Después de que la ex vicepresidenta del Bank of New York, Lucy Edwards, fuera condenada por ayudar a su esposo a lavar más de US$7.000 millones provenientes de bancos rusos, ella le dio un consejo al banco que terminó pagando multas por US$38 millones a los reguladores estadounidenses: el departamento de cumplimiento debería haber sabido lo qué ella estaba haciendo.
El tener un mayor control de los empleados que podría utilizar abusivamente información sensible ha sido durante mucho tiempo una práctica estándar entre las instituciones financieras. Pero a medida que las aplicaciones en las comunicaciones evolucionaron, lo que necesitan buscar los oficiales de cumplimiento, también se ha visto modificado.
“Estamos comenzando a redefinir nuestra definición de lo que son las comunicaciones, no vamos a restringirnos sólo a los mensajes de correo electrónico”, dijo Dan Regard, director de Intelligent Discovery Solutions en Washington D.C. El no hacerlo, deja a las instituciones financieras en una situación vulnerable para que sean abusadas por sus empleados con más conocimientos tecnológicos, advirtió.
Los empleados desleales ya no tienen que depender de llamados telefónicos y mensajes de correo electrónico de la compañía para enviar información sensible, y ahora pueden utilizar mensajes de texto, cuentas personales de correo electrónico y servicios de redes de contactos sociales como Twitter y Facebook, precisó Regard.
Pero el monitoreo de estos canales es complicado por el hecho de que es “muy común para la gente en conversaciones normales cambiar constantemente de canales de comunicación”, agregó.
Software de monitoreo de transacciones
Al rastrear los mensajes de correo electrónico de los empleados, las instituciones financieras en gran parte utilizan softwares que permiten realizar búsquedas mediante palabras clave y rastrear los destinatarios de los mensajes de correo electrónico que pueden estar en una “lista específica interna”, explicó John Walsh, presidente de la consultora Sight Span en Mooresville, Carolina del Norte.
Como el software de monitoreo de transacciones, los sistemas de monitoreo de mensajes de correo electrónico detectan patrones para establecer si aquellos empleados sobre los que existan sospechas están en contacto regular con individuos cuestionados, afirmó la experta, quien además agregó que “si la cantidad de contactos es inusualmente grande, entonces se inicia una investigación más detallada”.
El mismo software, denominado “paquete rastreador”, también puede ser utilizado para monitorear otros medios a través de palabras clave y patrones inusuales, aunque los sistemas pueden no tener la sofisticación para monitorear de manera efectiva las llamadas telefónicas rastreando las mismas palabras.
En lugar de ello, los sistemas telefónicos “pueden ser analizados verificando la densidad de tráfico, la frecuencia y volumen y con el sistema adecuado se puede correlacionar el tráfico telefónico y otros tráficos de comunicaciones para establecer un verdadero patrón de comunicaciones”, dijo Regard.
El ampliar el monitoreo de los empleados puede resultar en la detección de aquellos que todavía no se han dado cuenta de que “si lo hace en la computadora del trabajo, puede ser rastreado”, dijo Carmen Oveissi Field, directora de Daylight Forensic & Advisory en Nueva York.
En un ejemplo, un cliente de Field tenía un empleado que estaba planeando cometer “un delito muy serio” a través de sus servicio de mensajes instantáneos en el trabajo, a fin de evitar ser rastreado en su teléfono celular. “Pero no sabía que había una oficina donde sus comunicaciones estaban siendo proyectadas en una pared y eran leídas”, precisó Field.
Si bien la mayoría de las compañías tienen políticas para el uso de correo electrónico y de redes, las organizaciones multinacionales más grandes a menudo no aplican de manera consistente esas políticas en todas las líneas de negocios, aclaró Walsh. En algunos casos, las políticas varían dependiendo del nivel de riesgo de cada trabajo.
“El mayor escrutinio va acompañado del mayor riesgo asociado con la suma de dinero que alguien puede defraudar o lavar”, dijo Walsh. “Un banquero de inversión va a ser mucho más vigilado, pero el escrutinio sería menor para un cajero”.
Conservar lo necesario
Debido a que el almacenamiento inadecuado y la administración de la información en los sistemas de monitoreo pueden concluir en problemas de cumplimiento, los bancos deben tener políticas para autorizar las funciones de búsqueda mediante fechas, palabras clave, orígenes y líneas de negocios, afirmó Walsh.
Las reglas de conservación de la información, sin embargo, varían según los distintos tipos de transacciones y comunicaciones y los límites respecto a cuánto tiempo una institución puede conservar la información, que varían entre uno y siete años.
Con relación a “la información sobre si su empleado está comprando en eBay”, no habría ninguna razón lógica para conservar esa información durante cinco años”, dijo Theresa Loscalzo, socia de la firma de abogados Schnader Harrison Segal & Lewis LLP en Filadelfia. “Podría conservarse esa información durante 30 días y en un servidor distinto”.
Loscalzo precisó que los bancos pueden cometer el error de incluir a todos los tipos de comunicaciones en una sola categoría, lo cual lleva más tiempo y tiene un mayor costo para procesar la información importante
En última instancia, los bancos deben lograr un equilibro en sus esfuerzos para monitorear a los empleados, para tener seguridad interna profunda si tener una vigilancia draconiana, dijo Field. “Hay que encontrar dónde se quiere marcar la línea en su organización, donde la gente siga siendo efectiva, pero que no sienta que se le falta el respecto al ser vigilada”, agregó.
