¿Cómo despedir a un 'insider'?
No puede tener la misma sanción un trabajador que actúa de forma accidental que uno que lo hace deliberadamente
Hacker: “Hola, te pagamos 1.000 euros si abres el correo que te vamos a mandar a tu ordenador.”
Trabajador: "¿Sólo por eso? ¡Pues vale!”
Este trabajador es lo que se conoce como insider y es el vector de entrada más sencillo que tienen los hackers para instalar software malicioso en cualquier empresa, como los famosos ransomware de cifrado de archivos que asaltan las noticias últimamente.
Se trata de una amenaza importante y que va en aumento. Según el Informe del Ponemon Institute del año 2020, entre marzo y julio de ese año un 43% de los incidentes en seguridad reportados fueron causados por insiders mal intencionados. Y se espera que ese porcentaje siga creciendo.
Es un riesgo transversal, no solo informático, por lo que las empresas deben plantear una estrategia holística, implicando a los Departamento de Seguridad, Legal, Recursos Humanos y Control interno, fundamentalmente.
Desde el punto de vista jurídico es necesario contar con protocolos específicos sobre el uso de los dispositivos aplicables a todos los trabajadores, además de darles formación y que conozcan las consecuencias de sus incumplimientos. No sólo debe tenerse una política y dar formación sobre el buen uso de cualquier activo de la empresa, dispositivo, ordenador, móvil o tableta, sino que también deben realizarse controles y auditorías sobre los dispositivos utilizados por los trabajadores.
De hecho, con la llegada de la pandemia y el teletrabajo forzado, muchas empresas implantaron estos controles en sus equipos, monitorizando a los trabajadores y sin las debidas medidas que respetaran los derechos de estos. Se puede hacer, pero no de cualquier forma. Debemos tener en cuenta los principios de proporcionalidad, idoneidad, necesidad y transparencia, siendo informado el trabajador en todo caso de las medidas que se van a implantar, de cómo se producirá el control y de las consecuencias de su incumplimiento, respetando el artículo 20 bis del Estatuto de los Trabajadores, el 87 de la LO 3/2018 y la doctrina Barbulescu II establecida por el Tribunal Europeo de Derechos Humanos.
Y si, pese a establecer todas las medidas, se materializase esta amenaza en la empresa, debemos ser consecuentes y aplicar de forma coherente y firme las sanciones y consecuencias que se hayan especificado e informado a los trabajadores.
En los casos de los insiders nos encontramos con una complicación añadida: verificar si su actuación fue negligente o culpable. En principio, no puede tener la misma sanción un trabajador que actúa de forma accidental o por negligencia, que uno que lo hace deliberadamente, independientemente de que reciba o no algún tipo de contraprestación. En este caso será esencial la prueba que se recabe en el procedimiento de investigación del ataque, las declaraciones del trabajador y la prueba pericial que se efectúe.
No obstante, no podemos olvidar las características del trabajador, dado que si tiene una alta cualificación y un nivel de responsabilidad alto, sería posible proceder al despido disciplinario por dicha negligencia. Tal fue el caso de una directiva de la EMT Valenciana que, con una falta evidente de criterio, actuó de forma negligente y muy grave al aprobar una serie de transferencias bancarias para una supuesta OPA a una empresa china en un claro caso de fraude del CEO, en este caso, financiero (STSJ Comunidad Valenciana de 22 de junio de 2021).
Será posible aplicar la sanción máxima de despido siempre que la actuación del insider sea grave y culpable. Pongamos como ejemplo que se localiza una cadena de correos electrónicos entre el hacker y el trabajador dando instrucciones sobre cómo proceder dado que la web que se envió en el primer correo fue bloqueada por el sistema informático de la empresa. Aquí resulta evidente la intencionalidad del insider, y se podría sancionar con el despido disciplinario. No olvidemos que se deben cumplir los requisitos mencionados para evitar que, por muy culpable que sea, en los tribunales el despido sea calificado como nulo por vulneración de derechos fundamentales del trabajador, ya sea de intimidad, de secreto de comunicaciones o el derecho a la protección de los datos.
Nadie ha dicho que sea fácil, pero es la realidad a la que nos enfrentamos de forma diaria. Debemos ser conscientes de que el bienestar laboral pasa a ser también un elemento de seguridad para evitar que alguno de los trabajadores se convierta en un insider.
Raquel de la Viña, asociado sénior en el área laboral de Andersen.