Debido a la Pandemia generada por el virus COVID-19, distintos negocios y empresas se vieron en la necesidad de aplicar la modalidad Home office, a medida que la situación se ha desarrollado y estabilizando, los negocios planean reabrir sus centros de trabajo y oficinas, sin embargo, se espera que muchos empleados continúen sus labores de forma remota como precaución de salud o simplemente porque ahora es posible continuar de esta forma.
La planificación para el regreso a las oficias es el momento indicado para las empresas de identificar cualquier debilidad en sus políticas internas referentes a la protección de los secretos comerciales y a sus prácticas referentes a la recopilación de datos personales sensibles, comparando la realidad del trabajo desde el hogar y las distintas modalidades a las que nos hemos tenido que adaptar derivado de la situación actual.
El concepto de datos personales abarca la información en cualquier modo, sea alfabética, numérica, gráfica, fotográfica o sonora, por citar algunas, y puede estar contenida en cualquier soporte como en papel o en la memoria de un equipo informático o electrónico, e incluyen toda aquella información que se relaciona con una persona en específico, la identifica o le otorga identidad.
En ocasiones es necesario que las personas proporcionen sus datos personales a terceros para realizar algún trámite, comprar algún producto o contratar un servicio. Ya era común debido a la “era digital” el uso de distintos medios de comunicación electrónicos, sin embargo, el fenómeno actual ha obligado a las empresas a implementar nuevas adaptaciones tecnológicas para continuar con sus actividades, resultando en un incremento exponencial en el uso los dispositivos electrónicos y derivados.
En consecuencia de lo anterior, ahora las empresas deben buscar la mejor forma de proteger la acumulación masiva de datos personales o sensibles en sus distintos aparatos, dispositivos y demás materiales electrónicos en donde se almacene dicha información en virtud de que es bien conocido que los cibercriminales llevan tiempo enfocando su actividad maliciosa al robo de datos en empresas de todos los tamaños y con el tiempo, han mejorado estrategias de ciberespionaje para rastrear y recoger datos valiosos en ataques dirigidos, por lo que salvaguardar la privacidad de clientes y cumplir con la normativa de protección de datos sensibles es un reto que viven tanto las pequeñas, medianas y grandes empresas.
Lo anterior muestra que es necesario tomar medidas proactivas para proteger los datos y minimizar en todo momento la probabilidad de incumplimiento de normativas, por lo que aquí te mencionamos algunas medidas individuales para mejorar la seguridad informática:
- Proteger datos confidenciales tanto de clientes como de tus empleados. Especialmente datos personales como números de seguridad social o datos de información financiera como tarjetas de crédito.
- Restringir el acceso de los empleados a los datos sensibles de tus clientes con bloqueos a tus redes, especialmente en equipos que se encuentren en espacios públicos o libre acceso para todos los empleados.
- Destruir datos de clientes cuando no sean necesarios o que por ley su conservación no sea exigible, contenido en medios físicos y también virtuales como ordenadores, unidades de almacenamiento e incluso en almacenamientos virtuales.
- Crear políticas internas de privacidad y capacitar al personal sobre las disposiciones.
- Emplear usuarios y contraseñas que tus empleados manejen de manera individual. E instruir a tus empleados realizar cambios al menos cada tres meses para evitar accesos no autorizados a sus equipos, así como tener respaldos seguros de dichas contraseñas.
- Realizar auditorías internas de seguridad.
- Utilizar cifrado de datos para proteger la privacidad y seguridad de los equipos, especialmente en unidades de almacenamiento móviles, todos los equipos portátiles, dispositivos móviles de la empresa y unidades de copias de seguridad.
- Asegurar el acceso remoto a la red empresarial con redes privadas virtuales debidamente habilitadas y con autenticación múltiple.
- Actualizar sistemas y software de forma regular, en especial suites de seguridad con antivirus y cortafuegos, y software para resolver vulnerabilidades en sistemas operativos y aplicaciones que se utilicen internamente.
- A medida de lo posible, no recabar datos personales sensibles y pedir a tus clientes/proveedores que no te los proporcionen si no son necesarios para la prestación del servicio o la venta del producto.
- Designar a un responsable encargado de la aplicación de políticas internas de protección de datos.
- Celebrar documentos de responsabilidad respecto a la protección de datos personales con terceros a quien se haga la transferencia de datos.
- Contar con avisos de privacidad para empleados y terceros como proveedores y clientes especificando los datos personales a recabar y las finalidades de los mismos.
Ahora bien, referente a las prácticas internas de una empresa, es esencial que los mismos negocios recopilen información de las experiencias recientes de cada uno de sus empleados para poder identificar los accesos directos de seguridad y vulnerabilidades donde se pueda estar poniendo en riesgo sus secretos comerciales y, utilizar este tiempo para corregirlos.
Se dice bien que cada dificultad presenta nuevas oportunidades de crecimiento, para el caso de los negocios y empresas hablando de estrategias para revisar y mejorar la protección de sus secretos comerciales, esta crisis no debiera ser la excepción.
Algunas consideraciones para mantener la seguridad de los secretos comerciales podrían ser los siguientes:
- Desarrollar una lista de los empleados para realizar encuestas en donde se pueda verificar información que se puede utilizar para actualizar y fortalecer sus políticas escritas con respecto a las protecciones de secretos comerciales que se implementarán cuando los empleados trabajen de forma remota.
- Determinar si se realizaron impresiones o descargas electrónicas de cualquier secreto comercial o materiales confidenciales durante sus actividades en sus hogares y, en su caso, requerir a cada empleado la confirmación que dicho material o documento que contenga secretos comerciales ha sido tratado como dato confidencial y se ha devuelto a las oficinas.
- Determinar si los empleados utilizaron sesiones personales o accesos directos de seguridad con la intención de hacer más sencillo su trabajo de forma remota.
- Realizar listados de los dispositivos que se utilizaron durante sus actividades realizadas desde casa para determinar si se utilizaron solamente computadoras portátiles, teléfonos inteligentes o unidades de almacenamiento portátiles proveídas por el empleador, o si también se hizo uso de dispositivos personales, así como determinar si en algún caso dichos dispositivos se compartieron con otros miembros de la familia.
- Realizar inventarios de las nuevas prácticas de los equipos de tecnologías de la información de la empresa que se hayan puesto en marcha durante la crisis para de permitir el acceso remoto a la información secreta comercial.
- Identificar las áreas de oportunidad y las medidas que se pueden tomar para reforzar la seguridad para el acceso a la información confidencial tanto interna como externamente.
- Actualizar las políticas internas de la empresa respecto de actividades y trabajos desde casa, incluyendo las políticas que detallen el manejo adecuado de toda la información comercial secreta y confidencial.
- Realizar reuniones para recordar la obligación a cada uno de los empleados de cumplir con las políticas de la empresa que rigen el manejo adecuado de la información confidencial comercial, incluso cuando realicen actividades desde sus hogares.
- Entre estas obligaciones establecer que los empleados deben mantener documentos y demás materiales secretos o confidenciales en un lugar seguro (tanto física como electrónicamente) y, garantizar que las conversaciones confidenciales no puedan ser escuchadas, incluso por miembros de su familia.
- Además, establecer que cualquier divulgación de secretos comerciales, aunque sean involuntarios, podrían considerarse violaciones a las políticas internas de la empresa y de sus prácticas corporativas.
- Documentar todas las medidas que se hayan adoptado dentro de la empresa con la finalidad de garantizar la protección continua de la información sobre secretos comerciales. Crear los registros necesarios para establecer que la empresa continua constantemente tomando medidas razonables para mantener el secreto y la confidencialidad de su información.
- Revisión y actualización de los expedientes de los empleados, revisando que cada uno cuente con un Convenio de Confidencialidad firmado.
Es importante recordar que para mantener los derechos legales sobre un secreto comercial el propietario del mismo debe realizar los esfuerzos razonables suficientes para mantenerlo en secreto. Derivado de que una situación como la que se vive actualmente es una circunstancia extraordinaria, las empresas deben ajustar sus políticas y prácticas individuales a la circunstancia única para evitar que la situación amerite encontrar la “excusa perfecta” para deslindarse de una posible violación de divulgación de información confidencial.
En el entendido de que cada negocio es único, no existe una solución única para la protección de los secretos comerciales así como la recopilación de datos sensibles, sin embargo, es indispensable considerar la implementación de medidas de protección que sean razonables a la luz de los recursos y operaciones de cada negocio y en su caso, realizar las adecuaciones convenientes para identificar y corregir las posibles vulnerabilidades que se tengan actualmente, una vez que la emergencia haya pasado.
Licenciada María Fernanda Ortega Posada
Gloria Ponce de León & Hernández