Conocemos muy bien aquella frase de “la información es poder”, atribuida a Francis Bacon, según algunos, y a Thomas Hobbes, conforme señalan otros. Históricamente, determinadas empresas la han hecho suya en su accionar, así lo vemos con la famosa expresión de la fórmula secreta de la Coca-Cola. En los últimos años, el citado adagio se ha escuchado de manera estruendosa, principalmente, ante escándalos donde podemos palpar su veracidad, tal el manejo inadecuado de los datos de millones de usuarios facilitados por Facebook a la firma Cambridge Analytica y su posible influencia en la campaña presidencial de Donald Trump de 2016 y en la campaña Leave EU sobre el Brexit, contenido abordado en el documental Nada es Privado. Nuevamente es un tópico en tendencia, ya que Cartier denunció a Tiffany en Estados Unidos, alegando que esta última ha intentado obtener informaciones de sus actividades a través de una exempleada que se envió al correo electrónico personal las mismas, siendo esta práctica, a su juicio, competencia desleal.
Somos de criterio de que los datos se han convertido en los activos más valiosos dentro del ámbito empresarial, es decir, aquellos bienes intangibles útiles para la organización por su valor y no por su precio, como son la propiedad intelectual corporativa, la cartera de clientes, las estrategias de negocios, las tarifas y ofertas, los conocimientos, el reconocimiento, entre otros, esenciales en la construcción de cada empresa, de ahí que resulta importante garantizar su seguridad. Sin embargo, esta tarea de protección de la información es cada día más ardua, pues no solo nos enfrentamos a los cibercriminales y los ataques que se van sofisticando en el transcurso del tiempo en aras de obtener algún provecho, también debemos batallar a nivel interno con los mismos empleados en razón de que estos, en muchas ocasiones, permiten que se escapen informaciones, ya sea por inobservancias, negligencias, errores o represalias, produciéndose lo que conocemos como fuga de información, cuyo significado es la pérdida del inherente carácter confidencial que posee la misma, exponiéndola a que tenga acceso a ella cualquier persona sin autorización. Por tanto, es nuestro interés analizar cómo prevenir dicha fuga.
En primer lugar, soy abanderada de que para solucionar el problema debemos detectar claramente el mismo, definirlo y entenderlo. Siendo así, Cisco presentó los resultados de una investigación sobre la cual encargó a la consultora InsightExpress, donde se concluyó que los empleados de todo el mundo exhiben conductas arriesgadas que ponen en peligro los datos personales y empresariales, entre las cuales están: el uso de aplicaciones no autorizadas, el uso indebido de computadoras de la empresa, acceso no autorizado a zonas de la red o instalaciones físicas de la empresa, el uso de equipos personales para teletrabajo, el uso indebido de contraseñas, etcétera, prácticas que facilitan el acceso a los intrusos y que de materializarse un incidente de fuga de información, generan resquemor, incredulidad, pérdida de oportunidades en el mercado, decae el prestigio de la empresa, se pueden afectar terceros, consecuentemente, violar la normativa en materia de Protección de Datos[1] y ser sancionados.
Una vez comprendido el origen y las posibles causas del escape vinculadas a los empleados, compartiremos una serie de tips para mitigar en tu empresa los riesgos que provocan la fuga en el entorno laboral, estos son:
1-Primero, es básico que la empresa, en un ejercicio de introspección, se conozca y conozca los datos que gestiona, a fin de clasificar la información según el grado de criticidad o confidencialidad que posea, de esta forma, será factible determinar qué se puede hacer con ella y quiénes deben tener acceso, siguiendo el principio esencial en materia de seguridad de información, mínimo privilegio o de menor autoridad.
2- Basándonos en el ejercicio anterior, es fundamental que se diseñen y establezcan políticas, normativas y procedimientos de seguridad, donde se determine el control de acceso, la protección que debe tener la información según el tipo de que se trate, los límites en el ejercicio de sus funciones, las sanciones ante incumplimiento, entre otros puntos relevantes. Una de las compañías especializadas en seguridad informática más conocidas, McAfee, tras datos recopilados en informe, ha aseverado que, “las iniciativas de prevención de pérdida de datos que tienen éxito empiezan en la fase de planificación”. Por citar un caso concreto, si la organización permite que sus miembros hagan uso de los servicios en la nube, sería bueno, desde nuestra óptica, contar dentro de la política corporativa con detalles tales como: la información que puede subirse a la misma y la que no es susceptible de ser colgada allí.
3- Siguiendo con lo planteado, es propicio que con|temos con el consentimiento por escrito de los empleados sobre estas normas citadas en el punto anterior. En ese orden, de igual manera, se propone que se efectúen acuerdos de confidencialidad de la información y pactos de no competencia por un plazo razonable según la información que manejan, incorporando la compensación que corresponda.
4- En mi opinión, la medida más importante se engloba en una palabra: formación. La verdad es que no ganamos nada con llevar a cabo las recomendaciones anteriores si no nos preocupamos por hacer que nuestros empleados las comprendan y adquieran conciencia de los peligros existentes al utilizar los recursos que la organización pone a su disposición. En efecto, es un deber de los empresarios garantizar que se formen los empleados, en la justa medida que sea necesario atendiendo a sus funciones; esto quiere decir que aprendan cómo ejercer de manera responsable sus actividades laborales diarias manejando información de la empresa, lo que implica conocimientos fundamentales de ciberseguridad, con el objetivo de que no continúen con las conductas arriesgadas expresadas al inicio de este artículo. La idea es que la protección de datos sea su cultura.
5. Lógicamente, la tecnología nos da una mano amiga, podríamos catalogarla como pieza clave para combatir la fuga de información. Suele utilizarse el cifrado de información, la actualización constante de los sistemas y aplicaciones, cambios periódicos obligatorios de contraseñas, cortafuegos, antivirus, copias de seguridad periódicas en soportes fiables, usar servicios de VPN seguros, entre muchas otras opciones a requerimiento.
6. Como estas no son infalibles, hay que hacer simulaciones de ataques a modo de prueba.
Como vemos, es mejor prevenir que lamentar, así como nos causa desasosiego cuando hay un escape de gas en casa, por los efectos nocivos que puede producir, nos resulta escalofriante que las informaciones empresariales, incluyendo los datos de quienes confían en estas, terminen en manos incorrectas, pues puede ser muy perjudicial para todos.
[1] En nuestro país el derecho a la protección de datos personales se encuentra presente en la Constitución dominicana, específicamente, con los artículos 44, inciso 2 y 70. Dicho término ha sido reconocido en diversas leyes de nuestro país, sin embargo, principalmente, su base regulatoria está en la Ley núm.172-13 que tiene por objeto la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados; aunque, cabe subrayar que, esta última se orienta al tratamiento de datos personales por las entidades crediticias, es decir, no es una norma integral.