No pretendemos ocasionar polémica con esta definición, pero quienes nos desenvolvemos en la industria informática reconocemos a un “insider” como aquella persona que, siendo parte de nuestras empresas, provoca fugas de datos sensibles o confidenciales, quien no necesita ser un especialista en tecnología sino simplemente tener privilegios de acceso a dicha información para hacer un indebido uso de la misma.
Al tratarse de un “empleado”, debemos aceptar que nosotros somos los directos responsables de las buenas o malas contrataciones, aunque podemos alegar en nuestra defensa que ni el más sesudo de los psicoanalistas podría detectar malas intenciones, hábitos de saboteo o cualquier práctica desleal que pudiera presentarse a futuro. Dicen por ahí que “tanto peca el que mata a la vaca como el que le agarra la pata”, lo cual significa que de alguna manera somos cómplices y partícipes activos de un círculo vicioso que resulta de la ausencia de políticas adecuadas de seguridad o del hecho de que -consciente o inconscientemente- son las empresas las que deciden a quiénes les otorgan el acceso a sus valores e información vital.
En la entrega anterior mencionamos una de las alternativas que se tiene para sustentar el compromiso entre los poseedores legítimos de los datos con respecto a los derechos y obligaciones de las empresas o instituciones que acceden a ellos, pero en esta ocasión queremos particularizar el entorno y centrarnos en lo que las organizaciones pueden hacer para protegerse de posibles casos de deslealtad por parte de sus empleados o de los responsables de gestionar la información corporativa.
Debido a la magnitud de sus operaciones y a la complejidad de sus sistemas informáticos, es muy probable que las grandes empresas cuenten con políticas y soluciones destinadas a salvaguardar sus bases de datos, ¿pero qué pueden hacer esos “Pepe y Toño” si, aun con el apoyo de la tecnología y de las leyes, pareciera que están descobijados cuando se trata de denunciar el robo o un mal uso de su información sensible?
La realidad en México es que, cuando las personas o empresas son víctimas de algún robo de datos, de la divulgación de secretos, del espionaje o del hurto de sus activos no saben a quién acudir o dónde presentar una denuncia, aparte de que generalmente prefieren mantener su identidad en el anonimato o no ventilar sus casos a la luz pública, pero para poder combatir la llamada “cifra negra de los delitos informáticos”, aquélla que desconocemos y escapa de las estadísticas, siempre será necesario reportar cualquier evento de este tipo y/o compartir nuestras experiencias.
El gran problema al respecto, como comentamos en nuestro anterior encuentro, es que los Ministerios Públicos necesitan ligar el acto delictivo con la persona, por lo cual sugerimos a las empresas redactar un contrato de confidencialidad y un anexo que el usuario de nuestros datos institucionales deberá firmar de conformidad, poniendo incluso su huella digital y señalando además que está recibiendo un password o clave, lo que de alguna manera le está confiriendo a este último cierta responsabilidad legal sobre el uso de esa información.
Asimismo, mencionamos que en contrato de confidencialidad y/o anexo escrito de asignación de dispositivos informáticos (tabletas, laptops o simplemente un CPU) deberán aparecer todos los datos de las partes involucradas -con la participación de testigos, de ser posible-, así como los datos del equipo que le será asignado al usuario para el cumplimiento de sus funciones dentro de la empresa, incluyendo número de serie, MAC adress (un identificador de 48 bits que corresponde de forma única e irrepetible a una tarjeta o dispositivo de red), entre otras características, pues en caso de deslealtad todo esto servirá al juzgador para no poner pretextos o evadir su compromiso en la impartición de justicia.
¡Pruebas… pruebas!
Mediante la firma de un contrato de confidencialidadlas organizaciones están haciéndoles saber a sus futuros o presentes empleados que es un delito apoderarse de información generada por y para éstas. Un acuerdo de esta índole, al igual que los llamados “avisos de privacidad”, debe manejar un lenguaje sencillo y presentar una estructura que facilite su entendimiento; de hecho, aquí no cabría sutileza alguna, pues la idea es concientizar a los empleados acerca de su responsabilidad de proteger la información confidencial de la compañía en todo momento y hacerles de su conocimiento las consecuencias legales por incumplir el contrato o infringir una política corporativa establecida y presentada como requisito antes de cualquier contratación.
Llámese robo, hurto, apropiación o ratería, el caso es que utilizar, transferir, compartir, vender o simplemente sacar provecho de algo que en teoría ostenta derechos de propiedad intelectual no deja de ser un delito aquí y en China, aunque en casi todos los estudios realizados últimamente por el Ponemon Institute (www.ponemon.org) ha estado resaltando una cifra interesante y a la vez perturbadora: casi la mitad de los empleados piensa que es propietario de una parte de su trabajo y de sus creaciones, y además considera que no es delito la reutilización de estas creaciones para aprovecharlas en proyectos de otras empresas; es decir, atribuyen la propiedad intelectual a quien las ha desarrollado y a quienes de alguna manera participaron en dicha labor, cuando en realidad se están cobijando en el hecho de que los directivos de sus organizaciones no ven a la protección de los datos como algo prioritario o no tienen la capacidad de aplicar las políticas definidas para esta materia.
La utilización ilegal de los datos que extraiga un empleado de las empresas puede recaer en varios terrenos de la jurisprudencia: dentro del Código Penal mexicano, por ejemplo, se considera un delito usar información para amenazar al empresario o a excompañeros o para descubrir secretos personales; en materia laboral, es delito y causal de despido el aprovechar la información íntima para el acoso sexual, étnico y racial, así como para la discriminación por religión y convicciones, por discapacidad, edad u orientación sexual.
Pensando en la posibilidad de que alguno de nuestros empleados se vaya a trabajar con la competencia, las empresas debemos especificar en el contrato de confidencialidad nuestros privilegios de propiedad y de utilización de los equipos informáticos que aquéllos necesitarán para trabajar; asimismo, debemos implementar un servicio que genere imágenes forenses de esos equipos y, aunque éstos sean reasignados a otros empleados, tendremos siempre una evidencia digital resguardada.
Es difícil asegurar que existe en la práctica un equilibrio entre la aplicabilidad de las leyes y el ámbito informático, como difícil es determinar el valor probatorio de los documentos electrónicos dentro de un posible litigio por abuso de confianza, deslealtad, transferencia de propiedad intelectual o por el robo de bases de datos, pero de ese y de otros temas relacionados hablaremos en la siguiente entrega si usted me lo permite, estimado lector, y no olvide que el camino para llegar a un securus mundi lo comenzamos todos.
Por: Fausto Escobar Director General de HD México
(fescobar@hdmexico.com.mx)
También podría interesarte
Robando bases