El 67% de las mayores empresas españolas carece de mecanismos técnicos para prevenir fugas de información corporativa, a pesar de que un incidente de este tipo podría suponer un grave perjuicio para la reputación e incluso el valor bursátil de la compañía, especialmente en algunos sectores como el bancario o el de seguros.
El estudio revela que en estos casos, acudir a la justicia podría resultar incluso perjudicial para la propia compañía por las filtraciones que podrían producirse. Por este motivo, muchas compañías afectadas por una fuga de información por parte de un empleado, prefieren resolver el conflicto en el ámbito privado.
Estos datos se desprenden del Estudio sobre las estrategias de control de la nuevas tecnologías en la empresa, publicado por Ribas y Asociados y realizado por José Ramón Agustina, profesor de la Universidad Internacional de Catalunya (UIC), Ana Alós, abogado de URIA y Javier Sánchez Marquiegui, asesor jurídico de la empresa Colt Data Centre Services, tras realizar un análisis a empresas con al menos 500 empleados y una facturación mínima de 50 millones de euros al año.
El estudio, cuyo objetivo era valorar la utilización de sistemas de prevención y control de daños causados por el uso indebido de las nuevas tecnologías en el ámbito laboral, revela que a pesar de que el 86,5 % de las empresas dispone de unas normas de uso de los recursos TIC corporativos, sólo un 15,6% realiza un control continuado de su cumplimiento.
“En la práctica, la inmensa mayoría no emplean mecanismos de prevención ni sancionan debidamente las infracciones. Esta tolerancia equivale a una derogación de las normas y restringe su eficacia para limitar la responsabilidad de la empresa en caso de daños a terceros”, afirma Xavier Ribas, fundador de Ribas y Asociados y experto en derecho digital.
En general, casi la mitad de las empresas analizadas no supervisan el cumplimiento de sus políticas de usos de las nuevas tecnologías, y un 16% ni siquiera establecen políticas de supervisión de situaciones de especial riesgo como el control de trabajadores que han preavisado su marcha, a los que han ocurrido en conductas de riesgo anteriormente o a los que la empresa ha decidido despedir.
En este sentido, un 26% de las empresas encuestadas declara no disponer de mecanismos técnicos para evitar almacenar información corporativa en soportes extraíbles, como pen drive o CD, y un 35% no tiene ninguna política limitativa al respecto.
Aumento de delitos informáticos en la empresa a causa de la crisis
El incremento de delitos en el seno de las empresas, derivado de la crisis económica, no impide que las empresas muestren una creciente tolerancia en el uso personal de los sistemas informáticos corporativos. Actualmente, el 41% de las empresas permite un uso personal moderado, frente al 29% de 2002.
Los datos indican que, a día de hoy, el 98% de los empleados tiene acceso a internet y al correo electrónico. No obstante, la mayoría de empresas todavía desconoce los riesgos del uso de las TIC y no está preparada para aclarar y resolver un incidente que puede tener repercusiones directas en el rendimiento en la actividad laboral y en los beneficios empresariales.
Un 74% de las empresas encuestadas considera que detecta, como mínimo, los casos más graves de incumplimiento y que los daños en ningún caso superan los 3.000 euros por incidente. Sin embargo los riesgos más graves asociados al mal uso de los recursos tecnológicos entrañan, entre otros, la fuga de datos confidenciales tanto de la empresa como de posibles clientes.
Además, afirma Xavier Ribas, “todos los estudios indican que las pequeñas y medianas empresas tienen, a priori un mayor índice de conductas delictivas debido a la ausencia de controles y a una atmósfera de mayor anonimato.”
El 44% de las empresas encuestadas afirma detectar prácticamente todos o la mayoría de infracciones, ya que suponen erróneamente que el único daño al que están expuestas es a una bajada de productividad, el llamado “absentismo virtual laboral”.
Pero la realidad es que sólo un 47% de los daños consisten en la reducción del rendimiento laboral, mientras que el 53% restante se refiere a daños materiales o a la propiedad intelectual, industrial o Know-how, entre otros.
Así pues, aunque el Estudio revela claramente la falta de mecanismos de la mayoría de empresas españolas para evitar incidentes. “A pesar de la iniciativa zero trust promovida por los expertos en seguridad, se hace necesario que estos sistemas se apliquen manteniendo un equilibrio entre el control y la generación del necesario clima de confianza dentro de la compañía”, afirma Xavier Ribas.
“Debe tenerse en cuenta que, en muchas empresas, además de proteger la información generada internamente, existe un deber de custodia respecto a la información o documentación entregada por un tercero, y por ello, establecer unos mecanismos de prevención y control de posibles fugas de información e infracciones relacionadas es esencial para proteger su negocio y su reputación”, añade. Ribas.
Pero la realidad es que, según el estudio, el 50% de ellas ni siquiera dispone de un protocolo de actuación para reaccionar ante los incumplimientos.
El 90% de los incumplimientos detectados se refieren al uso de medios profesionales para fines particulares, con la consiguiente reducción de la productividad que esto conlleva. Otros incumplimientos frecuentes son las descargas ilegales (40,5%), los daños informáticos (38%) y el mal uso o revelación de información confidencial (36%).
La mayoría de infracciones no son sancionadas
Las reacciones más frecuentes de las empresas ante un incumplimiento son el advertimiento informal al trabajador (37%), seguido por la sanción disciplinaria (22%). Sólo un bajo porcentaje de las infracciones termina en despido (13%), y en muy contadas ocasiones en denuncia penal (3%).
El principal motivo de la no sanción es la falta de gravedad del incumplimiento (30%) y, en segundo lugar la falta de pruebas suficientes (29%), “un hecho que se podría evitar fácilmente con una buena estrategia de prevención y control de los riesgos más frecuentes en una empresa”, explica Xavier Ribas.
El tiempo transcurrido entre la infracción y su detección e investigación es otro factor clave. Así, la encuesta revela que el 70% de las empresas tiene capacidad para entrar en los registros de red corporativa con la finalidad de investigar un suceso transcurrido en los últimos tres meses. Esta capacidad se ha reducido al 48% cuando han transcurrido seis meses. En relación al correo electrónico eliminado, la mitad de las empresas confiesan su incapacidad para recuperarlo transcurridos tres meses.
En un 98% de las empresas encuestadas se requiere identificación y autenticación del usuario para acceder a los sistemas informáticos, un factor que es determinante no sólo para proteger la privacidad del trabajador, sino como medio de identificación del usuario de un terminal en un momento dado. Pero, según la encuesta, las contraseñas introducidas en un ordenador, que permiten identificar qué persona ha utilizado un equipo informático en un momento determinado, sólo estarían disponibles hasta los tres meses, y sólo el 44% de las empresas podría disponer de estas contraseñas transcurrido este tiempo.
Además, la mayoría de ellas, un 57%, no disponen de un protocolo informático que establezca en qué casos la empresa podrá realizar una investigación del equipo de un trabajador y la mayoría desconocen si están obligadas o no a notificarlo al trabajador.
“Las empresas no están aprovechando el margen legal que la reciente jurisprudencia del Tribunal Supremo les concede para controlar el uso de las nuevas tecnologías en la empresa”, explica Ribas.
Partiendo de los datos, Ribas considera que un significativo número de empresas no ha hecho un estudio riguroso de los riesgos a los que están expuestas como consecuencia del uso de los sistemas de información por parte de los empleados.
Normalmente las empresas creen que la peor consecuencia del mal uso es la pérdida de tiempo y productividad, cuando parece evidente que los daños por perder a un cliente, no ganar un contrato o, ya en casos más extremos, divulgar determinada tecnología deben superar ampliamente los que se puedan derivar de una reducción de la productividad del trabajador.
“Esta falta de conciencia condiciona la política de prevención y la reacción de las empresas en el caso de producirse un incidente. Es necesario un ejercicio de sensibilización sin el cual se corre el riesgo de que las empresas se instalen en una falsa sensación de seguridad y de riesgo controlado”, afirma Ribas.
Entre otros datos, la encuesta revela que la dimensión de la compañía influye tiene consecuencias directas en las oportunidades delictivas que se generan y en los mecanismos de control. La ausencia de controles y la atmósfera de anonimato, a priori más acentuada en la pequeña y mediana empresa, son elementos criminógenos relevantes que están relacionados directamente con el entorno inmediato del trabajador.
El tipo de delincuencia guarda, también, una relación muy significativa con el status económico de la persona, así como la posición que ésta ocupa en la estructura económica y su rol dentro de la empresa.
Entre las causas del comportamiento delictivo destacan la ausencia de vínculos de integración social del trabajador respecto de la empresa, su falta de identificación con la compañía, y la carencia de motivaciones positivas desde el punto de vista psicológico o emocional.