“Hasta el más simple de los convenios en el que exista un posible uso o transferencia de información personal o corporativa, no deja de ser un contrato.”
No pretendemos ocasionar polémica con esta definición, pero quienes nos desenvolvemos en la industria informática reconocemos a un “insider” como aquella persona que, siendo parte de nuestras empresas, provoca fugas de datos sensibles o confidenciales, quien no necesita ser un especialista en tecnología, sino simplemente tener privilegios de acceso a dicha información para hacer un indebido uso de la misma. Al tratarse de un “empleado”, debemos aceptar que nosotros somos los responsables directos de las buenas o malas contrataciones, aunque podemos alegar en nuestra defensa que ni el más sesudo de los psicoanalistas podría detectar malas intenciones, hábitos de saboteo o cualquier práctica desleal que pudiera presentarse a futuro. Dicen por ahí que “tanto peca el que mata a la vaca como el que le agarra la pata”, lo cual significa que de alguna manera somos cómplices y partícipes activos de un círculo vicioso que resulta de la ausencia de políticas adecuadas de seguridad o del hecho de que -consciente o inconscientemente- son las empresas las que deciden a quiénes les otorgan el acceso a sus valores e información vital. En otras ocasiones, he mencionado las alternativas que se tienen para sustentar el compromiso entre los poseedores legítimos de los datos con respecto a los derechos y obligaciones de las empresas o instituciones que acceden a ellos; pero en esta ocasión queremos particularizar el entorno y centrarnos en lo que las organizaciones pueden hacer para protegerse de posibles casos de deslealtad por parte de sus empleados o de los responsables de gestionar la información corporativa.
Políticas y soluciones
Debido a la magnitud de sus operaciones y a la complejidad de sus sistemas informáticos, es muy probable que las grandes empresas cuenten con políticas y soluciones destinadas a salvaguardar sus bases de datos ¿Pero qué pueden hacer esos “Pepe y Toño” si aun con el apoyo de la tecnología y de las leyes, pareciera que están descobijados cuando se trata de denunciar el robo o un mal uso de su información sensible? La realidad en México es que, cuando las personas o empresas son víctimas de algún robo de datos, de la divulgación de secretos, del espionaje o del hurto de sus activos, no saben a quién acudir o dónde presentar una denuncia, y por lo general, prefieren mantener su identidad en el anonimato o no ventilar sus casos a la luz pública. Pero para poder combatir la llamada “cifra negra de los delitos informáticos”, aquélla que desconocemos y escapa de las estadísticas, siempre será necesario reportar cualquier evento de este tipo y/o compartir nuestras experiencias. El gran problema al respecto es que los Ministerios Públicos necesitan ligar el acto delictivo con la persona, por lo cual sugerimos a las empresas redactar un contrato de confidencialidad y un anexo que el usuario de nuestros datos institucionales deberá firmar de conformidad, poniendo incluso su huella digital y señalando además que está recibiendo un password o clave, lo que de alguna manera le está confiriendo a este último cierta responsabilidad legal sobre el uso de esa información.