Fundaciones: riesgos internos y externos que pasan desapercibidos

¿Un gran blanco para los cibercriminales?

Muchas fundaciones, en particular las más pequeñas, no se dan cuenta del valor que la información personal, financiera y comercial que poseen tiene para los cibercriminales.

Típicamente, las fundaciones no se perciben a sí mismas como blancos. De todas formas un 44% guarda información personal de clientes, beneficiarios o donantes en forma electrónica. Y 30% de estas fundaciones han sufrido filtraciones o ataques. De hecho, las fundaciones reportaron 137 incidentes de seguridad de la información a la Information Commissioner’s Office (ICO) durante el primer cuatrimestre de 2018/2019. Esto significa un crecimiento seis veces mayor al del año anterior, lo que indica que la amenaza a la industria está creciendo a un ritmo exponencial.

Ajustando la seguridad

Las fundaciones deberían considerar activamente cómo pueden prevenir ser un blanco fácil para los atacantes. La cultura de apertura hace a las fundaciones más vulnerables a los ciber-fraudes y extorsiones, que van del ransomware y malware a filtraciones de información y phishing. Mientras las fundaciones se vuelven más y más dependientes de los servicios en línea, su exposición a los ataques crece, arriesgándose a severas consecuencias financieras y reputacionales. La inversión en ciberseguridad entonces jamás fue tan urgente como lo es ahora.

Pero las fundaciones más pequeñas pueden no considerar la destinación de recursos a la ciber-protección como una prioridad. En su lugar, creen que la ciberseguridad es un gasto general excesivo que desvía el dinero de los objetivos. O pueden no entender la amenaza en su totalidad. De todas maneras, tienen la misma obligación de cuidar de su información que cualquier otro negocio. Aunque no es sorprendente que las fundaciones quieran invertir recursos escasos en pelear por la pobreza o darle techo a la gente en situación de calle, algunos argumentan que esos servicios podrían estar bajo peligro si no se invierte en las herramientas y prácticas de ciberseguridad.

La inversión lo vale

La ciberseguridad no tiene por qué ser demasiado complicada o cara.

Algunos ejemplos de soluciones simples y efectivas incluyen:

• Un simple chequeo que evalúe el proceso de manejo del riesgo de la fundación, siguiendo los 10 pasos del Centro Nacional de Ciberseguridad del Reino Unido¹ 
• Escaneos de vulnerabilidad que identifican si la información sensible está siendo filtrada
• Implementación de capacitaciones y concientización del staff

Existe una variedad de soluciones de distintos proveedores pero, no importa cuánto paguen las fundaciones, no existen opciones que eliminen 100% del riesgo. Las fundaciones deben emplear una estrategia pragmática, balanceada y enfocada. No sólo les ayudará a responder al contexto de amenazas en constante evolución, mitigando el riesgo de niveles crecientes de crimen cibernético, también ayudará a cumplir con las obligaciones de protección de la información.

Fraude interno en fundaciones

Las fundaciones pueden ser particularmente propensas al fraude interno; fraude cometido por fideicomisarios, empleados y voluntarios.

Aquellos que trabajan en el sector están comprometidos con las metas particulares de su fundación y usualmente piensan que es inimaginable que quienes trabajan con ellos podrían robarle esos fondos tan necesitados por su fundación. Como resultado, se deposita mucha fe y confianza en los individuos y no existen desafíos para sus acciones.

Hablando con fundaciones que han sufrido fraude interno, estaban devastadas por la traición de la confianza que, además de tener un impacto financiero, puede causar daño severo a la reputación. A estos fideicomisarios y empleados con la responsabilidad de volver a juntar los pedazos de la empresa les puede ser difícil volver a confiar otra vez.

Tres pasos clave

El riesgo que enfrentan las fundaciones más pequeñas puede ser muy diferente a las de las más grandes, que tienen más empleados, segregación de tareas y una administración, controles y procesos más sofisticados. Cuando sólo hay algunas personas, la segregación de tareas y la supervisión es muy difícil de alcanzar.

En nuestra experiencia, hay tres pasos clave que las fundaciones más pequeñas pueden seguir:

1. Asegurarse de que siempre hayan dos signatarios en las transacciones bancarias, incluyendo transferencias y cheques. Esos dos signatarios deberían, idealmente, no estar relacionados entre ellos. Por ejemplo, no un esposo o familiar cercano.
2. Donde la segregación de tareas no es siempre posible, como el rol de tesorería en una pequeña fundación, asegurar que exista algún tipo de rotación de tareas. Eso puede significar que cuando alguien se va de vacaciones, alguien más puede tomar su lugar en forma completa. Por otro lado, podría querer cambiar periódicamente una posición clave para que una persona, por ejemplo, no lleve toda la contabilidad de la fundación por un período extenso de tiempo.
3. Alguien más que no sea el contador debería preparar las cuentas anuales. Un segundo par de ojos puede detectar o impedir que alguien haga algo que no debe.

Para las fundaciones más grandes, las tres cosas más importantes son:

1. Tener un procedimiento efectivo de “delatores”. Una gran proporción de fraudes son descubiertos por alguien que sale a hablar. Estos procedimientos deberían estar bien publicitados dentro de la fundación. Aquellos que traigan preocupaciones deberían ser protegidos y alentados, ya que normalmente se necesita coraje para hablar. Si nunca se escucha nada, no debería asumir que todo está ok. Puede ser que sus procedimientos no son efectivos o que la cultura de su organización desmotiva a la gente que pueda hablar.
2. Empoderar a su gente. Ponga en claro que todos en la fundación deben seguir las reglas, desde el gerente general hacia abajo. Cualquiera que no siga los procedimientos o controles debe ser cuestionado. Muy frecuentemente una cultura de sumisión le permite a los senior salirse con la suya con cosas por las que los empleados junior serían enfrentados.
3. Darle valor a su firma. Si se le pide aprobar, digamos, órdenes y pagos de facturas, debe evitar firmar sin revisar. Normalmente los empleados senior firman pagos que luego resultan ser fraudulentos. Casi siempre lo hacen porque confían en la persona que se los llevo o vieron que alguien más lo había aprobado y asumieron que todo estaba bien. La sospecha luego recae sobre alguien inocente. De cualquier forma, el daño a la reputación del individuo puede llevarlos a perder su empleo.

Desafortunadamente que las fundaciones sean víctimas de fraude es muy común. Deberían estar atentas, confiar en la gente – pero no ciegamente y los individuos deberían salir a hablar si creen que lo que ven no está bien.

₁ NCSC's 10 Steps to Cyber Security https://www.ncsc.gov.uk/collection/10-steps-to-cyber-security?curPage=/collection/10-steps-to-cyber-security/the-10-steps