Protección de la información digital confidencial de la empresa

La información digital implica que los ordenadores centrales, servidores, teléfonos móviles, ordenadores portátiles, etcétera, incorporan en las memorias textos, imágenes, vídeos, etcétera, procesados digitalmente en origen o a partir de documentos en otro formato. Está información que la empresa puede calificar como confidencial, contenida en ficheros estructurados o no, se distribuye por la Red, y es accesible desde múltiples dispositivos no incluidos en el perímetro de seguridad de la compañía. Además, con frecuencia, el propietario de los anteriores es un empleado o profesional que desarrolla la actividad para la que le contrataron apoyándose en ellos.

Por información confidencial de la empresa se entiende, de acuerdo con el art. 2.1 de la Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la protección del saber hacer y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y divulgación ilícitas (de noviembre de 2013), la información que reúna todos los requisitos siguientes: (a) que sea secreta en el sentido de que no sea, como cuerpo o en la configuración y reunión precisa de sus componentes, generalmente conocida ni fácilmente accesible para las personas pertenecientes a los círculos donde normalmente se utilice el tipo de información en cuestión; (b) que tenga un valor comercial por su carácter secreto; (c) que haya sido objeto de medidas razonables, en las circunstancias, para mantenerla secreta, tomadas por la persona que legalmente ejerza su control. Para el poseedor legítimo, la información digital confidencial representa una ventaja competitiva, mientras el descubrimiento, revelación, difusión o cesión ilícita, menoscaba la posición de la empresa y desincentiva la inversión.

La información digital confidencial, que incluye el saber hacer o Know-how, así como conocimientos de tipo técnico, es uno de los activos integrados en el patrimonio inmaterial de las compañías. Su protección en una sociedad global, conectada e interdependiente es vital para las empresas. El acceso, difusión, cesión, o revelación ilícita, inhibe la transferencia del conocimiento, falsea la competencia, refuerza la posición de agentes económicos que operan de manera desleal, etcétera. Entre los activos intangibles o inmateriales que forman parte de este tipo de información están: bases de datos de clientes o proveedores, planes de desarrollo de negocio y marketing, saber hacer respecto del mercado y comercial, conocimientos técnicos no patentados, acuerdos de colaboración entre compañías, métodos de gestión, contratos de distribución y acuerdos de confidencialidad.

Una de las características de la información digital confidencial, objeto de estas líneas, es que no se protege mediante los derechos de propiedad intelectual y/o industrial, aunque la anterior nace con frecuencia en el marco de procesos de investigación científica y técnica. Esto impide que se otorguen derechos exclusivos de explotación sobre la misma o que se le tutele mediante modalidades de propiedad industrial, como es la patente. Sin embargo, el poseedor legítimo de estos activos intangibles, sí dispone de herramientas de naturaleza organizativa, tecnológica y jurídica que, correctamente ensambladas, permiten la protección y defensa de estos contenidos amparados por el secreto de empresa, en su doble vertiente de secreto comercial e industrial.

Concienciación

La información confidencial digital puede comprometerse con acciones u omisiones de personas jurídicas (gobiernos, empresas de la competencia, órganos de países extranjeros, etc.) o físicas (empleados, miembros de los equipos de proveedores de servicios, terceros que no tienen nada que ver con la compañía, etc.). En el segundo supuesto, las amenazas pueden provenir de empleados poco atentos a las obligaciones de seguridad, descontentos con la organización o no concienciados respecto a los riesgos que afectan a la seguridad de la información.

La confidencialidad de la información se vulnera mediante el abuso de los permisos de acceso que la empresa otorgó, aprovechando brechas o vulnerabilidades no detectadas. El acceso ilícito a la información digital confidencial puede ejecutarse en el interior de la empresa, fuera de su ámbito de organización, desde el exterior de la compañía hacia el interior, desde dentro de la empresa hacía fuera de la misma.

Los poseedores legítimos de la información digital confidencial pueden adoptar un conjunto de medidas de naturaleza organizativa, tecnológica y jurídica, cuya combinación permite su protección. Las mismas deben tener en cuenta el ciclo de vida de la información digital incorporada en diversos soportes. El mismo comprende: la creación, transmisión, utilización, modificación, cesión y conservación, mientras transcurren los plazos legales o contractuales, y los legalmente estipulados para responder a las acciones de responsabilidad civil contractual y extracontractual.

El abanico de medidas adoptado debe configurarse como un sistema que opera de manera preventiva y/o reactiva frente a las amenazas que afectan a la seguridad de la información digital confidencial. Su calidad permite reducir las opciones para que dichas amenazas se materialicen, atenúa el impacto o efectos de las incidencias, permite producir la “inteligencia” o saber hacer derivada de cómo se resolvió y contribuye a mejorar la posición de la empresa en escenarios futuros.

Entre las tareas que las empresas pueden abordar en el marco de las medidas organizativas se encuentra la identificación de la información digital confidencial. Esta se clasifica de acuerdo con lo crítica que es para la empresa, como: estrictamente confidencial, confidencial, de uso restringido o para uso general (el último nivel no exige medidas singulares de protección). En este escenario, también es esencial que las empresas cuenten con un inventario de intangibles, en el que dan de alta a los activos inmateriales no amparados por los derechos de la propiedad intelectual o industrial, que también comprenderá a aquellos que éstos protejan, herramienta que hay que mantener actualizada.

El inventario de activos intangibles hay que complementarlo con la centralización de la información en determinados servidores, la especificación del propietario del recurso clasificado, el mapa de flujos de la información digital confidencial, la política de clasificación, modificación, reproducción, conservación, cancelación y destrucción, las medidas de protección aplicadas según el nivel de clasificación, la responsabilidad del usuario en caso de vulneración del deber de confidencialidad, los procedimientos, registros, controles, etcétera necesarios para su gestión.

El perímetro de seguridad de la organización se ha “desvanecido” gracias al uso de dispositivos móviles propiedad de los usuarios, la informática en la nube o cloud computing y la irrupción de la Red. La protección de la información digital confidencial se ha vuelto más compleja, afrontando más opciones de fuga. Sin embargo, las empresas, en un contexto de medidas tecnológicas, cuentan con herramientas que les permiten afinar el control. Entre las mismas están las soluciones para la prevención y detección de descargas (DLP) y la tecnología (IRM) que permite la gestión de identidades. Su combinación facilita la seguridad dentro del perímetro y fuera de éste.

Aunque las medidas organizativas, tecnológicas y jurídicas son fundamentales, el “sistema” reduciría su eficacia si la implementación de las anteriores no se acompaña de las acciones de concienciación en seguridad de la información. Éstas deben inscribirse en un programa de concienciación dirigido a directivos, empleados y profesionales de proveedores de servicios que tenga por objeto la sensibilización de los riesgos y amenazas a las que está expuesta la información digital confidencial, provocados por múltiples factores. Las acciones de concienciación deben abarcar la perspectiva organizativa, tecnológica y jurídica, que, aunque alguien puede considerar “opuestas”, siempre han sido complementarias.