El Compliance forense y el análisis de la conducta digital.

El Compliance forense y el análisis de la conducta digital transforman el cumplimiento normativo al analizar registros, metadatos y patrones de comportamiento para detectar, prevenir y gestionar riesgos, fraudes e incumplimientos de forma anticipada y basada en evidencia. 

El Compliance forense y el análisis de conducta digital constituyen una evolución natural de los sistemas de cumplimiento tradicionales hacia un terreno en el que la evidencia, los datos y los patrones de comportamiento dejan de ser meras anotaciones estáticas para convertirse en señales dinámicas de riesgo.

Ya no basta con disponer de políticas y códigos éticos; es necesario observar cómo se comportan realmente los individuos y los sistemas en el entorno digital de la organización, identificar regularidades y anomalías, y traducirlas en indicios de posibles incumplimientos, conflictos de interés, fraudes, abusos de acceso o malas prácticas reiteradas.

En la senda de la cultura de integridad y cumplimiento.

El enfoque forense no se limita a investigar “a posteriori” cuando ya se ha producido el daño, sino que puede articularse como una herramienta de prevención avanzada, capaz de detectar desviaciones tempranas en los registros internos, en los metadatos y en los rastros digitales que dejan las decisiones cotidianas.

En la investigación de patrones de riesgo en registros internos, el punto de partida es la comprensión de que cada acción relevante en la organización deja huella, la cual se materializa en los accesos a sistemas, en aprobaciones de las operaciones, en modificaciones de los datos, en autorizaciones de los pagos, en cambios en los perfiles de usuario, en alteraciones de los registros contables, en los movimientos de documentos, en consultas masivas de ficheros, entre otros muchos ejemplos, que se pueden exponer al efecto.

Un sistema de Compliance forense diseña criterios y algoritmos para desgranar esos registros, detectar patrones repetitivos, que puedan ser incompatibles con las políticas de la empresa, y con ello el poder aislar comportamientos que, tomados en conjunto, constituyen señales de alerta.

El Compliance forense debe trabajar con las áreas de tecnología, de auditoría interna y de seguridad.

No se trata únicamente de localizar un acto aislado de incumplimiento, sino de entender cómo ciertos usuarios, departamentos o procesos generan “firmas” de riesgo, por ejemplo, un responsable que aprueba sistemáticamente operaciones al límite de sus facultades, un usuario que accede de forma recurrente a expedientes sin relación con su función, un equipo que introduce correcciones contables de ajuste justo antes del cierre de mes, o, un conjunto de empleados. que utilizan de manera reiterada canales alternativos de comunicación para cerrar acuerdos al margen de la trazabilidad corporativa.

El análisis de patrones requiere definir, qué se considera conducta normal o esperable en cada proceso, establecer umbrales de tolerancia, identificar variables relevantes (v.gr. hora, frecuencia, volumen, contrapartes, localización, dispositivos), y contrastarlas de manera sistemática con las reglas internas, la normativa aplicable, y el mapa de riesgos de la entidad.

En ese contexto, el Compliance Forense debe trabajar estrechamente con las áreas de tecnología, de auditoría interna, y de seguridad de la información para diseñar cuadros de mando e indicadores específicos.

Esto implica catalogar los registros relevantes en los distintos sistemas (v.gr. ERP, CRM, correo corporativo, gestor documental, aplicaciones de recursos humanos, plataformas de ticketing), definir quién genera qué tipo de datos, y cómo se validan los mismos, depuran y consolidan, e implantar controles para garantizar la integridad de los logs.

La integridad de los registros es esencial, porque cualquier manipulación o borrado selectivo de los mismos puede ser, en sí misma, un indicador de posible mala praxis.

El análisis de patrones de riesgo ha de ser compatible, además, con los principios de minimización de datos, de proporcionalidad y de necesidad, de forma que la organización no convierta el entorno de trabajo en un sistema de vigilancia indiscriminada, sino en un mecanismo legítimo de control ligado a fines concretos de prevención, y de detección del incumplimiento.

Metadatos

El diseño de estos mecanismos debe acompañarse de una información transparente a los empleados, políticas de uso de medios digitales claras, y límites precisos respecto a los tratamientos de datos, para evitar tanto excesos intrusivos como zonas de impunidad tecnológica.

Las huellas conductuales en metadatos constituyen otra dimensión clave del Compliance forense, y del análisis de conducta digital.

Los metadatos son datos sobre los datos, es decir, información que no se ve a simple vista en un documento o un correo, pero que describe su origen, su autoría, sus fechas de creación y modificación, sus versiones, sus rutas de envío, los dispositivos utilizados, las direcciones IP empleados, los permisos de acceso, la geolocalización aproximada, los patrones de edición, entre otros atributos.

«El análisis forense de metadatos resulta especialmente valioso en investigaciones internas relacionadas con filtraciones de información, en conflictos de interés, en alteraciones de documentos, en el falseamiento de evidencias, en la manipulación de informes, o en la reconstrucción de cadenas de aprobación».

Estas huellas permiten reconstruir la historia de un archivo, de un intercambio o de un proceso, incluso cuando el contenido ha sido alterado, fragmentado, o incluso, parcialmente eliminado.

Desde la perspectiva del cumplimiento, los metadatos pueden mostrar, por ejemplo, que un contrato aparentemente firmado en una fecha determinada, fue en realidad modificado con posterioridad sin seguir el procedimiento establecido; que un informe supuestamente elaborado por un departamento, fue editado de forma sustancial por un tercero no autorizado; que un documento confidencial, se descargó en un dispositivo externo justo antes de la salida de un empleado; o, que un reporte enviado al regulador, tiene un recorrido previo de modificaciones, que apuntan a la eliminación de advertencias internas incómodas.

Trabajar con metadatos exige comprender su naturaleza técnica, pero también, poder traducirla en categorías jurídicas y de cumplimiento.

Tipos de metadatos relevantes

La organización debe definir qué tipos de metadatos son relevantes para su actividad y su mapa de riesgos, cómo se conservan y con qué plazos, quién puede acceder a ellos, y con qué finalidad, y qué procedimientos se activan cuando los metadatos revelan inconsistencias entre la versión formal de los hechos y la realidad digital registrada.

El análisis forense de metadatos resulta especialmente valioso en investigaciones internas relacionadas con filtraciones de información, en conflictos de interés, en alteraciones de documentos, en el falseamiento de evidencias, en la manipulación de informes, o en la reconstrucción de cadenas de aprobación.

Además, los metadatos pueden contribuir a demostrar la diligencia de la organización ante autoridades supervisoras o judiciales, acreditando que ciertos controles estaban activos, que determinados avisos se emitieron en tiempo y forma, o. que se actuó con prontitud ante un incidente detectado.

El reto consiste en integrar esta riqueza de información en un sistema de cumplimiento que sea comprensible, operativo y respetuoso con los derechos de las personas, evitando tanto la opacidad técnica, como la banalización de unos rastros digitales, que, bien gestionados, pueden ser decisivos a la hora de depurar responsabilidades.

Todo ello desemboca en la necesidad de definir y gestionar indicadores digitales de mala praxis, es decir, conjuntos de señales que, cuando aparecen aisladas o combinadas, incrementan la probabilidad de que se esté produciendo un comportamiento contrario a la normativa o a las políticas internas.

Estos indicadores no son pruebas concluyentes, sino indicios que deben ser interpretados de manera prudente y contextual.

Un indicador puede ser, por ejemplo, un volumen inusual de accesos fuera de horario laboral a expedientes sensibles, una concentración de aprobaciones urgentes justo antes de cierres contables, un número elevado de correos con adjuntos cifrados enviados a dominios externos no corporativos, una actividad masiva de impresión de documentos confidenciales, o un patrón de modificación reiterada de informes para rebajar niveles de riesgo, o para eliminar advertencias de cumplimiento.

En el ámbito de la conducta digital, también pueden considerarse indicadores de mala praxis, la utilización sistemática de canales informales para cerrar acuerdos (v.gr. mensajería instantánea no corporativa, correos personales, etc.), la creación de “grupos cerrados”, donde se comparten instrucciones contrarias al código ético, o la reiteración de prácticas, que eluden deliberadamente los circuitos de aprobación establecidos.

Los metadatos pueden revelar fugas de información.

En investigaciones internas complejas, el análisis de metadatos puede poner de manifiesto, por ejemplo, que un informe supuestamente independiente fue redactado en realidad por el mismo departamento que debía ser supervisado, que un contrato presentado como cerrado en una determinada fecha fue modificado días después sin seguir el circuito de aprobación, o que un documento con advertencias internas sobre determinados riesgos fue depurado de dichas advertencias antes de su remisión a un órgano de gobierno o a una autoridad externa.

Los metadatos pueden, asimismo, revelar fugas de información, evidenciando que determinados archivos confidenciales fueron copiados a dispositivos USB, descargados de forma masiva poco antes de la marcha de un empleado o reenviados a cuentas privadas.

En estos casos, el valor probatorio de los metadatos es enorme, siempre que se haya garantizado su integridad y se haya documentado adecuadamente la cadena de custodia.

El diseño de estos indicadores digitales exige un trabajo previo de categorización de riesgos, de definición de escenarios de incumplimiento, y de comprensión de cómo se manifiestan en la realidad tecnológica de la entidad.

Es necesario combinar el conocimiento jurídico y de Compliance con el «expertise» técnico de analistas de datos, de expertos en ciberseguridad, y de auditores internos para construir modelos razonables, que no generen ni una avalancha de falsos positivos, ni puntos ciegos que dejen fuera conductas significativas.

La organización debe establecer umbrales de alerta, procedimientos de revisión humana de los casos detectados, criterios de prioridad, y protocolos de actuación una vez que un indicador se activa, y ello conlleva desde la simple anotación y seguimiento, hasta la apertura de investigaciones internas formales, la activación del canal de denuncias, la notificación a órganos de gobierno, o el reporte a autoridades externas, dependiendo de la gravedad y también de la naturaleza del riesgo.

Todo ello ha de integrarse, además, con una gobernanza clara sobre quién puede ver qué tipo de indicadores, cómo se documentan las decisiones adoptadas y cómo se preservan las garantías de las personas afectadas, incluida la presunción de inocencia, el derecho de defensa, y la protección de datos.

Todo ello supone, que el Compliance forense y el análisis de conducta digital implica llevar el sistema de cumplimiento a un estadio en el que la evidencia tecnológica se convierte en un lenguaje central para entender la ética organizativa.

Los registros internos se convierten en fuentes vivas de información

Los registros internos dejan de ser simples archivos administrativos, para transformarse en fuentes vivas de información sobre cómo se comporta realmente la organización.

Los metadatos dejan de ser detalles técnicos, para convertirse en huellas conductuales, que permiten reconstruir historias, y, asimismo poder detectar incoherencias.

Y los indicadores digitales de mala praxis dejan de ser simples números en un cuadro de mando, para convertirse en señales de alerta que, si se interpretan con rigor, con proporcionalidad y con respeto a los derechos fundamentales, permiten anticiparse al incumplimiento, mitigar daños, y consolidar una cultura de integridad basada en hechos, y no solo en declaraciones formales.

«En la investigación de patrones de riesgo en registros internos, la clave radica en entender los sistemas de la organización como una fuente permanente de señales».

El Compliance forense y el análisis de conducta digital suponen un cambio de paradigma en la forma de entender el cumplimiento normativo.

No se limitan a verificar ex post si una política se ha cumplido o no, sino que tratan de interpretar la realidad viva de la organización a través de los rastros, que dejan las personas en los sistemas de información.

Cada acceso, cada aprobación, cada modificación, cada envío de documento o cada descarga de información va conformando un mapa conductual, que permite identificar patrones de riesgo, tendencias de comportamiento, y posibles focos de mala praxis antes de que cristalice un daño grave para la entidad.

Lógica investigadora

El enfoque forense introduce una lógica casi investigadora dentro del Compliance, ya que se trabaja con evidencias, se reconstruyen secuencias de acciones, se correlacionan datos aparentemente dispersos, y se interpretan comportamientos a partir de trazas digitales objetivas.

En la investigación de patrones de riesgo en registros internos, la clave radica en entender los sistemas de la organización como una fuente permanente de señales.

Los sistemas de gestión financiera, las herramientas de recursos humanos, las plataformas de gestión de proyectos, las aplicaciones de atención al cliente, los sistemas de «ticketing», las gestoras documentales, y los servidores de correo generan continuamente logs y registros, que bien analizados, permiten detectar desviaciones significativas respecto a lo que sería una conducta normal o esperable.

El Compliance forense no se limita a revisar estos registros cuando ya ha estallado una crisis, sino que diseña marcos de análisis continuado, criterios de monitorización, y algoritmos de detección de anomalías que convierten esos datos en un radar preventivo.

Esto implica definir para cada proceso qué operaciones son sensibles, qué usuarios tienen capacidad de decisión relevante, qué horarios, volúmenes, importes o frecuencias son razonables, y a partir de ahí identificar lo que se sale de lo habitual.

Un aspecto central de este trabajo es el que hace referencia a la construcción de modelos de comportamiento de referencia.

No basta con fijar reglas abstractas; hay que observar cómo se comportan, en la realidad, los usuarios que actúan de manera alineada con las normas.

A partir de ahí se pueden detectar desviaciones, como por ejemplo usuarios que aprueban sistemáticamente operaciones en el límite de sus capacidades, empleados que consultan expedientes ajenos a su ámbito de trabajo, responsables que concentran decisiones críticas en periodos de baja visibilidad (v.gr. noches, fines de semana, vísperas de cierre contable), o patrones inusuales de creación, modificación, y eliminación de registros en los sistemas internos.

El Compliance forense debe implicarse en el diseño de la arquitectura de «logging» de la organización.

Estas desviaciones no prueban por sí solas una infracción, pero sí exigen una mirada más detallada, la realización de entrevistas, la revisión de documentación de soporte, y el contraste con otros elementos de evidencia.

Para que esta investigación de patrones de riesgo sea sólida, es imprescindible, que los registros internos sean completos, íntegros, y estén protegidos frente a manipulaciones.

El Compliance forense debe implicarse en el diseño de la arquitectura de «logging» de la organización, definiendo qué eventos deben registrarse, con qué detalle, durante cuánto tiempo, y bajo qué garantías de conservación y acceso.

La ausencia de registros, la existencia de lagunas temporales o la detección de borrados selectivos pueden ser, por sí mismos, indicadores de riesgo relevantes.

Del mismo modo, es necesario, que la gestión de estos registros respete la normativa de protección de datos, estableciendo bases jurídicas claras para su tratamiento, la determinación de criterios de minimización, de limitaciones de acceso, y de mecanismos de pseudonimización o anonimización cuando sea posible, de manera que se logre un equilibrio entre la protección de las personas, y la necesidad de contar con evidencias fiables para el sistema de cumplimiento.

Las huellas conductuales en metadatos añaden una capa de profundidad muy significativa a este enfoque.

Todo ello permite reconstruir la historia “real” de un documento, más allá de lo que aparenta su versión final, y detectar incongruencias entre el relato formal y la trazabilidad digital.

El trabajo con metadatos obliga también a que el área de Compliance forense adquiera competencias interdisciplinares.

No es suficiente con el conocimiento jurídico o regulatorio; es preciso entender conceptos de administración de sistemas, estructuras de ficheros, formatos de archivo, protocolos de red y metodologías de informática forense.

El uso de metadatos no debe degenerar en un control desproporcionado.

Esa comprensión técnica debe traducirse en procedimientos de trabajo claros: cómo se extraen metadatos sin alterarlos, cómo se documenta esa extracción, cómo se conserva la evidencia de manera segura, cómo se prepara para una eventual aportación en juicio y cómo se coordina con expertos externos cuando se requieren peritajes especializados.

Al mismo tiempo, el área de cumplimiento ha de velar para que el uso de metadatos no degenere en un control desproporcionado de la vida digital de los empleados, estableciendo límites claros, políticas transparentes y mecanismos de supervisión y rendición de cuentas sobre quién puede acceder a qué tipo de información y con qué fines.

Los indicadores digitales de mala praxis surgen precisamente de la sistematización de toda esta información.

Se trata de definir un conjunto de señales que, de manera aislada o agregada, incrementan la probabilidad de que esté produciéndose un comportamiento irregular.

No son pruebas definitivas, pero sí disparadores de alertas que justifican una revisión.

Esos indicadores pueden basarse en parámetros de frecuencia, como un número inusualmente elevado de modificaciones en expedientes delicados por parte de un mismo usuario; en parámetros de secuencia, como una cadena repetitiva de acciones que siempre desembocan en una decisión de riesgo; en parámetros temporales, como concentraciones de actividades críticas en periodos de baja supervisión; o en parámetros de red, como la aparición de pequeños “clanes digitales” que se coordinan de forma opaca mediante canales no oficiales para tomar decisiones al margen de los circuitos establecidos.

Algunos ejemplos ilustran mejor esta lógica.

Un indicador puede ser la correlación entre un elevado número de accesos a información confidencial y la participación de ese mismo usuario en operaciones con terceros que suscitan dudas de integridad.

Otro indicador puede ser la reiteración de correcciones contables sobre las mismas partidas justo antes de la emisión de estados financieros, especialmente si esas correcciones mejoran de forma sistemática los resultados.

Un tercero podría ser el uso reiterado de correos personales para cerrar asuntos que deberían tramitarse por canales corporativos, o la utilización de servicios de mensajería instantánea externos para acordar el contenido de decisiones, que luego se formalizan por escrito de manera incompleta.

También pueden configurarse indicadores ligados a patrones de impresión masiva de documentos sensibles, descargas de grandes volúmenes de datos sin justificación operacional, o accesos sistemáticos a expedientes de empleados o clientes sin una relación aparente con la función del usuario.

Mapa de riesgos de la organización.

La definición de estos indicadores debe partir del mapa de riesgos de la organización.

No tiene sentido monitorizarlo todo de la misma forma; hay que priorizar aquellos procesos, áreas o tipos de información que se relacionan con riesgos penales, regulatorios, reputacionales o económicos más graves.

A partir de esa priorización, el Compliance forense, junto con auditoría interna, con la seguridad de la información y data analytics, puede diseñar matrices donde se asocian tipos de riesgo con comportamientos digitales observables.

Con esa matriz se establecen umbrales de alerta, niveles de criticidad y procedimientos de escalado: desde alertas de primer nivel que se resuelven con una simple verificación, hasta alertas críticas que requieren una investigación interna formal, entrevistas, revisión de correos y documentos, y, en su caso, medidas disciplinarias o comunicación a las autoridades.

Es esencial que estos indicadores no se gestionen de manera automática y deshumanizada.

El análisis de conducta digital tiene límites claros basados en la interpretación de las señales, que debe ser siempre prudente, contextual, y respetuosa con los derechos de las personas.

Un mismo patrón puede tener explicaciones legítimas, y la precipitación en las conclusiones puede generar injusticias, conflictos laborales, y reclamaciones por vulneración de derechos fundamentales.

Por ello, todo sistema de indicadores digitales debe ir acompañado de protocolos de actuación, que contemplen la necesidad de recabar explicaciones de los implicados, de contrastar los datos con otras evidencias, de registrar las decisiones que se tomen, y de garantizar la confidencialidad y la proporcionalidad de las medidas.

Canal de denuncias.

La existencia de un canal de denuncias robusto y protegido también juega un papel importante, ya que, en ocasiones, una alerta digital sólo cobra pleno sentido cuando se combina con información cualitativa aportada por un denunciante interno, o por una observación de un mando intermedio.

El Compliance forense y el análisis de conducta digital también tienen una dimensión preventiva y pedagógica.

No se trata únicamente de detectar y sancionar, sino de comunicar a la organización, que los sistemas de información generan trazabilidad, que las decisiones dejan rastro, y que esa trazabilidad se emplea para proteger la integridad de todos, no para perseguir arbitrariamente a nadie.

Si se explica adecuadamente, la existencia de estos mecanismos puede tener un efecto disuasorio sobre conductas de riesgo, al tiempo, que refuerza la confianza de quienes actúan correctamente en que la organización, dispone de herramientas para identificar a quienes pretenden aprovecharse de resquicios o zonas de sombra.

Asimismo, el análisis de patrones y de indicadores puede utilizarse para ajustar políticas, rediseñar procesos, cerrar brechas de control, mejorar la segregación de funciones, o introducir controles adicionales en puntos del flujo donde se detectan con frecuencia anomalías repetidas.

Desde una perspectiva más amplia, la integración del análisis de conducta digital en el sistema de Compliance está alineada con estándares de gestión de cumplimiento y de seguridad de la información.

El enfoque forense y analítico puede conectarse con requisitos de normas como ISO 37301 en materia de seguimiento y medición, con ISO 27001 en lo relativo a la gestión de eventos de seguridad y logs, y con marcos específicos de canales de denuncia y gestión de irregularidades.

Esta integración ayuda a evitar la dispersión de iniciativas, asegura una gobernanza coherente de los datos, y evita solapamientos o contradicciones entre los distintos mecanismos de control.

Además, facilita la rendición de cuentas ante el órgano de gobierno y ante los reguladores, pudiendo acreditar, que la entidad no sólo tiene políticas escritas, sino que las acompaña de un sistema objetivo y estructurado de detección temprana de conductas anómalas.

Por último, el desarrollo de un verdadero Compliance forense requiere invertir en capacidades, en herramientas, y en un refuerzo de la cultura corporativa.

En capacidades, porque el equipo de cumplimiento debe contar con perfiles, que comprendan tanto el lenguaje jurídico, como el tecnológico y el de análisis de datos.

En herramientas, porque el volumen de información y la complejidad de los sistemas hacen inviable un análisis exclusivamente manual, siendo necesario recurrir a soluciones de monitorización, de análisis de logs, de inteligencia artificial, y de aprendizaje automático, siempre bajo la supervisión humana, y con criterios claros de transparencia, y de explicabilidad.

Y en el reforzamiento de la cultura corporativa, porque la organización debe asumir, que el análisis de conducta digital no es una moda pasajera, sino un componente estructural de un sistema de cumplimiento moderno, que entiende que la ética no se mide sólo por lo que dicen los documentos, sino por lo que demuestran los hechos registrados en la vida diaria de la empresa.

Fuente: Confilegal