Seguridad corporativa: mejores prácticas de conducta y cumplimiento para empleados y socios comerciales

2. Objetivo El objetivo indiscutible de este manual es compartir con nuestros empleados y socios los valores, principios y procedimientos, especialmente en materia de ética, legalidad y transparencia de nuestro negocio. En concreto, esperamos: - Construir un discurso unificado entre empleados y socios, con el fin de resaltar nuestros valores; - Establecernos en el mercado como una empresa segura, ética y de vanguardia en nuestro segmento. 3. Quienes somos GMG INTERNET SERVICE LTDA. - es una empresa con sede en Av. Emilio Trevisan 655, suite 303, barrio Bom Jardim, código postal 15.084-067, en la ciudad de São José do Rio Preto, estado de São Paulo. Propietario de la plataforma y software: 1. Gmg Ambiental es un ecosistema de software propietario integrado en una única plataforma propietaria desarrollada en Brasil por GMG INTERNET SERVICE LTDA., Gmg Ambiental es una plataforma SaaS - Software como servicio o software como servicio, accedido mediante login y contraseña, que corre sobre el software Gomapsgo, que es un Sistema de Información Georreferenciada - SIG, formato web (en la nube), con el soporte de mapas provistos por una red de satélites integrados vía API, con el objetivo de generar productos destinados a las siguientes soluciones: 1.1. Monitoreo y Análisis de Incendios: Es un sistema de monitoreo y georreferenciación de incendios y focos en predios rurales.

 

Funcionalidad: Esta solución permite monitorizar toda el área del cliente vía satélite. Cuando identificamos un incendio, con la ayuda de algoritmos, determinamos rápidamente las coordenadas de la ubicación exacta en la propiedad. A partir de ese momento se envía una alerta al cliente, orientando la toma de decisiones para combatir el incendio; 1.2. Monitoreo del Clima para el Campo: Es una solución de monitoreo del clima relacionada con las siguientes características - “Velocidad y dirección del viento”, “Pronóstico de temperatura”, “Precipitación diaria acumulada” y “Alerta Triple 30”: “Velocidad y dirección del viento”: Esta característica proporciona mucha más seguridad, después de todo, muestra la dirección y velocidad del viento. Por lo tanto, si hay incendios en zonas vecinas, es posible calcular si existe la posibilidad de que éste llegue al área monitoreada, ayudando con las medidas a tomar. Ventajas: Mayor seguridad; y un Cuerpo de Bomberos mejor informado para la toma de decisiones. 

​

“Pronóstico de temperatura”: el pronóstico de temperatura presenta los datos previstos para el día siguiente, lo que ayuda con la planificación diaria de la cosecha. Ventajas: Reduce la pérdida de productividad; y contribuye a la toma de decisiones. “Lluvia Acumulada Diaria”: El recurso proporciona información sobre la cantidad de lluvia en días anteriores en milímetros. Es posible elegir la fecha en la que se desea acceder a la información, ayudando a comprender los niveles de precipitaciones para determinados periodos. Ventaja: Trabajar estratégicamente para una cosecha productiva. “Triple Alerta 30”: La función Triple Alerta 30 es una tecnología exclusiva de Gmg Ambiental. Se organiza en base a 3 (tres) datos: temperatura, velocidad del viento y humedad. Es decir, si la temperatura es superior a 30ºC, la velocidad del viento es superior a 30 km/h y la humedad del aire es inferior al 30%, se emitirá una alerta. En estas condiciones, si se produjera un incendio, sería más probable que fuera difícil combatirlo, lo que supondría mayores riesgos para los bomberos. Por eso es tan importante ser conscientes del encuentro de estos tres factores.

​

Ventajas: Mayor seguridad; y un Cuerpo de Bomberos mejor informado para la toma de decisiones. 1.3. Informe Cicatriz de GMG: El informe cicatriz es una especie de expediente de defensa ante multas medioambientales. El informe presenta datos relacionados al día del incendio, como: temperatura, humedad del aire, probabilidad de riesgo de incendio, si hubo factor triple 30, dónde se originó el incendio y cómo llegó al área del cliente. Toda esta información ayuda a demostrar que el responsable del incendio no era el propietario del lugar. Ventajas: Ayuda a defenderse contra demandas ambientales; Reduce el riesgo de multas; Datos climáticos del día del incendio; y Trazabilidad de Incendios. 1.4. Aplicaciones de campo de GMG: “Gestión de campo de GMG”: la aplicación ayuda en la gestión del campo. Permite introducir datos principalmente sobre incendios, pero también sobre policía, moscas en el establo y listas de control de cortafuegos.

​

La aplicación es personalizable, es decir, se puede adaptar a las necesidades de cada cliente. Ventajas: Agilidad de la información; Conectado con el monitoreo; Alerta de enfoque por notificación; 100% personalizable; Funciona sin conexión; Imágenes de lucha contra incendios; y Panel para descargar informes en PDF. 1.5. Gestión de Focos GMG: A través de nuestra plataforma, es posible extraer reportes de los focos ocurridos, filtrando por mes, unidad y tipo de llenado. Además, ofrecemos un panel de control, donde los gerentes pueden medir rápidamente la asertividad del sistema. Ventajas: Base de datos con todos los brotes que ocurren en las zonas; Extraer informes en gráficos, PDF y Excel; y medir la asertividad del sistema a través de informes. 2. GomapsGo: Es un sistema de gestión e información de banco de tierras y viabilidad; permite delimitar y georreferenciar un área, permite generar hojas de cálculo con viabilidad de negocios en función de la demarcación, permite obtener información de la región en función de la demarcación, como ingreso per cápita de los habitantes, densidad poblacional, establecimientos comerciales y otros puntos de interés, permite crear y registrar usuarios, administrar el acceso de usuarios, permite crear carpetas para archivos de contenido digital (PDF, archivos XML, videos, hojas de cálculo);

 

3.1 Organigrama Marcelo Rodrigues Ferraz – CEO - Director Ejecutivo 4. Prevención y Seguridad Corporativa El enfoque que se le dará a este manual es en la Prevención. Esto se debe a que la mayoría de los fraudes que ocurren al interior de las empresas sólo se descubren durante los procesos de auditoría, los cuales son procesos REACTIVOS, es decir, sólo ocurren después de que han ocurrido las desviaciones. A diferencia del pensamiento de las grandes instituciones que delegan la reducción de sus pérdidas en procesos informáticos, entendemos que la simple implementación de estos sistemas no resuelve el problema del fraude corporativo, esencialmente porque los delitos dentro de las corporaciones, incluidos los delitos cibernéticos, son cometidos por empleados de todos los niveles jerárquicos.

​

Los procesos de seguridad preventiva deben considerar siempre el factor humano como elemento clave y el más vulnerable de los recursos corporativos. 4.1 Responsabilidad legal de las organizaciones Además de las obligaciones laborales y tributarias de la organización, de acuerdo a las leyes vigentes en el país, existe actualmente otra cuestión legal que debe ser tomada en consideración: el uso de los recursos tecnológicos por parte de sus empleados. Técnicamente conviene aclarar que, de acuerdo al art. 935 del Código Civil brasileño, la responsabilidad civil es independiente de la responsabilidad penal, pero sólo la primera puede ser atribuida a la persona jurídica. Sin embargo, en los delitos de pederastia y piratería, con utilización de recursos tecnológicos, cometidos dentro del ámbito institucional, el directivo puede ser considerado responsable, ya que asumió el riesgo a sabiendas de que el delito podía ocurrir. También según el Código Civil, art. 932: Son también responsables de la indemnización civil: [...] III - el empleador o el principal, por sus empleados, dependientes y agentes, en la ejecución del trabajo que les sea de responsabilidad o en razón de él. El sumario 341 del Supremo Tribunal Federal también establece: Se presume la culpa del empleador o del mandante por el acto negligente del trabajador o del agente.

​

En el ámbito laboral, las organizaciones deben seguir preocupándose por las consecuencias de la falta de organización, procedimientos y normas para el uso de sus tecnologías, pues entre otros problemas, puede haber incidencia de horas extras y cuestiones que involucren la privacidad.

4.2 Responsabilidad social y sostenibilidad Las empresas tienen responsabilidades indirectas por daños colectivos no patrimoniales en términos sociales y ambientales, al ser consideradas agentes transformadores, que ejercen alta influencia sobre sus recursos humanos y cuentan con recursos económicos y tecnológicos que les permiten direccionar a sus empleados hacia determinados resultados. Para una mejor claridad, las definiciones aquí consideradas respecto a responsabilidad social y sostenibilidad son las siguientes. 4.2.1 Responsabilidad Social: comprende un concepto amplio, según el cual las empresas integran voluntariamente acciones de preocupación social y ambiental en sus operaciones y en su interacción con otras partes interesadas.

4.2.2 Sostenibilidad: desde una perspectiva corporativa, se trata de un nuevo modelo de gestión empresarial, en el que todos los procesos tienen en cuenta de forma efectiva la dimensión social y ambiental, combinado con buenas prácticas de gobierno, este modelo interactúa positivamente en la dimensión económica. En concreto, en el caso de GMG, las preocupaciones por la responsabilidad social y la sostenibilidad son conceptos integrales de nuestros productos, ya que la prevención de incendios es una de las características más importantes de nuestro software principal.

5. Seguridad y protección Para una mejor comprensión, los conceptos de seguridad y protección incorporados en el presente documento son los siguientes. Seguridad: es un concepto intrínseco de la necesidad humana, un estado de ánimo, ya que todas las personas necesitan sentirse seguras en todos los ámbitos de su vida; Protección: es un término utilizado para caracterizar acciones planificadas con antelación, para evitar o reducir daños causados ​​por ataques contra personas, procesos, tecnologías y organizaciones. En el mundo corporativo, la seguridad representa un nivel de confort alcanzado mediante la implementación de acciones de protección, que normalmente pueden cuantificarse como bajas, medias o altas, o certificarse como adecuadas, de acuerdo con reglas y estándares internacionalmente aceptados, como los propuestos en la norma ABNT NBR ISO/IEC 27002:2005 (Código de prácticas para la gestión de la seguridad de la información), (ABNT, 2013c) y certificados por la norma ABNT ISO/IEC 27001:2005 (Sistemas de gestión de seguridad de la información – Requisitos), (ABNT, 2013b). Una vez aceptado un cierto nivel de seguridad, llegamos al concepto de confianza, que presupone un estado de conciencia humana que se considera seguro.
​
6. Riesgos corporativos Dentro del universo empresarial, los riesgos están determinados por la combinación de amenazas, vulnerabilidades y pérdidas de valor de los activos, valores medidos en función del impacto de los activos en el negocio de la organización. Las pérdidas pueden ser financieras, materiales, humanas, intelectuales y morales y pueden valorarse numéricamente.

6.1 Seguridad de la información Sector responsable de cuidar los activos de información de la empresa, basado en los pilares de integridad, confidencialidad y disponibilidad.
​
6.2 Seguridad física, de activos, monitoreo y auditoría Entre las acciones de seguridad corporativa se destacan todos los aspectos de los procesos de monitoreo físico, de activos, de personas (CCTV, control de acceso, autenticación biométrica, Single Sign-On SSO S3O, automatización de incendios y edificios), así como los procesos de gestión de riesgos y auditoría interna.

6.3 ECM, SPED, IRPJ-e Otras actividades dentro de la empresa que procesan datos en general, de responsabilidad específica, ECM (Enterprise Content Management / GED, o sistema de Gestión de Información Corporativa que, por regla general, es información digitalizada o almacenada y procesada en las redes y almacenamientos de la organización / BIG DATA; sistemas de compromiso fiscal y tributario, como SPED (Public Digital Bookkeeping System) y procesos de declaración electrónica, como IRPJ-e, que utilizan certificados digitales.

7. Fraude laboral El fraude laboral se puede caracterizar como aquel que se presenta de manera estructurada en diversas áreas de la empresa y pocas veces es publicitado, debido a los enormes escándalos que ocasiona para la institución.
​
7.1 Mejores prácticas para combatir el fraude laboral - Certificaciones antifraude otorgadas por empresas que realizan auditorías internas y externas; - Elaboración de un Código de Conducta Moral y Ética que pueda ser operativo y que, de hecho, se implemente; - Programa de formación interna; - Programa de aclaración sobre cambios al Código de Ética de la empresa; - Prácticas estratégicas y seguras de RRHH.

Como somos una empresa pequeña, las cuestiones éticas y morales que deben regir la conducta de todos los empleados se discuten en reuniones mensuales que abordan este tema y su impacto en la imagen de la empresa en el mercado. A medida que aumente el número de empleados, inicialmente a diez, estos principios pasarán a formar parte de un manual escrito que estará disponible y será discutido entre todos los empleados.
​
8. Fraude cibernético Con la llegada de las computadoras y las redes, los fraudes cometidos contra las instituciones se han vuelto más avanzados y apoyados en dispositivos tecnológicos, como las redes informáticas que permiten a los empleados acceder a datos corporativos de forma legítima, así como la manipulación de datos, mal procesados ​​o perdidos, lo que puede llevar a las empresas a sufrir grandes pérdidas y daños irreversibles. Para combatir el fraude electrónico, la auditoría ha evolucionado, abarcando también la verificación de prácticas automatizadas por programas y procesos informáticos y de red, denominada Auditoría de Sistemas. La evolución de los dispositivos electrónicos, celulares, computadoras portátiles, entre otros, ha permitido el crecimiento del fraude electrónico hasta un nivel denominado Delito Electrónico.

Los delitos electrónicos son “delitos cometidos contra o a través de computadoras u otros dispositivos informáticos” (JORGE; WENDT, 2012, p. 18). Por ejemplo, el “chupa-cabra” y/o manipulación de dispositivos de skimming, para burlar cajeros automáticos bancarios y robar dinero, manipular surtidores de gasolina, usar celulares y GPS para detonar bombas reales, entre otros. Con la popularización de Internet han surgido nuevos tipos de pérdidas por malversación financiera, creciendo exponencialmente los fraudes electrónicos y cibernéticos, que ocurren interna o externamente al perímetro de la organización. Estas nuevas prácticas de fraude cometidas con el apoyo de sistemas y redes, principalmente Internet, vienen caracterizando los nuevos escenarios de los delitos electrónicos. El ciberdelito, caracterizado por el uso de recursos tecnológicos, puede materializarse y causar consecuencias muy reales. Ejemplos de este tipo de delitos incluyen: fraudes a través de tiendas falsas de comercio electrónico, delitos contra el honor cometidos a través de computadoras de empresas, delitos de violación de derechos de autor de programas informáticos, delitos de pornografía infantil, entre otros. Normalmente, el autor de un delito electrónico cometido contra la empresa no necesita estar en el lugar para llevar a cabo la conducta delictiva; Con el uso de un dispositivo informático conectado a Internet, puede llevar a cabo, desde cualquier lugar, las acciones delictivas pretendidas.

En general, la prensa y los medios de información han contribuido en gran medida a la difusión de nuevos tipos de delitos que emplean la tecnología, lo que ha ido fomentando la concienciación en la sociedad.
​
​
8.1 Delitos Cibernéticos Organizados Recientemente se aprobó la Ley nº 12.850/2013 (BRASIL, 2013c), que define la organización criminal. Según el artículo 1 de esta norma legal:

“[...] Se considera organización criminal una asociación de cuatro o más personas, organizada estructuralmente y caracterizada por la división de tareas, aunque sea informal, con el objetivo de obtener, directa o indirectamente, una ventaja de cualquier naturaleza, mediante la práctica de delitos cuyas penas máximas superen los cuatro años, o que sean de carácter transnacional. (BRASIL, 2013c).”
​
Esta ley también se aplica: “[...] I - a los delitos previstos en un tratado o convención internacional cuando, habiendo comenzado su ejecución en el país, el resultado se haya producido o debiera haberse producido en el extranjero, o viceversa. [y] II - a las organizaciones terroristas, entendidas como aquellas dedicadas a la práctica de actos de terrorismo legalmente definidos. (Modificado por la Ley n.º 13.260, de 2016) (BRASIL, 2013c, Art. 1, § 2, incisos I y II)”.

Desde esta perspectiva, cuando nos encontramos ante una Organización Cibercriminal, es posible hacer referencia a acciones delictivas de múltiples tipos, que son llevadas a cabo directa o indirectamente por grupos de personas que colaboran entre sí para producirlas a través de Internet. La comunidad Crackers (comúnmente llamada Hackers) trabaja en colaboración en todo el mundo, produciendo programas avanzados para facilitar actos delictivos. Hoy en día, los productos de software (programas de ordenador) desarrollados para explotar vulnerabilidades genéricas o específicas constituyen un verdadero Mercado Comercial en el submundo de la WEB, llamado Prèt-à-Porter Hacking. Cualquier persona interesada en atacar organizaciones o personas puede adquirir, entre muchas ofertas, un Exploit Zero-Day y obtener resultados garantizados. También cabe destacar el uso de la llamada Deep WEB como instrumento de difusión de los más variados contenidos delictivos, debido principalmente a que esta plataforma no está indexada por los buscadores, incluso porque sus usuarios utilizan una navegación anónima, generalmente a través del programa TOR, lo que dificulta a la policía la investigación de este tipo de delitos.

8.2 Ejemplos de algunas acciones de Cibercrimen Organizado: - Hacktivismo: caracterizado por el polémico movimiento organizado por Crackers para producir códigos de programas informáticos avanzados. Estas organizaciones a menudo tienen un alcance global y están formadas por todo tipo de personas involucradas en la producción técnica de exploits WEB, troyanos, puertas traseras y otros virus. La ideología puede ser política, social o religiosa. Como ejemplo está el grupo Anonymous, que ganó popularidad mundial por sus ataques a sitios web de grandes empresas y gobiernos, incluso en Brasil.

- Scareware: ciberdelincuentes que engañan a las personas ofreciéndoles descargas de software gratuitas (por ejemplo, antivirus y utilidades falsos); utilizar tácticas coercitivas y otras prácticas de marketing poco éticas. Es posible que el software descargado sea ineficaz o que inicialmente parezca detener ciertos tipos de virus antes de que infecten su computadora con sus propios virus. Las personas podrían entonces tener que pagar a delincuentes para eliminar los virus y sus efectos. En ocasiones, este software no produce ningún efecto aparente, sino que convierte las máquinas conectadas a Internet en auténticos “Zombies” (máquinas infectadas por bots – códigos maliciosos que controlan remotamente las máquinas infectadas) para producir ataques DoS (Denegación de Servicio) y DDoS (DoS Distribuido), entre otros delitos.

- WEB Lavado de Dinero: grupos criminales promueven diversas acciones para transformar el dinero proveniente del narcotráfico y otras formas ilícitas en dinero de fácil enriquecimiento, dinero ilegal en dinero contabilizado y legalizado ante las autoridades fiscales.
 
Hay muchos tipos diferentes de estafas contables falsificadas, desde tiendas de comercio electrónico que venden productos a precios inferiores a los del mercado, sitios de pornografía, sitios de venta de drogas e incluso sitios de juegos WEB que ganan dinero y distribuyen premios. Hoy en día, esta práctica es aún más fácil, ya que la creación de la moneda virtual (Bitcoin) permite realizar transacciones financieras sin identificar a las partes. Los sitios web que venden productos y servicios ilegales en la Deep WEB, como el recientemente cerrado Silk Road (venta de drogas), utilizan esta nueva forma de pago.

8.3 Amenazas Convencionales En el género del fraude cibernético, existe la utilización de algunos términos genéricos, dado que estos ya se han vuelto comunes en la sociedad brasileña debido al gran número de ocurrencias y a los impactos de todos los niveles divulgados por los Medios de Información. Entre ellos, como ejemplos de desenvolvimiento y evolución, tenemos los siguientes: - Ataques de Virus: muchas organizaciones, en los últimos 20 años, han experimentado pérdidas de diversa índole con la entrada de Virus, Gusanos, Troyanos, Rootkits, Spyware, Adware, Malware, entre muchas otras amenazas que explotan las vulnerabilidades de sistemas desprotegidos o desactualizados y la privacidad en general, así como explotan la ingenuidad o descuido de los usuarios. Todos estos términos, utilizados para designar tipos de ataques en el mundo digital, forman parte de la vida corporativa cotidiana y son ampliamente combatidos por diversas herramientas de software (programas informáticos).

Estos ataques representan amenazas reales y se convierten en la base para ataques más avanzados; Por lo tanto, deben ser valorados y tratados adecuadamente. - Ataques de phishing: el análisis de phishing es una de las principales preocupaciones corporativas con respecto a los delitos cometidos a través de Internet. Se basa en el envío de un mensaje (vía correo electrónico, Twitter, Facebook, SMS, etc.), con el objetivo de explotar la ingenuidad de los internautas y obtener claves de acceso, datos financieros, información personal y familiar, buscando suplantación de identidad, preferencias personales, entre otra información.

Las situaciones de Phishing más impactantes implican el envío de correos electrónicos que, en lugar de contener enlaces que dirijan a un formulario en el que se solicita la información deseada, redirigen a páginas web fraudulentas que contienen programas maliciosos (virus, troyanos), que automáticamente se instalan y se replican en el ordenador de la víctima, contaminando archivos que pueden pasar a terceros como un virus.

Estos programas a menudo pertenecen a la clase de virus Key/Screen Loggers y pueden registrar la secuencia de teclas pulsadas, las pantallas visitadas o las actividades realizadas, incluido el movimiento del cursor y/o del ratón. Estos programas, tras recoger la información, la envían a través de Internet a un sitio web controlado por el autor del fraude, quien hace uso comercial de ella. En la legislación brasileña, el phishing, cuando es utilizado para apropiarse de los datos bancarios de la víctima para su posterior retiro, constituye el delito de robo calificado por fraude (BRASIL, 1940, Art. 155, § 4), con pena de 2 a 8 años de prisión y multa. En términos simples, el robo de identidad generalmente se comete a través de técnicas de Phishing Scan, que se aprovechan de la ingenuidad de los usuarios de computadoras, mediante técnicas avanzadas de ingeniería social, y buscan obtener diversos datos personales que puedan individualizar perfiles que permitan a los delincuentes utilizar el nombre y datos de las víctimas para caracterizarse efectivamente como ellas y cometer actos ilícitos a través de Internet.
​
- Ataques por Hoax/Rumor: Hoax, en una traducción casi literal, es un engaño. En la práctica, consiste en un mensaje de correo electrónico con contenido alarmante y engañoso que ha evolucionado en casos y prácticas mucho más graves de WEB Bullying. De alguna manera, utilizan la buena fe de la gente para difundir rumores y convertirse así en "una verdad atractiva". Un buen ejemplo de Hoax son los mensajes que suelen circular a través de correos electrónicos, en los que hablan de un nuevo virus, un nuevo ataque o precauciones que se deben tomar, y te piden que retransmitas o transmitas el mensaje. También está el ejemplo de las cadenas: “Envía este mensaje a 15 personas y ganarás dinero (u otro bien)”. De hecho, lo que obtendrás es un susto.
​
- Spam: inicialmente se refería al envío no autorizado de correos electrónicos con contenido comercial. Hoy en día, el spam puede incluso tener contenido electoral, difundiéndose en otras formas de comunicación electrónica, como redes sociales, SMS y aplicaciones de mensajería instantánea. La legislación brasileña no prohíbe la práctica del spam comercial. De hecho, el Tribunal Superior de Justicia (BRASIL, 2009) entendió que el Spam es una mera molestia y no viola la privacidad del destinatario. Sin embargo, en propaganda electoral, el candidato sólo podrá enviar mensajes gratuitos a los electores previamente registrados (BRASIL, 1997, Art. 57-b, III).

En la práctica, es posible observar que los ciberdelitos producidos a través de amenazas convencionales siempre siguen la explotación de las vulnerabilidades del eslabón más débil, el usuario, quien en las organizaciones es un elemento clave para el logro de los objetivos estratégicos.
​
8.4 Amenazas Persistentes Avanzadas (APA) En los últimos años se ha producido un gran avance y una mayor sofisticación en las técnicas de ataque, las cuales, cada vez más, han comenzado a trabajar sus autores en acciones delictivas e incluso en la ciberguerra. Los principales objetivos de los ataques a la WEB fueron los sitios web de organizaciones y agencias gubernamentales de varios países, según lo informaron ampliamente los medios de comunicación a nivel mundial, siendo los objetivos de los ataques: hospitales, bancos y empresas de todos los tamaños y en diversos sectores de actividad. Los ataques siempre tienen como objetivo robar datos e información confidencial, que pueden venderse o usarse para diversas prácticas de chantaje, extorsión y obtención de beneficios económicos.

En el proceso evolutivo de los ataques, los criminales han creado herramientas mejoradas que invaden redes corporativas, ocultan sus huellas, producen autodefensas contra las protecciones de Firewall y productos de seguridad, se esconden y permanecen en hibernación hasta que logran obtener lo que quieren. Hoy en día, los ataques se caracterizan por ser amenazas persistentes en las organizaciones objetivo, es decir, si su empresa es un objetivo, es posible que ya haya sido invadida por APA (Amenaza Persistente Avanzada). Los principales objetivos son empresarios y empleados del directorio y de la gerencia, quienes legítimamente tienen contraseñas con derecho a realizar pagos, mover fortunas y acceder a datos sobre planes estratégicos y de I+D.

Algunos ejemplos de lo que sucede en el mundo a través de APA:
​
- Pérdida de Datos de Clientes: robo de datos de registro de clientes, principalmente de empresas financieras, empresas de servicios médicos, entre otras. Se realizan ataques especializados sobre Redes Corporativas, la mayoría de los cuales no dejan rastros ni interfieren en nada, pasando totalmente desapercibidos para los técnicos de la empresa accidentada. La información obtenida es analizada y vendida a facciones del crimen organizado, quienes la utilizan para extorsión, chantaje y comercio.
​
- Robo de Propiedad Intelectual: se caracteriza por invasiones encubiertas, de improbable identificación, de igual forma que ocurre con la Pérdida de Datos de Clientes, mediante la cual delincuentes, a veces patrocinados por organizaciones o naciones competidoras, pretenden localizar y robar ideas, proyectos, especificaciones de productos, secretos comerciales, información de procesos o metodologías, que pueden ser de gran valor, pudiendo producir una ventaja competitiva o incluso una ventaja operativa o tecnológica. Esta modalidad puede considerarse la evolución del Espionaje Industrial clásico.

Robo en Empresas: el robo financiero a las empresas se ha convertido en una epidemia mundial, y ha estado ocurriendo a través de técnicas de Delitos Cibernéticos Organizados APA. La utilización de invasiones encubiertas a las redes corporativas ha permitido, casi siempre con la colaboración de uno o más insiders, el pago de valores y transferencias financieras fraudulentas, perjudicando de forma inmediata el flujo de caja de las empresas. En Brasil, los casos de manipulación de comprobantes bancarios con indicación de nuevos datos del pagador están aumentando en los informes policiales.
​
Fraude fiscal: utilizando los mismos recursos y trucos que las acciones de Robo a Empresas, los delincuentes utilizan el acceso corporativo para desviar pagos de impuestos legítimos a cuentas privadas, perjudicando a la empresa y al gobierno. La empresa, en su mayor parte, sólo se entera cuando un directivo no implicado en el esquema de fraude recibe una advertencia, una acusación o una visita de los inspectores.

Robo a Empresas por Extorsión: Esta estafa ha ido en aumento, ya que, luego de consolidada la APA, el atacante mantiene control total sobre las bases de datos y la infraestructura tecnológica de la organización objetivo. A partir de este punto, el proceso de extorsión se da a través de la solicitud de dinero en efectivo para liberar el acceso, de lo contrario, la organización asumirá las consecuencias, como: redirigir sus enlaces comerciales a sitios de pornografía, encriptación de datos, entre otras amenazas que explotan el tiempo de recuperación y la integridad de la imagen corporativa.

- Advertencia: los ataques de tipo APA suelen durar meses, o incluso años, antes de volverse dañinos.
​
​
8.5 Entendiendo el Fraude Cibernético El Fraude Cibernético, en el contexto empresarial y corporativo, es cualquier intento ilícito de acceder u obtener datos comerciales, corporativos y de agencias gubernamentales, cometido a través de Internet. También pueden denominarse Delitos Cibernéticos. El fraude cibernético se ha convertido en una verdadera epidemia que provoca consecuencias aterradoras dentro de los entornos empresariales, principalmente por el profundo desconocimiento tecnológico de los directivos, y los riesgos reales que suponen para los sistemas y bases de datos sensibles. Por lo tanto, si el órgano de administración, el consejo de administración y la alta dirección no se cuidan de combatirlos, pueden poner categóricamente a la organización en una situación de insolvencia. Hoy en día, de alguna manera, todas las organizaciones están expuestas al fraude, ya sea cibernético o de otro tipo. Los mejores y más sofisticados entornos organizacionales, incluidos los más controlados, pueden tener fallas desconocidas, explotadas de manera integrada por sus colaboradores legítimos y en asociación con el crimen organizado internacional.
​
La comunidad científica y los investigadores saben claramente que gran parte del fraude cibernético se lleva a cabo mediante la explotación del “eslabón más débil”, es decir, la ingenuidad del usuario. Por lo tanto, gran parte del éxito efectivo del ciberdelito está asociado a la connivencia, directa o indirecta (directa a través de la participación activa e indirecta a través del desprecio de las normas), de los propios empleados o usuarios de Internet. Por ejemplo, la evolución de las tecnologías ha simplificado el uso de los recursos informáticos y las redes para todos los ciudadanos del mundo civilizado. Esta revolución tecnológica, por otra parte, también promueve nuevas oportunidades para usos, costumbres y tipos de delitos sociales. Estamos en el siglo XXI, el tercer milenio, y la movilidad de la comunicación personal y corporativa crece de forma desordenada, a través de smartphones, tablets, ultrabooks y otros dispositivos móviles utilizados en todas las clases sociales. Este hecho puede representar uno de los mayores riesgos hoy en día en materia de fraude cibernético.

8.6 Consumerización, BYOT (BYOD, BYOA), BYOW La consumerización de las tecnologías debe entenderse como un movimiento de las grandes industrias globales en búsqueda de reducción de costos, pues la estrategia anterior establecía dos líneas de producción: Productos de Gama Baja – para consumidores generales del mercado, y Productos de Gama Alta – para usuarios empresariales o empresas, normalmente con características más avanzadas. La actual estrategia de reducción de costos es estandarizar productos, como teléfonos celulares, teléfonos inteligentes, tabletas, portátiles y ultrabooks, para que sean todos productos High End (alta tecnología), y así servir a los consumidores comunes y a las empresas. Como resultado de la consumerización, los equipos con funciones más avanzadas se volvieron más baratos y estuvieron disponibles para su compra por una gran porción de los consumidores. Esta cuestión llevó a los consumidores domésticos, cuya población económicamente activa también trabaja en empresas, a querer utilizar sus equipos personales en el ámbito empresarial, dado que, en ocasiones, sus equipos presentaban mejores características de desempeño que los equipos ofrecidos por las organizaciones.
​​