Hace un tiempo os hablábamos del problema de las fugas de información en la empresa. En aquel artículo os comentábamos algunas interesantes estadísticas en relación al robo de propiedad intelectual por parte de los empleados. Por ejemplo: ¿sabías que el 65% de los empleados que roban documentos ya tienen asegurado un puesto de trabajo en la competencia? ¿Sabías que la mayor parte de los datos robados son información empresarial (30%), secretos comerciales (25%) y código fuente (20%)?
El problema es que el robo de propiedad intelectual no es como robar un bolígrafo o un paquete de folios (que por cierto, también es un delito): el problema es que la información es uno de los activos más importantes de una organización, y su sustracción accidental o intencionada puede traer, por tanto, consecuencias nefastas. En este artículo proponemos algunos protocolos de prevención y reacción para afrontar esta realidad.
¿Qué consecuencias puede tener el robo de información?
A ninguna empresa le gusta reconocer públicamente que ha sufrido espionaje o robo de información: se trata de un daño a la reputación muy difícil de reparar que además, podría acarrear sanciones administrativas importantes. Esto es especialmente peligroso de cara a los robos de una base de datos con información personal, sobretodo a raíz de la nueva RGPD de la que ya hablábamos en este otro artículo. Con la RGPD nos enfrentamos a multas de hasta 20 millones de euros, o el 4% del volumen de negocio global en el último año
Por esta razón, la mayoría de empresas suele manejar este problema a escondidas, y sólo el 3% de los casos de hurto de información por parte de empleados o hacking acaba en los tribunales.
¿Cómo se pueden evitar las fugas y robo de datos?
La gran mayoría de los robos se podrían evitar con las estrategias de prevención adecuadas. Lamentablemente, los responsables de seguridad IT están más preocupados de combatir el malware que de las filtraciones de información. Una de las estrategias desde el punto de vista técnológico es el uso de tecnología «antifugas»: consiste en una capa de cifrado software o hardware que protege la legibilidad de los documentos. Este tipo de programas se conocen como software DLP (Data Leak/Loss Prevention) y se utilizan ya en muchas grandes empresas para proteger su propiedad intelectual: por ejemplo, ciertos archivos sólo son accesibles con un lector de la empresa que sólo funciona cuando se encuentra dentro de su propia red.
Por supuesto, se asume que bajo estas medidas la empresa debe cumplir con estándares de seguridad como los propuestos por la norma ISO 27001, que es una de las más completas que existen en la actualidad.
¿Qué hacer cuando se detecta un robo de información en la empresa?
Si después de una investigación se han obtenido indicios de que un empleado, un hacker o cualquier otra persona externa a la empresa está robando información, hay que hacer todo lo posible para minimizar los riesgos y corregir los daños. Si es posible, hay que reaccionar en las primeras 48h para evitar consecuencias mayores:
- Determina qué información o documentos han sido robados y qué puede el ladrón o los ladrones hacer con ellos: ¿los archivos estaban abiertos o cifrados? ¿qué es lo peor que podría hacer alguien con ellos?
- Toma medidas de emergencia: cambia las contraseñas y/o pon en cuarentena los sistemas adicionales que puedan ser vulnerados. Si han robado algún tipo de información bancaria contacta con las entidades financieras para bloquear cuentas o tarjetas en caso de ser necesario.
- Busca asesoramiento jurídico en tu ciudad: contacta con profesionales que puedan asesorarte sobre la mejor forma de proceder en tu caso. Esto es de vital importancia tras la regulación de la RGPD para evitar penas y sanciones. No dudéis en dar este primer paso y poner sobre la mesa todos los hechos y pruebas que se tengan a mano. Algunas medidas pueden ser despedir al empleado o incluso abrirle un proceso penal por espionaje industrial.
- Mejora tus protocolos de seguridad: aprovecha el momento para averiguar qué ha ocurrido y cómo, para parchear brechas y corregir vulnerabilidades. No dudes en realizar una auditoría técnica y legal para proteger la propiedad intelectual de tu empresa.
- Prepara un posible comunicado de prensa o anuncio en redes sociales, en el caso de que el hurto pueda hacerse público. Enterrar la cabeza como una avestruz sólo lograría empeorar la imagen.