Casi suena a lugar común expresar que la información (y dentro de ella, los datos personales) son el activo más importante en las empresas. Tal vez, nos mueva la cifra: más de 106.000 millones de euros representarán las transacciones con datos personales solo en Europa. Para Latinoamérica, las cosas son similares y, gradualmente, las empresas reconocen que los datos empiezan a ser el motor que mueve sus negocios. El rápido desplazamiento hacia la informatización, la adopción -en ocasiones descontrolada- de herramientas tecnológicas, la constante inseguridad de la información y la necesidad de protección de los secretos empresariales ponen sobre el tapete la necesidad de balancear el rol de la gerencia en cuanto al manejo de la información.
Cuando hablamos de secretos empresariales nos referimos a los mecanismos que, desde la propiedad intelectual, permiten a las empresas proteger sus ventajas competitivas. Si bien esta protección cuenta con un uso menos frecuente frente a las otras formas (como marcas, patentes o diseños), es igual de necesaria en el reinante mundo de los atacantes informáticos.
Es muy claro que, con noticias ampliamente comentadas y los -más efectivos- chismes de corrillos empresariales, el “ciberespionaje” empieza a calar en las retinas de los gerentes. Solo para recordar: piénsese en la importancia de Apple en que no se conozca información sobre el próximo iPhone o los infructuosos intentos de los grandes medios por evitar el filtrado de películas en la red previo a sus lanzamientos oficiales.
No obstante, y pese a la dificultad práctica de proteger los secretos empresariales vía acuerdos de confidencialidad, es palmaria la capacidad que hoy tienen los amigos de lo ajeno para robar información comercial valiosa y hacerlo con relativa facilidad. Solo por mencionarlo, el spear phishing[1] ha cobrado protagonismo en los informes sobre amenazas cibernéticas, lo cual es bastante preocupante.
Complejo panorama
Es así como tenemos los ingredientes que hacen bastante complejo el panorama de las organizaciones que, por un lado, sienten la presión de contar con herramientas tecnológicas volcadas sobre el negocio y, por la otra, la presión regulatoria: proteger la información y gestionar los riesgos a todo nivel. De esta forma, en la economía digital, estos tres elementos tienen absoluta relevancia: seguridad digital, protección de datos personales y corporativos y protección de secretos empresariales, así como su correcto balance, lo cual jugará como factor competitivo en las empresas de este siglo.
En cuanto a la privacidad de la información personal, Colombia ha tenido avances significativos, a pesar de contar con una de las leyes estatutarias más jóvenes en Latinoamérica (L. 1581/12). Y ya hay índices interesantes en cuanto a un marco general de protección de los datos. Así mismo, en Europa, se centran todas las miradas en el nuevo Reglamento General de Protección de Datos, que próximamente entrará en vigor (mayo del 2018). Tanto allá como acá debemos advertir -contrario a lo expresado por varios empresarios- que las normas sobre privacidad buscan que la explotación comercial de los datos de las personas se realice con altos grados de transparencia, lealtad y licitud. En verdad, estas reglas no deben enfrentarse con temor, porque ni restringen ni prohíben, más bien nos muestran en qué forma usamos los datos de manera apropiada.
De acuerdo con estos postulados, reconoceremos que uno de los mayores retos estará en concientizarnos al tiempo que sensibilizamos a todo el personal en la organización. Esta gran relevancia de los secretos empresariales en el mundo moderno no hace otra cosa que mostrarnos lo mal capacitados que están nuestros empleados frente al uso de la información. Es una constante que, lastimosamente, la mayor cantidad de las fugas de información se presenta, sin intención, por parte de los empleados de las empresas y ello, en parte, se debe a problemas sobre cultura organizacional.
Así, la gran oportunidad se decanta en hallar las justas proporciones en la expectativa de seguridad, los secretos empresariales y la protección de los datos, que ponen en una balanza los intereses de las organizaciones y que, a su vez, sirven de catalizadores para una correcta visión gerencial en la aceptación de riesgos de tipo operativo y la convivencia con factores externos. Como lo anota el profesor Jeimy Cano: “Un ciberataque no es exitoso por la materialización de la falla en contra de una infraestructura o una empresa, lo es, cuando es capaz de crear un ambiente de volatilidad que compromete la confianza de un colectivo humano, que siente que algo ocurre en un dominio no conocido y que termina afectando o deteriorando sus derechos, deberes, oportunidades y actuaciones”.[2]
[1] El spear phishing es una estafa de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas. Aunque su objetivo a menudo es robar datos para fines maliciosos, los cibercriminales también pueden tratar de instalar malware en la computadora de la víctima.
[2] Portafolio, mar. 8/18.