Las empresas españolas no están preparadas para evitar la fuga de información. Lo que es más, el 67% de las empresas de nuestro país están en riesgo de sufrir la pérdida/robo/uso indebido de su información confidencial.
Es la principal conclusión a la que llega el estudio «Estrategias de control de las nuevas tecnologías en la empresa», publicado por Ribas y Asociados y realizado por José Ramón Agustina, profesor de la Universidad Internacional de Catalunya (UIC), Ana Alós, abogado de URIA y Javier Sánchez Marquiegui, asesor jurídico de la empresa Colt Data Centre Services, tras realizar un análisis a empresas con al menos 500 empleados y una facturación mínima de 50 millones de euros al año.
Otra de las conclusiones principales de este estudio es que cuando se produce un incidente de este tipo, rara vez las empresas suelen acudir a la justicia ordinaria, especialmente por el temor a que se produzcan filtraciones indeseadas.
Lo más grave no obstante, no es que las empresas no dispongan de sus propias políticas y protocolos de seguridad (que muchas las tienen) sino que según se afirma en este estudio, únicamente un 15,6% de las empresas realiza un control continuado de su cumplimiento.
Tal y como explica el propio Xavier Ribas, «En la práctica, la inmensa mayoría no emplean mecanismos de prevención ni sancionan debidamente las infracciones. Esta tolerancia equivale a una derogación de las normas y restringe su eficacia para limitar la responsabilidad de la empresa en caso de daños a terceros».
Más delitos informáticos pero menos prevención
El incremento de delitos en el seno de las empresas, derivado en parte por la crisis económica, no impide que las empresas muestren una creciente tolerancia en el uso personal de los sistemas informáticos corporativos. Actualmente, el 41% de las empresas permite un uso personal moderado (correo electrónico, redes sociales, etc.) frente al 29% de 2002.
El problema es que aunque las empresas consideran que incluso en los casos más graves, los daños no superan los 3.000 euros, no se valoran de igual forma los riesgos que para la empresa tienen la fuga de datos confidenciales, tanto de la empresa como de posibles clientes.
De hecho las empresas relacionan estos riesgos únicamente con el llamado «absentismo virtual laboral» es decir, una merma en la productividad de sus trabajadores, mientras que la realidad indica que en un 53% de las ocasiones de producen daños materiales o a la propiedad intelectual, industrial o Know-how.
El estudio hace en este punto énfasis tanto en la información propia de la empresa como la que pertenece a terceras partes. Tal y como denuncia Ribas, “debe tenerse en cuenta que, en muchas empresas, además de proteger la información generada internamente, existe un deber de custodia respecto a la información o documentación entregada por un tercero, y por ello, establecer unos mecanismos de prevención y control de posibles fugas de información e infracciones relacionadas es esencial para proteger su negocio y su reputación”.
Pero la realidad es que, según el estudio, el 50% de ellas ni siquiera dispone de un protocolo de actuación para reaccionar ante los incumplimientos.
Infracciones no sancionadas
Las reacciones más frecuentes de las empresas ante un incumplimiento son el advertimiento informal al trabajador (37%), seguido por la sanción disciplinaria (22%). Sólo un bajo porcentaje de las infracciones termina en despido (13%), y en muy contadas ocasiones en denuncia penal (3%).
El principal motivo de la no sanción es la falta de gravedad del incumplimiento (30%) y, en segundo lugar la falta de pruebas suficientes (29%), “un hecho que se podría evitarfácilmente con una buena estrategia de prevención y control de los riesgos más frecuentes en una empresa”, explica Xavier Ribas.
El tiempo transcurrido entre la infracción y su detección e investigación es otro factor clave. Así, la encuesta revela que el 70% de las empresas tiene capacidad para entrar en los registros de red corporativa con la finalidad de investigar un suceso transcurrido en los últimos tres meses. Esta capacidad se ha reducido al 48% cuando han transcurrido seis meses. En relación al correo electrónico eliminado, la mitad de las empresas confiesan su incapacidad para recuperarlo transcurridos tres meses.
Además, la mayoría de ellas, un 57%, no disponen de un protocolo informático que establezca en qué casos la empresa podrá realizar una investigación del equipo de un trabajador y la mayoría desconocen si están obligadas o no a notificarlo al trabajador.