar primero sobre las obligaciones regulatorias y aplicables a su objeto social y modelo de negocio.
Lo que tenemos que hacer como profesionales del cumplimiento es asegurar el cumplimiento general de la organización. Cuando tienes control interno en una organización porque eres un banco grande, cuando tienes auditoría interna, al área de recursos humanos, al departamento de legal, cada uno tiene su responsabilidad sobre lo que tiene que cumplir y velar el cumplimiento de determinada normatividad aplicable o legislación. Tu matriz de cumplimiento debe incluir todos esos riesgos, pero puede cambiar a quién se los asignas, quién los trabaja, quién es responsable, puede ser control interno, puede ser legal, pero tienes que identificar porque al final esto es el cumplimiento.
El hecho de tener bien identificada la matriz de cumplimiento permite la adopción de medidas adicionales de control y mejores prácticas para evitar la materialización de riesgos legales, normativos, reputacionales, de negocio, penales y de delitos financieros. Podemos hablar de muchos tipos de riesgo, pero estos son los que nos interesan en una matriz de cumplimiento. Una matriz de cumplimiento digital hace referencia a los cambios inherentes de una empresa o una organización al mudar parte de su operación a modalidad digital o remota, es decir, ya puedes ser un banco, ya puedes tener tu matriz de riesgo o tu matriz de cumplimiento digital, de repente llega la pandemia y tienes que activar el home office, tengo que empezar a migar a lo digital porque el mundo no me va a esperar. Cuando haces ese cambio, los riesgos inherentes que debes tomar en consideración van a ser nuevos elementos.
Canales de comunicación
Existe una estrategia sicológica que se llama rodar con resistencia, el cumplimiento no es una pared donde alguien llegue con una propuesta de utilizar una plataforma externa como Slack, Microsoft Teams, Zoho, Facebook, etc., y aceptarla desde el principio. Por el contrario, soy escéptico, no me la creo a la primera, pero te escucho, convénceme, dame argumentos de por qué quieres hacer esa transformación, si son válidos, voy a aceptar la sugerencia, pero con resistencia, con escepticismo, con el objetivo de proteger a la organización. Rodar con resistencia es no ser visto ni tú ni nadie como la pared hacia la transformación digital, dale la bienvenida a las tecnologías, pero haz un análisis minucioso de sus riesgos. Antes de utilizar una plataforma se deben investigar sus antecedentes de seguridad, revisar reportes de seguridad. Debemos de considerar que el principio de la ciberseguridad es cuando alguien se plantea sí o sí vulnerar una plataforma o una aplicación, no hay manera en la que se detenga, lo va a hacer, a donde se mueven las masas, se mueven los hackers, no hay aplicación segura. Puedes utilizar una plataforma menos popular, pero esto significa menor calidad, menor agilidad, etc.
Secretos industriales
Uno de los mayores temores que tenemos al migrar a lo digital es la cantidad de infraestructura que se debe montar sobre los componentes y herramientas tecnológicas para salvaguardar la información confidencial, datos personales y secretos industriales. Plataformas como Google Drive permiten herramientas de auditoría interna o seguimiento. Cuando te acercas al departamento de tecnología y pides un registro de cuántas personas y cuántas veces han descargado los archivos en los últimos días, empiezas a hacer uso de las herramientas de seguimiento y auditoría, y a partir de aquí puedes poner candados sobre quién descarga los archivos, cuál es el límite. Hay diversas herramientas para sentirte más seguro y protegido y con mayor vigilancia para ver cómo se están moviendo los archivos.
Seguridad de las redes wifi
Muchas empresas se sienten seguras porque han instalado el VPN en la casa de los empleados. El VPN solo es una capa menor de protección para la seguridad de las conexiones de empleados desde casa y no sustituye a un programa de seguridad de la información y ciberseguridad. El profesional de cumplimiento debe de colaborar con las áreas de tecnología para bajar mensajes de alto impacto que permitan a los colaboradores hacer conciencia sobre los riesgos cibernéticos a los cuales podrían estar expuestos.
No hay una estrategia de seguridad de la información que pueda hacer algo por un ser humano que deja a simple vista su contraseña, que lo pone en post it, cuando no bloquea su ordenador. En el tema de cómo las empresas se llevan los ordenadores a casa hay opciones infinitas, por ejemplo, se llevan sus tokens a casa, crean incluso computadoras virtuales a las cuales accedes a través de un servidor, donde no puedes grabar pantalla, no puedes descargar a una computadora personal, hay una infinidad. Sin embargo, me gustaría recalcar que no solo es instalar un VPN, instala un programa robusto, capacita a tus colaboradores sobre los problemas que se pueden presentar, por ejemplo, los correos sospechosos, verificar los links, etc.
Ética y cultura digital
Al mudar a lo digital lo ético cobra una importancia crítica en las organizaciones. Ser transparente, no solo hay que monitorear lo digital y lo ético, también se debe contemplar la transparencia en la hora de conexión de labores, fijar límites con la familia. No todo recae en las expectativas de la organización hacia el empleado, como empresa pedirás horarios de desconexión, a qué hora empieza el empleado sus labores y un reporte diario. De lo que se trata es de generar un equilibrio y de capacitación continua. Cuando migramos a lo digital es clave para construir a los colaboradores. Los colaboradores deben saber que como líderes deben trabajar con los equipos, interesarse por las personas, fomentar espacios virtuales entre colaboradores, inventar algún espacio para platicar cómo nos fue en la semana para no distanciarnos al migrar a lo digital, robustecer las relaciones personales sigue siendo igual de importante que como lo era en el pasado.
Entrevista con Daniel Medina, CEO de FINCCOM, dirigida por Janet Huerta para Abogado Digital.