sábado, 30 de julio de 2016

FILTRACIÓN Y FUGAS DE INFORMACIÓN EN LAS EMPRESAS: ¿CÓMO SE PUEDE ACABAR CON ELLAS?


Estándar
17 julio, 2016
En un entorno global como el que vivimos, donde la tecnología es un elemento clave para la difusión de la información, no parece sencillo impedir que se produzcan filtraciones y fugas de información en las empresas. Información que representa su principal activo. Su pérdida puede suponer un fuerte revés para su supervivencia si no su desaparición.
“Es un riesgo que existe y hay que intentar que esté más cerca de cero”, afirma Javier Berrocal, socio director de Santiago Mediano Abogados, firma legal que ha diseñado un protocolo integral para responder ante esta situación.
Recibe el Newsletter de Confilegal en tu email
Acepto los términos de Política de Privacidad. Enviar
“Lo ideal es tener un sistema preventivo ante estas situaciones. Si no se aplica ningún control, las posibilidades de tener este tipo de problemas se incrementan”, añade el máximo responsable de un despacho que ha elaborado un protocolo de actuación que engloba medidas jurídicas, organizativas y tecnológicas.
“El valor de la información es cada vez más importante en un esquema donde los intangibles son cada vez más importantes. En muchas ocasiones el valor comercial de tu fondo de comercio se materializa en información”, comenta Berrocal.
Para este jurista, lo mejor es tener desarrollado un protocolo preventivo que puede mitigar muchas veces la mayor parte de esos riegos.
A su juicio, la situación puede ser preocupante en diferentes sentidos “una fuga de información genera cierta descapitalización en las empresas, es el caso del trabajador que realiza esta práctica y se marcha a un competidor con esa información. También es frecuente ver que surgen negocios paralelos muy parecidos al tuyo con base de clientes ‘robados’”.
De estas fugas de información, “la mayor parte de esta problemática surge desde dentro. Hay profesionales descontentos o que se marchan de la empresa que quieren dejar su huella. Por el contrario, los ataques externos para lograr esa información no son excesivos”, explica el jurista.
Al mismo tiempo, el daño a la compañía es evidente y puedes tener responsabilidad frente a terceros “puedes tener responsabilidad en materia de protección de datos”, apunta.
Si hablamos de una revelación de secretos puede tener incluso consecuencia penales “además de reputacionales para la propia empresa”.
Hitos como “Wikileaks” o, más recientes, los ya famosos “Papeles de Panamá”, revelan que en esa cadena de custodia de la información, algo falló y quedo al descubierto mucha información privada de empresas y particulares.
“Este tipo de problemas pueden afectar a cualquier compañía independientemente del tamaño que tengan. Es cuestión de tener un protocolo integral que proteja esa información y que en caso de fuga, ofrezca una respuesta lo más rápida y contundente posible”, cuenta el abogado.
Desde esta firma se ha analizado la problemática de las compañías en esta materia y diseñado un protocolo integral para reducir los efectos de las citadas fugas de información.
“Afrontamos el problema desde una manera global. Así hay una parte jurídica, otra de consultoría donde se definen procesos y protocolos de actuación en la organización empresarial y otra tecnológica para monitorizar ese riesgo y su respuesta”.
Sobre las medidas legales, abarcarían la preparación de contratos y documentos que protejan la confidencialidad.
Sin ellas tendrás un problema a la hora de utilizar esas evidencias o de monitorizar esa información. “A medida que el directivo tiene más importancia en la empresa esos contratos y sus cláusulas confidenciales son más habituales”, agrega.
POLÍTICA DE ‘TRAE TU PROPIO APARATO’
También se regula la política de recursos propios o de medios ajenos en la empresa la conocida “Bring on your device [trae tu propio aparato] que define el uso de los recursos del propio trabajador en la empresa. Una situación que cada vez es más frecuente en un entorno empresarial cada vez más plural y disperso profesionalmente.
Otra medida que se incluye en esos contratos son los pactos de no competencia durante cierto periodo de años, siempre alineado con la retribución del profesional y que suele tener una cierta proporcionalidad. “Este tipo de medidas se aplican a directivos con acceso a nivel de información bastante relevante”, indica.
Desde su punto de vista, la normativa existente, tanto a nivel penal como de responsabilidad civil es la adecuada para afrontar este tipo de situaciones.
Las fugas de información se generan casi siempre desde dentro de la empresa. Los responsables son empleados descontentos o recién despedidos. Los ataques desde el exterior son mínimos
“No creo que sea necesario incrementar o cambiar algo de lo que ya se conoce. Es sobre todo una labor de concienzación de las empresas y afrontarlo como un riesgo real, siempre dependiendo de la naturaleza del negocio de la empresa”.
Hay también medidas organizativas en la empresa donde se clasifica la información, en función de su importancia y debe detallarse también quién puede tener acceso a cada tipo de información. A partir de ahí habrá que ver que medidas de control se les aplica, medidas que tendrán que ser informadas a los interesados.
“Son controles razonables que la empresa utiliza para defender sus intereses y no descapitalizarse”, comenta el socio director de Santiago Mediano Abogados.
Las fugas de información se generan casi siempre desde dentro de la empresa. Los responsables son empleados descontentos o recién despedidos. Los ataques desde el exterior son mínimos
CALIFICAR Y MONITORIZAR LA INFORMACIÓN DE LA EMPRESA
“En esta parte organizativa, tampoco la empresa la cuida mucho. Se establecen, por lo que hemos visto, medidas poco coordinadas. Es fundamental que la empresa tengo claro qué es la información confidencial y los secretos de empresa que existen en su seno. Hay que calificar la información y dejar claro quién tiene acceso a esa información y quién no”
Al mismo tiempo es necesario contar con un mecanismo de control, software específico, no será del todo eficiente el modelo global que las empresas deben poner en marcha. Las medidas técnicas también son importantes.
“Las empresas deben contar con mecanismos de control que detecten esos filtros de información”, precisa. Contar con un software como el que dispone esta firma.
A nivel tecnológico habrá empresas que implanten su sistema de control tecnológico y “otras que prefieran que le des la solución tecnológica e integrada. En este caso, gracias a un partner [socio] nuestros podemos ofrecer esa tecnología a muchas pymes llamada Data Leak Reputation. Siempre la tecnología se puede adaptar a las características de cada cliente”.
Implementar esa tecnología de la información genera ciertas repercusiones legales.
“En muchas ocasiones están relacionadas con los derechos fundamentales de los trabajadores e incluso con el secreto de las comunicaciones, e incluso con la posibilidad de utilizar esa monitorización como una evidencia que se pueda utilizar en un proceso laboral o penal” señala Berrocal.
La empresa tiene un buen marco jurídico pero necesita de evidencias si quiere demostrar esa fuga de información: “A este respecto es fundamental contar con esa tecnología que genere dicha evidencias, que no sean impugnables en ese procedimiento que vaya surgir. Si no se tienen, la empresa tiene un problema”
La propia tecnología que ha implementado Santiago Mediano Abogados ofrece avisos a la empresa que algo no va bien.
“Si se introduce un USB [memoria USB] y se introduce en el servidor para descargar esa información, lanza un alerta de que se está produciendo esa descarga de información. Eso permite a las empresas reaccionar y mitigar ese daño o hacer un primer control del mismo”, resalta.
QUÉ HACER CUANDO APARECE EL PROBLEMA
La teoría es la descrita por esta firma de abogados. Pero la experiencia práctica señala que las fugas de información existen.
“Las empresas son reactivas y muchas de ellas improvisan sin tener unas pautas claves de qué hay que hacer en este tipo de situaciones”, avanza Berrocal.
Lo ideal es que las empresas tengan un mecanismo de control global implementado, con respuestas claras si surge esa fuga de información.
En opinión de nuestro interlocutor es fundamental que las empresas cuenten con un plan de actuación en caso de fuga de información.
“En muchas ocasiones sobreviene el caos en la empresa y no se sabe qué hacer. No se sabe qué medidas legales debo tomar con el infractor. Tampoco se sabe si hay que denunciar ante la AEPD esos datos que son de terceros”, añade.
Son cuestiones que hace recomendable tener definido la forma que actuaremos en esta crisis.
Junto con la actuación jurídica, está también la reputacional.
Sale en los medios informativos dicha filtración y hay que saber contraatacar. “Hay que tener claro cual es el plan de crisis y quién atenderá a los periodistas, qué mensaje estará establecido para que el impacto mediático de esa fuga informativa sea la mínima”, sentencia.
La práctica deja claro que no hay muchas veces un Plan B en caso de este tipo de situaciones que pueden generar cierto desconcierto en empresas e instituciones.
“Este mecanismo puede ser muy útil de cara a que las empresas diseñen su política de cumplimiento normativo, ahora que desde hace un año existe la responsabilidad penal de las personas jurídicas, tras la reforma penal del 2015. Su integración en un programa de ‘compliance’ penal es evidente”, concluye Berrocal.
filtraciónfugas de informaciónJavier BerrocalSantiago Mediano
LUIS JAVIER SANCHEZ
Luis Javier Sanchez
Periodista jurídico, comunicador y consultor de comunicación.
@luisjasanchez

No hay comentarios.:

Publicar un comentario