La filtración de datos críticos puede arruinar una empresa

La discreción, una virtud muy valorada en los directivos

Controlar quién tiene acceso a los archivos más sensibles de la empresa es clave para evitar problemas

La discreción, una virtud muy valorada en los directivos
Thinkstock

Sony experimentó en sus propias carnes el alto precio de una fuga de información crítica. En noviembre de 2014 sufrió un ciberataque en el que perdió guiones inéditos, una película sin estrenar y los números de la seguridad social de miles de exempleados. La propia firma japonesa calculó las pérdidas en unos 100 millones de dólares, cifra que no contempla la caída de prestigio derivada de que los sistemas de seguridad de una empresa de base tecnológica hayan sido invadidos por hackers.

El cibercrimen no es la única amenaza a la que se enfrentan las compañías. La primera barrera de defensa debe situarse de puertas adentro. “La filtración de información sensible no tiene por qué tener carácter malicioso: también puede surgir al errar el remitente de un email”, apunta Juan Valderas, responsable del área de forensic services de FTI Consulting en España.

¿Qué tipo de archivos entran bajo la categoría de críticos? Valderas los clasifica en dos categorías: los que, por su naturaleza, conviene no destruir porque pueden ser requeridos en una inspección o auditoría (información fiscal y contable), y los que tienen un “valor real y competitivo” para la compañía. Bajo este epígrafe entran listas de clientes, condiciones comerciales con socios, clientes o proveedores y todo lo que tiene que ver con la propiedad intelectual.

Es conveniente restringir el acceso a esa información al mínimo número posible de gente. “Solo deberían ver los datos clave las personas que los necesitan para tomar las decisiones. Eso no implica necesariamente a todo el comité de dirección”, indica Guido Stein, profesor de dirección de personas en IESE Business School. Es aconsejable fragmentar también esa información, de forma que cada profesional acceda exactamente a la que necesita. “Los departamentos de sistemas, de legal y de negocio son los que entran más en contacto con la información crítica”, expone Valderas.

La alta dirección es, debido a la naturaleza de su cargo, quienes con más frecuencia tienen acceso al material inflamable de las compañías. “El Real Decreto 1382/1985 de Alta Dirección, que rige la actividad de los directivos, no contiene cláusulas específicas de confidencialidad, aunque sí establece que si el ejecutivo transgrede la buena fe contractual, eso será causa de despido”, explica María José Ramo, socia de derecho laboral de Garrigues. “Se puede entender que revelar un secreto entra en esa categoría, aunque la interpretación es genérica”.

Por eso, añade, los contratos de altos directivos suelen incorporar cláusulas de confidencialidad cuyos efectos no terminan si se extingue la relación contractual. Y cuando la compañía se dispone a llevar a cabo algún proceso sensible, como una salida a Bolsa o una fusión o adquisición, es común añadir nuevas cláusulas.

  • Acceso y trazabilidad

Los directivos no son los únicos que manejan información sensible para las compañías: mandos intermedios y otros perfiles más bajos están ganando acceso a ella. Las empresas son conscientes de la importancia de tener una buena gestión de los accesos a la información crítica, porque las responsabilidades (pueden llegar a ser penales si se venden secretos a la competencia) recaen sobre el directivo. Aunque pocas, subraya Valderas, ponen en marcha planes para sistematizar protocolos de protección.

Este experto identifica dos elementos clave para regular este aspecto. El primero es el control de acceso: quién accede a qué. El segundo es mantener un registro exhaustivo de quiénes entran en los archivos clave. “Mantener una buena trazabilidad tiene un efecto preventivo y asegura el hecho de que se pueda hacer una investigación diligente en caso de que sea necesario”, razona Valderas.

No todas las empresas tienen la misma exposición a posibles filtraciones. “Hay compañías, como Indra, en la que una fuga de información puede ser una cuestión de Estado”, subraya Stein. Para otras, como se comprobó con Ashley Madison, la web de relaciones extramatrimoniales, perder la confidencialidad de su lista de usuarios es sinónimo de ruina.

“Si es el propio directivo el que infringe las cláusulas de confidencialidad, además de despedirle se le puede pedir una indemnización por daños y perjuicios”, aclara Ramo. Aunque en este caso lo que queda más tocado, opina Stein, es la propia credibilidad del profesional. “Lo peor que puede hacer un directivo es perder su prestigio personal”.