Espionaje por accidente

Ignacio Chico, Director General de Iron Mountain España

Publicado el 18 Oct 2012

Redacción

El espionaje corporativo es un término que evoca un mundo de dispositivos electrónicos de avanzada tecnología, agentes secretos en gabardina y bandas organizadas criminales. Un mundo completamente alejado de la vida diaria en una oficina. ¿O no? En su definición más simple el espionaje corporativo o industrial se refiere a la sustracción no ética o ilegal de información de una empresa. Las compañías, hoy en día, están inmersas en una permanente guerra contra intentos malintencionados de acceso a su información. Así, invierten mucho en tecnologías de la información para proteger sus activos, construyendo verdaderas fortalezas digitales para sus datos.

En 2011, por ejemplo, gobiernos, industria y usuarios particulares de equipos informáticos invirtieron alrededor de 83.000 millones de euros para evitar la amenaza externa. Una cifra que se espera se doble en cinco años. Sin embargo, según la definición, el espionaje corporativo cubre una amplia gama de actividad, no solo la que es claramente criminal o malintencionada. Hay muchos tipos de información y muchas maneras de obtenerlas. Dado que la responsabilidad de la gestión de la información recae a menudo sobre los departamentos de TI, es normal que el dinero y la atención se dirijan a proteger los sistemas informáticos. Consecuentemente, las empresas ignoran a menudo el riesgo al que están expuestos su documentos en papel y pierden la visión completa de la seria amenaza que representan sus empleados, muchas veces sin mala intención.

Un reciente estudio de Iron Mountain reveló que los trabajadores se forman muchas veces su propia opinión sobre lo que pueden o no hacer con la información confidencial de la empresa. En ausencia de una política bien comunicada internamente, los empleados desarrollan sus propias reglas para decidir qué es lo permitido. Los resultados de la encuesta en cuanto a la información sobre competidores fueron especialmente interesantes.

Tradicionalmente, hablando de la función que el personal con acceso a información privilegiada puede tener en el espionaje corporativo, se habla de aquellos empleados que sacan datos de la empresa, y no tanto de aquellos que traen información consigo. Por ejemplo, Securelist ha confeccionado una lista de perfiles para ayudar a las empresas a reconocer y entender cuáles son los grupos de riesgo. Esta lista incluye: “el descuidado”, el más común, definido como un empleado no gestor que filtra información sin querer; “el ingenuo”, vulnerable a “estudios de mercado” poco honestos o a otras actividades delicadas y confidenciales; y finalmente aquellos que filtran información con mala intención, entre los que se encuentran el “saboteador”, a menudo un empleado descontento que se siente ninguneado, y el “empleado desleal”, generalmente alguien que está a punto de dejar la compañía.

Es fundamental que las políticas de gestión de información corporativa tengan en cuenta a todos estos grupos de riesgo, pero ¿qué pasa con los empleados que llegan a la empresa trayendo consigo información confidencial de fuera? El estudio de Iron Mountain dice que a más de la mitad – un 53% – de los encuestados (un 30.3% en España) no les importaría compartir esa información con su actual empresa.

Las respuestas recibidas sugieren que muchas de estas personas se sorprenderían si les acusaran por comportamiento deshonroso. Más aún, muchas de ellas trasladarían la responsabilidad a su anterior empresa por haber dejado información confidencial al alcance de cualquiera. La encuesta de Iron Mountain consultó a empleados de cuatro países europeos sobre qué harían si tuvieran la oportunidad de acceder a información confidencial de una compañía de la competencia.

Nuestro estudio desveló algunas variaciones nacionales. Más de dos tercios – el 69% – de los empleados franceses, por ejemplo, valorarían la oportunidad de acceder a información confidencial, comparados con un 57% de empleados en España, un 50% en el Reino Unido y solo un 33% en Alemania. Los empleados alemanes también fueron los más reticentes a la hora de compartir su descubrimiento: menos de un tercio (32%) lo compartirían, frente al 51% en el Reino Unido, el 61% en Francia y el 63% en España.

Comparando estos datos con otros resultados del estudio, empieza a surgir un interesante patrón de comportamiento. Los resultados sugieren una correlación directa entre el comportamiento del empleado y la existencia y comunicación de unas normas corporativas. Por ejemplo, los encuestados alemanes eran, de lejos, los que afirmaban de forma más categórica que siempre sabían cuándo una información era confidencial (un 67% de los empleados, comparados con el 56% en el Reino Unido y en España y solo un 49% en Francia), y un abrumador 80% dijo conocer la existencia de normas corporativas sobre qué información se podía sacar y cuál no de la oficina, frente a un lejano 66% en el Reino Unido y solo algo más de la mitad en Francia y España (57 y 56% respectivamente).

Hay aquí un mensaje importante: las medidas puestas en marcha para proteger información confidencial y evitar que salga de la compañía, también parecen ser útiles para fomentar un código de conducta que los empleados apliquen de igual manera a los datos que pertenecen a otras empresas.

La línea entre comportamiento ético y no ético es y será difusa. La curiosidad es una cualidad innata al ser humano que en su mejor vertiente se convierte en creatividad y motivación. La fascinación por secretos de la competencia puede ser signo de lo que puede ser la lealtad del empleado hacia su propia empresa y del interés en su sector. Puede ser difícil evitar echar un vistazo a las diapositivas que alguien de la competencia está revisando en el tren; o ignorar una conversación entre empleados de una empresa rival mientras están haciendo cola a nuestro lado para tomar un café en una conferencia. Pero la mayoría de nosotros no traspasaríamos el límite de entrar deliberadamente en las oficinas de una empresa para robar o copiar información. Entre estos dos extremos hay una amplia zona gris en la que las personas se mueven según su código moral propio. Unas buenas normas para la gestión de la información parecen ayudar a los empleados a definir este código.

En otras palabras, las normas más efectivas para una gestión de la información no son aquellas que solo protegen la información físicamente, controlando su almacenamiento, distribución, acceso, seguridad y destrucción. Ni aquellas que educan mejor a los empleados sobre qué tipo de información es fácil revelar inadvertidamente. Son aquellas que animan a los empleados a sentir respeto, a sentir como propia y a sentirse responsables de la información de su empresa.

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

Redacción

Temas

Canales

Artículos relacionados

  • NOTICIAS

    Silvia López Sánchez-Polaina, nueva directora comercial de Global Technology

    30 Ene 2024

    por Redacción Computing

    Compartir

  • ENTREVISTAS

    José Antonio Rocha: "Entelgy conserva su espíritu de startup tras dos décadas de operación en el mercado"

    25 Abr 2024

    por Rufino Contreras

    Compartir

  • informes

    Más del 66% de empresas españolas han invertido en inteligencia artificial

    22 Sep 2023

    por Redacción Computing

    Compartir

  • NOTICIAS

    Alianza de SentinelOne y Netskope para proteger la fuerza de trabajo moderna

    24 Ago 2023

    por Redacción Computing

    Compartir

Siguiente

Silvia López Sánchez-Polaina, nueva directora comercial de Global Technology

Artículo 1 de 5