Las violaciones de datos están en todas las noticias, pero esas historias generalmente cubren violaciones de la ciberseguridad de alto perfil que resultan de los esfuerzos maliciosos de los piratas informáticos o de otros forasteros. Igual de insidioso, y con más probabilidades de ocurrir, son violaciones internas en la forma de robo o divulgación de información confidencial de la compañía por un empleado actual o que recientemente se fue de la compañía.
El robo de información de la compañía por el empleado puede estar motivado por un deseo de monetizar dicha información, avergonzar o tomar represalias contra el empleador, o por simple ignorancia. Por ejemplo, un empleado del seguro médico Tufts recientemente se declaró culpable de robo de datos después de robar información de más de 8,000 clientes de Tufts en un intento de cobrar beneficios fraudulentos del Seguro Social y devoluciones de impuestos. En otro caso reciente, un empleado descontento del Morrison, una cadena grande de supermercados en el Reino Unido, robo información de la planilla de miles de empleados de la compañía y publicada en línea como un “comprador preocupado de Morrison,” adicionalmente a enviar copias por correo electrónico a los periódicos locales. Finalmente, en uno de los casos recientes de robo de datos por empleados más grande, un asesor financiero del Morgan Stanley aparentemente obtuvo información de 350,000 clientes del Morgan Stanley al ejecutar reportes internos sobre información a la cual no tenía autorización para acceder. Posteriormente, una parte de dicha información fue cargada en línea, posiblemente por un tercero, y ofrecida en venta.
Sin embargo, un sorprendente gran número de robos de empleados, resultan de la simple ignorancia. En una reciente encuesta del Ponemon Institute, más de la mitad de los más de 3,000 encuestados declararon que el uso de información competente de un empleador previo no era un acto criminal, con el razonamiento de que la propiedad de dicha información reside en su creador y no en el ex empleador. Los encuestados, justificaron la transferencia de información corporativa a sus computadoras, tabletas, teléfonos inteligentes personales o a “la nube” debido a la creencia que no perjudicaba a la compañía, porque la compañía no aplico sus políticas, porque la información no estaba asegurada o está generalmente disponible, o debido a que dicho empleado no recibiría ningún beneficio económico por hacerlo. Lo peor, en esta misma encuesta, fue que más de la mitad de los empleados encuestados admitieron llevarse información de un empleador previo y 40% de dichos empleados admitieron intentar usarla en su nuevo trabajo.
Estas preocupantes estadísticas provocaron la siguiente pregunta: ¿Qué pueden hacer los empleadores para prevenir estas pérdidas? Mientras que no existe una medida absolutamente preventiva, se pueden implementar pasos para reducir enormemente el riesgo de dichos robos y detectar cualquier robo por empleados en progreso.
1. Implemente Políticas y Acuerdos Proactivos
Límite el acceso a información confidencial a solamente aquellos empleados cuyas posiciones de trabajo requieren dicho acceso. Esto podría incluir, información de clientes, empleados o proveedores, en adición a cualquier otra información generalmente propietaria, tal como, modelos financieros, formulas, etc. El acceso a la red de la compañía deberá ser descontinuado inmediatamente al despido del empleado o recepción de notificación de intención de renuncia. Asimismo, el empleador deberá solicitar que las computadoras y otros dispositivos de la compañía sean devueltos inmediatamente en ese momento. Un beneficio adicional de limitar el acceso a la información corporativa es que hace que la información sea considerada un secreto comercial protegible dentro de la Ley Uniforme de Secretos Comerciales, que define un “secreto comercial” como información que ha sido “sujeto de esfuerzos que se encuentran de forma razonable dentro de las circunstancias para mantener su confidencialidad.”
Coloque las políticas de seguridad de datos de la compañía por escrito.
Por ejemplo, el manual del empleado/acuerdos deben requerir a los empleados acceder y guardar la información de la compañía solamente en dispositivos de propiedad de la compañía y deberá incluir una declaración que la autorización para acceder a la red de la compañía del empleado termina automáticamente cuando el empleo finaliza o cuando dicho empleado ha notificado su intención de renuncia.
Implemente convenios restrictivos apropiados.
Estos podrían ir más allá de las cláusulas usuales de no competencia, no captación, o no divulgación para incluir provisiones de dispensa de la notificación de despido, provisiones de notificación, o cláusulas de pérdidas. Sin embargo, es importante observar antes de usar estas provisiones, que la vigencia de cada una varia significativamente de acuerdo al estado. Se deberá obtener asesoría legal antes de ser puestas en vigencia.
Implemente medidas de detección.
En la medida de lo posible, utilice su departamento de sistemas para implementar medidas de detección tales como software de prevención de pérdida de datos (el cual limita la habilidad del usuario final para transferir cierta información /o notifica al empleador cuando un intento de hacerlo ocurre) o para monitorear la actividad en línea en los últimos 30 días de empleo de los empleados que han renunciado. Los estudios muestran que el 70 por ciento del robo de propiedad intelectual ocurre dentro de los 30 días del anuncio de renuncia de un empleado. Dejando a un lado los medios electrónicos de detección, muchas violaciones de datos son descubiertos por los consejos de otros empleados , que son más propensos a ser inminente si pueden hacerse de forma anónima . Considerar el establecimiento de una línea telefónica que los empleados pueden utilizar para reportar la mala conducta. Asimismo, este alerta de otras banderas rojas que podrían surgir con relación a empleados que han renunciado, por ejemplo, declaraciones con relación al deseo o habilidad del empleado de perjudicar a la empresa, acceso del empleado a archivos no usados comúnmente por ese empleado, o tráfico de medios sociales que indican las intenciones del empleado llevarse información corporativa a un competidor o usarla como base para una nueva compañía.
2. Eduque a los Empleados con Relación a las Políticas de Seguridad de Información de la Compañía
La compañía debe ser clara con los empleados con relación a la titularidad de la propiedad intelectual, uso apropiado de la información de la compañía, y disposición de la compañía de ejecutar sus derechos en caso de ser necesario. Los empleados deberán ser informados de las políticas de seguridad de datos de la compañía al momento de su contratación. Esto deberá incluir, no estar limitado a, una discusión de estas políticas en la entrevista, proporcionarle al empleado copias de todas dichas políticas, ejecución de convenios restrictivos, y un requerimiento de que el empleado proporcione a la compañía copias de convenios restrictivos de los cuales han participado con empleadores previos. Se les deberá recordar periódicamente a los empleados a lo largo del plazo de su empleo de las políticas de seguridad de información de la compañía, que puede ser tan simple como un correo electrónico recordatoria del departamento de sistemas o de la gerencia. Y, finalmente, se les deberá recordar nuevamente a los empleados al finalizar el empleo. Esto deberá ser realizado en la entrevista de salida, por medio de una carta de seguimiento, y proporcionando una copia adicional de cualquier convenio restrictivo y políticas de datos.
En el Estudio Global de Fraude del 2012, realizado por la Asociación de Examinadores Certificados de Fraude, las investigaciones encontraron que la gerencia falla al establecer el tono ético correcto— por ejemplo, que la compañía espera un comportamiento ético y trata su propiedad intelectual y otros datos propietarios de forma seria y con el cuidado apropiado—estuvo dentro de los factores primarios citados como la causa para el robo de información por parte de los empleados resultando en una pérdida de $1,000,000 o más. Como era de esperar, una falta de control interno fue, por lejos, el factor más grande que contribuyo a dichos robos con relación al tamaño.
3. Políticas y Acuerdos Vigentes
Dependiendo de la ley aplicable del estado, una variedad de reclamos civiles podrían estar disponibles en los casos de robo de datos por un ex empleado. Estos podrían incluir, pero no estar limitados a, incumplimiento del contrato, sustracción de secretos comerciales, violación de la Ley de Abuso y Fraude Informático, conversión, interferencia agraviosa con el contrato o las oportunidades de negocio, o dependiendo de las funciones del ex empleado, incumplimiento de la responsabilidad fiduciaria.
Las penalidades criminales tambien podrían ser aplicables pero están fuera del alcance de este artículo.
Mientras muchas compañías han empleado recursos sustanciales para protegerse contra amenazas externas, tales como piratas informáticos, gusanos o virus, el riesgo de una amenaza interna frecuentemente pasa desapercibida. Sin embargo, l gran mayoría de fugas de información es causada por empleados internos de la compañía. Para direccionar y prevenir de la mejor manera la pérdida de información, las compañías deberán primero reconocer y solucionar este problema desde en su origen.