¿Cómo proteger y gestionar información estratégica?
La información es el nuevo oro. Contar con datos claves en el momento oportuno puede marcar la diferencia en el éxito de una transacción o negociación. Estos activos intangibles conforman buena parte del valor de las empresas y cada vez adquieren mayor preponderancia. Es casi una obviedad decir que estos datos deben protegerse.
La crisis del Covid-19 y el confinamiento nos ha enseñado los límites del almacenamiento tradicional y la necesidad de tener un acceso digital rápido y seguro. El control del virus nos permitirá volver de manera escalada a una “nueva Normalidad”. Pero, mientras tanto, el mundo ha cambiado y en particular el mundo profesional. La digitalización pasa de estatuto de “plus” a “necesidad”. La vuelta atrás no va ser posible, sin hablar de la posibilidad contemplada por varios epidemiólogos de rebrotes del virus este invierno.
En este contexto de urgencia es necesario tomarse el tiempo para reflexionar sobre cómo poner en marcha esta digitalización y proteger estos activos.
Como bien dice Alain Casanovas, miembro de la Junta Directiva de ASCOM, en Cultura ética y de respeto a las normas, “Observar los estándares éticos o las buenas prácticas sugeridas sectorialmente constituye una obligación práctica ineludible en algunas actividades. Así, para entidades bancarias y financieras, por ejemplo, cuyo negocio se sustenta en generar confianza en los mercados, seguir estas prácticas es fundamental hasta el punto que su eventual incumplimiento se califica como “riesgo de integridad”. Este entendimiento se extiende a otros sectores, de modo que son pocas las organizaciones que pueden permitirse el lujo de sufrir los daños reputacionales o incluso legales derivados de las malas praxis.”
Digitalización y teletrabajo: el nuevo paradigma generado por la crisis del Covid-19
La nueva era del teletrabajo
En la Sección 2.ª del Artículo 3 del Orden SND/399/2020, del 9 de mayo 2020, se establece que “Siempre que sea posible, se fomentará la continuidad del teletrabajo para aquellos trabajadores que puedan realizar su actividad laboral a distancia”.
Según el informe del Banco de España publicado el 12 de mayo, un 80% de las empresas ha aumentado el teletrabajo como consecuencia del covid-19 y las medidas de confinamiento para evitar que su actividad se resienta y estima que un 30,6% de los empleos en España podría realizarse mediante teletrabajo. En el año 2019, la modalidad de trabajo desde casa era de cerca de un 5%. Teniendo en cuenta esta cifra, más de 11 millones de personas se han incorporado abruptamente a esta modalidad.
Varias firmas como Endesa o Naturgy ya han extendido su modalidad de teletrabajo más allá del fin de 2020, es decir hasta el año próximo. Los principales despachos de España están optando por el teletrabajo no sólo para cumplir con las normativas del BOE, sino para evitar bajas por enfermedad, considerando que el riesgo se incrementa con la edad y que se espera un rebrote en invierno. Por otro lado, los cambios abruptos sólo generarían brechas y riesgos innecesarios.
La digitalización, el inevitable corolario del teletrabajo
Claramente la tecnología ha sido un gran salvavidas y las empresas que habían invertido tempranamente—así como aquellos que habían impulsado estas iniciativas—vieron la confirmación de estas decisiones estratégicas en este experimento global llamado Coronavirus.
La digitalización no solo genera ahorro en papel y en los procesos vinculados, sino que garantiza tener disponibilidad de acceso desde cualquier ubicación y ofrece mejor control. Son conocidos los casos en los que se han encontrado documentación con datos personales sin triturar en contenedores de reciclaje sin triturar. Luego, la primera etapa de transmisión de archivos, mediante dispositivos USB, ha quedado obsoleta por el riesgo de pérdida del objeto.
La incorporación de la modalidad SaaS también ha facilitado esta transición, simplemente porque brinda mayor flexibilidad y una rápida puesta en marcha, algo que con otro tipo de tecnologías requiere un proyecto de implementación que puede tener semanas de duración. Flexibilidad que estaba originalmente pensada para una alta movilidad. Paradójicamente ha servido para movilizarnos virtualmente desde nuestros hogares.
Más aún, en el caso de aquellos que se basan en información confidencial y crítica para tomar decisiones, como Consejeros o Directores, en un contexto con un mayor riesgo, y con un panorama en el que muchos científicos y epidemiólogos advierten de que pueden haber rebrotes y que la nueva normalidad se extenderá más allá del desconfinamiento gradual, por varios meses.
Una implementación segura
Ahora bien, una digitalización apresurada conlleva sus riesgos. Medios de todo el planeta han dado cuenta de casos de fugas de información, accesos no deseados o sabotajes en el transcurso de reuniones.
En los dos últimos meses ha habido un crecimiento del 37% de ciberataques. Desde el secuestro de información, en los que se piden sumas millonarias como rescate para no publicar información clave o crítica (información financiera, legal, nombres y datos de personas claves de la compañía, cómo el caso EDP o ataques a despachos), a la suplantación de identidad de entidades bancarias vía correo electrónico para incitar a pinchar enlaces, el riesgo es real y una vez producido el coste a pagar es muy alto. El secuestro con pedido de rescate se ha puesto “de moda”.
En este caso, la prevención es la mejor solución, y se deben tomar medidas preventivas para resguardar la información confidencial. No solo se evitan sanciones legales por violación del RGPD, o de la Ley de Secretos Empresariales, o de las obligaciones de los Administradores de empresas (Ley 31/14) sino que se evita el pago de sumas astronómicas como rescate y se evitan daños incalculables a la reputación.
Consejos para una digitalización exitosa
Definir un proyecto de digitalización
La digitalización es ahora una necesidad. Pero las necesidades también se preparan y se implementan por etapas.
Primera etapa: inventario exhaustivo y definición de las necesidades
Segunda etapa: definición de un plan de digitalización. Esta etapa consiste en definir los objetivos y presupuestos asociados.
Tercera etapa: implementación en fases
Cuarta etapa: análisis y revisión del plan
Para una implantación exitosa se recomienda:
- Plantear el proyecto y estructurar el plan por escrito
- Definir las fases del proyecto, un responsable general y el equipo que lo ejecutará.
La división del proyecto en fases permite concretar los hitos y avanzar hacia el objetivo final.
- Definir un proyecto piloto y reducido en un entorno que represente un muestreo de las áreas objetivo donde se iniciará la ejecución. Para lograr la cooperación, se sugiere comenzar por lo más fácil y rápido a implementar.
Primero porque los primeros éxitos dan confianza al responsable del servicio, con impactos rápidos y visibles.
Segundo porque facilita mucho la adhesión de los equipos que es clave para conseguir una digitalización exitosa. Si es fácil, rápido, funciona bien y les facilita el trabajo y les ahora tiempo, los equipos serán más proactivos y muy receptivos a los siguientes pasos.
Tercero porque motiva la dirección y la mayoría de los servicios que interactúan con estos servicios de apoyar y soportar la continuación del proyecto de digitalización.
- Hacer un control de calidad del proyecto piloto, revisar que se debe corregir y ajustar el plan.
- Implicar mucho a los equipos y los otros servicios impactados indirectamente
- Comunicar, formar, informar, apoyar, felicitar.
¿En qué fase de digitalización se encuentra su empresa?
El siguiente gráfico permite analizar y comparar el estadio de digitalización según su aptitud para el trabajo desde cualquier ubicación.
Reingeniería de Procesos
Cuando se trata de cambios tecnológicos importantes, como lo es la digitalización, es necesario poner al día a la organización y los procesos.
La primera fase es el momento oportuno para redefinir la organización y los procesos con el fin de que se adapten al nuevo modo de gestión y las nuevas herramientas.
Por ejemplo, implementar la firma electrónica conlleva a una simplificación del proceso de firma de contratos. ¿Cómo? Se evitan las impresiones, las carpetas de los contratos a firmar, la intermediación para dejar y recoger las carpetas, el almacenamiento y archivo en formato físico, etc. Todo ese proceso puede reemplazarse con una herramienta que permita firmar con un clic.
La introducción de una solución de digitalización va a impactar los procesos, simplificándoles y haciendo que las tareas sean más rápidas y fácil de gestionar. Pero hay algunos procesos necesarios u obligatorios a los cuales las herramientas digitales tendrán que adaptarse.
Por ejemplo, digitalización o no, siempre se necesitará una reunión del consejo para aprobar las cuentas, hacer un acta y publicarla. Lo que cambiará es que la reunión se podrá celebrar en línea, el acta podrá generarse automáticamente, los consejeros y el secretario del consejo podrán firmar de manera electrónica al final de la reunión y el documento digital podrá remitirse digitalmente (vía LEGALIA), y archivarse en línea en el registro y en el recinto seguro de la empresa. Lo que implica un ahorro de tiempo y un enfoque de los recursos en los procesos de valor añadido.
La “reingeniería de los procesos” significa también, en algunos casos, una modificación de los estatutos, procesos y normas escritos. Por ejemplo, la ley (1/2010 Ley de Sociedades de Capital) requiere una modificación escrita, votada y registrada de los estatutos del consejero de administración para que los consejeros puedan celebrarse en línea. Sin embargo, los decretos del estado de alarma permiten proceder a estas celebraciones en línea sin tener que modificar los estatutos (Art. 40 Real Decreto-ley 8/2020 de 17 de marzo) durante la vigencia del estado de alarma.
Dado el impacto del Covid-19 en la puesta en marcha del teletrabajo, es posible que esta habilitación legal se extienda para acompañar las medidas que ya han implementado numerosas empresas y despachos.
Gestionando digitalmente datos estratégicos
Auditorías de sistemas de información y aplicaciones
En términos generales, para gestionar los riesgos de la información confidencial en una empresa, el primer paso es hacer una auditoría de roles, responsabilidades, procesos y tipo de información y herramientas que se utilizan, preferentemente a cargo de externos para evitar roces.
Este procedimiento permite encontrar “huecos” que no son tenidos en cuenta, por ejemplo, porque se mantienen prácticas en desuso, por sustituciones que se han convertido en permanentes, por delegaciones no autorizadas.
El mejor formato es el de una conversación o entrevista a partir de un mapa inicial provisto por el responsable de RRHH en el que la persona explica cuáles son sus responsabilidades y que información gestiona. En el caso de delegación de responsabilidades, se contrasta contra la descripción original que brinde el responsable principal.
Luego, el análisis de los procesos y el tipo de herramientas permiten determinar cómo es el flujo de información y cómo y dónde circula dentro y fuera de la compañía.
Cuando no se realicen estas auditorías de roles, procesos, responsabilidades e información, se debe, por lo menos, y en el caso de que el caso concreto de Consejeros, Directores, Departamento Jurídicos y cualquier otro rol o departamento que gestione información crítica, analizar que herramientas se utilizan y si estas herramientas cumplen o no estándares mínimos de seguridad de la información, puesto que por su rol se puede presuponer que toda la información que gestionan es confidencial y requiere un nivel de protección adicional.
Clasificación de la información
La clasificación de la información es esencial y el primer paso para aplicar los protocolos de protección. De esta manera quien la gestiona está en control.
Por ejemplo, contando con un centro de documentación en una herramienta especializada, se puede definir que sólo una persona puede acceder a este recurso, “invisibilizándolo”. Un caso típico es el caso de los salarios. De esta manera, al ignorar su existencia, el riesgo se minimiza considerablemente.
¿Cómo se clasifica la información?
- Primero se realiza un inventario
- Aplicación de criterios de clasificación teniendo en cuenta el impacto que podría tener su pérdida o robo:
- Confidencial: Toda información de relevancia para el futuro de la empresa.
- Restringido: Accesible únicamente para cierto personal y sin el cual no pueden cumplimentar su trabajo.
- Uso interno: Accesible únicamente para el personal interno de la empresa exclusivamente.
- Público: Información de dominio público.
Una vez clasificados, se debe nombrar el archivo con la etiqueta y/o utilizar marcas de agua.
La información de I+D, desarrollos tecnológicos, estrategias de expansión, propiedad intelectual, informes financieros, operaciones de M&A u todas las que requieran due diligence, así como cualquier otra información crítica o secretos empresariales, deben ser clasificados como información confidencial.
Control de Acceso
El control de acceso a la información va más allá de asignar un usuario y una contraseña, sino que implica que la información crítica, por ejemplo, los secretos empresariales, se gestionen utilizando herramientas separadas en lugar de almacenarse en directorios comunes, drives, o utilizando herramientas de uso masivo como las que forman parte de las suites de ofimática.
En primer lugar, segregar la información reduce los riesgos.
Luego, se debe verificar que la herramienta cumpla con requerimientos básicos de seguridad, protección y control de acceso de la información:
- Certificación ISO 27001
- Cumplimiento de RGPD
- Desarrollo “Security by design”
- Uso de contraseña “fuerte”
- Autenticación de doble factor
- Autenticación biométrica cuando esté disponible
- Acceso a la herramienta únicamente por invitación y limitado
- Usuarios con distintos niveles de permisos: un usuario gestiona la documentación y otorga los permisos y los otros acceden.
- Gestión de permisos a los directorios y a la documentación por niveles
- Marca de agua automática, que tiene además un efecto disuasor
- Seguimiento de accesos a la documentación
Para explicar la necesidad de la segregación y el control de acceso se puede utilizar la siguiente analogía: si considera impensable dejar un título de propiedad, fideicomiso, o para los que han trabajado en la época de las chequeras, una chequera en blanco, sobre su escritorio, sino que la resguardaría en una bóveda, de la misma manera debe proteger la información confidencial en la era digital.
La gestión con permisos a la herramienta también se explica de la misma manera: una o dos personas son las que tienen en su poder la llave de la bóveda, esta persona es quien gestionará la información y otorgará los permisos, por ejemplo, un secretario corporativo. Los consejeros reciben permisos para acceder a la información, de manera segura.
El área técnica debe verificar también que los centros de datos cumplan normativas de protección de datos, estén duplicados y separados, tengan vigilancia física, protección anti-incendio y anti-innundación.
Cifrado de la información transmitida por medios digitales
La información debe ser cifrada tanto cuando se encuentra en tránsito (data in transit) como cuando se encuentra almacenada (data at rest). El algoritmo de cifrado AES-256 es un estándar de cifrado de nivel militar que utilizan numerosas agencias de seguridad.
Luego las claves deben almacenarse en un HSM (Hardware Security Module) y se debe contar con la posibilidad de utilizar clave propia (BYOK).
Definición de sistemas de medidas de compliance, incluyendo la revisión periódica de su cumplimiento o no cumplimiento.
Las políticas de cumplimiento forman parte de las prácticas de buen gobierno, y como tales deben ser conocidas por todos aquellos que tienen un cargo de alta responsabilidad, como es el caso de los integrantes de Órganos de Gobierno y Supervisíón. No solo para mantenerlos informados y al día sobre las mejoras que se ponen en marcha, sino que es una obligación legal. No pueden cumplir normas que desconocen.
Estas políticas se instrumentan en Códigos de Conducta o de Ética. Es recomendable que las herramientas de gestión de información confidencial incluyan la lectura y aceptación de este Código de Ética al iniciar la sesión por primera vez. De esta forma se puede demostrar que ha sido notificado. Asimismo, pueden comunicarse otras notificaciones oficiales y confidenciales, mediante un sistema de anuncios internos dentro de la herramienta al que solo los Consejeros o Directores pueden acceder.
El cumplimiento de las normas de Protección de Datos
Las empresas y organismos europeos están obligados a cumplir con el RGPD.
Con la sanción de la ley Cloud en Estados Unidos, se aprobó el acuerdo Privacy Shield para armonizar los niveles de protección de datos. En general, la protección está contenida en SCC. Estas cláusulas se han puesto en duda en el caso Schrems II porque se considera que no protegen adecuadamente a los datos europeos de la transmisión fuera de la UE.
Es prudente dar seguimiento a este caso para evitar un limbo jurídico. Es por este motivo que diversas empresas han actuado pragmáticamente y optado por utilizar proveedores europeos.
CONCLUSIONES
En el momento de definir cómo gestionar los secretos empresariales y la información confidencial se deben tener en cuenta los siguientes puntos:
✓ Facilidad de uso: pues los usuarios típicos son Consejeros y Directores con muy poco tiempo
✓ Especialización: para una mayor eficiencia
✓ Flexibilidad: la modalidad SaaS ofrece el acceso desde cualquier lugar, crucial en un contexto de teletrabajo post-Covid
✓ Clasificación de información: para garantizar la protección e integridad
✓ Control de accesos: mediante permisos por usuario, por directorios y por documentos
✓ Seguridad: crítico para la protección de información confidencial y se puede comprobar verificando que la herramienta
- Esté certificada en ISO 27001,
- Esté desarrollada según los principios de Security by Design,
- Ofrezca Autenticación de Doble Factor
- Utilice algoritmo de cifrado AES 256,
- Almacene claves en HSM y ofrezca BYOK para gestión propia
- Sea auditada tanto interna como externamente
- Cumpla GDPR y normas europeas de protección de datos
Valeria Otero – Adherido de ASCOM
Especialista en digitalización segura
DiliTrust Ibérica
Un agradecimiento especial a Alain Casanovas, Abogado, miembro de la Junta Directiva de la Asociación Española de Compliance (ASCOM), y Profesor de Posgrados en Compliance en distintas instituciones.