No sé ustedes, pero yo siempre he tenido la sensación de que, de todas las vertientes de la seguridad, la correspondiente a la seguridad organizativa es el patito feo.
La seguridad física ha tenido un peso importante desde siempre. Si en la época de los grandes mainframes tenías adecuadamente securizado tu CPD, tanto desde el punto de vista de los parámetros ambientales como desde el punto de vista del control de acceso físico, te podías ir a dormir tranquilo a casa (y aún así, cuando vas haciendo auditorías por esos mundos de Dios, te encuentras algunas “salas de servidores” que te dan ganas de ponerte a llorar…).
La apertura de los sistemas centralizados a Internet trajo consigo la preocupación por lo que nos podían hacer “desde fuera”. Ya no era necesario tener acceso físico a los servidores para poder poner en peligro la seguridad de nuestros sistemas y la de la información que alojaban; ahora cualquier sujeto en cualquier parte del mundo podía hacerte una visita con malas intenciones.
Y por último yo diría que en España la aparición de la LOPD a mi juicio la LORTAD no consiguió apenas que las empresas se sintieran afectadas salvo casos evidentes y la LSSICE fueron el detonante que hizo que las organizaciones se dieran cuenta de que, aunque su CPD fuera seguro y aunque se hubiese definido una adecuada seguridad perimetral, podían estar expuestos a otro tipo de amenazas de índole legal, que podían tener en ellas un impacto brutal, y no sólo económico, sino también de imagen o reputacional.
Pero, ¿y nuestro patito feo? Sigue triste y olvidada en un rinconcito. Porque, ¿para qué sirve eso de la seguridad organizativa?
Les voy a contar una historia. En uno de los incidentes de seguridad que hemos gestionado recientemente, un grupo de empleados de una empresa sustrajeron y utilizaron en beneficio propio diferentes informaciones de la empresa. Información de precios, de peticiones de ofertas, de clientes, etc. El artículo 279 del Código Penal castiga, en su tipo básico, la difusión, revelación o cesión de un secreto de empresa llevada a cabo por quien tuviere legal o contractualmente obligación de guardar reserva. Y, en su tipo privilegiado, a quien utilice el secreto en provecho propio.
Parece de libro, ¿no?
Por el Estatuto de los Trabajadores, cualquier trabajador tiene la obligación genérica de guardar reserva. Sin embargo, la jurisprudencia entiende que para que la revelación de secretos de empresa en el marco de una relación laboral sea delito debe haberse pactado contractualmente esa obligación, o bien haberse firmado un pacto de no concurrencia, cuya finalidad en este último caso es evitar el flujo de información confidencial que se produciría si el empleado pasase a trabajar en la competencia directa de la compañía. Por lo tanto, el pacto tiene mucho que ver con los conocimientos adquiridos en el puesto y la confidencialidad. Por este motivo, este tipo de acuerdo es habitual encontrarlo en contratos de altos directivos, pero no en los de empleados ordinarios.
Pues bien, la mayoría de los tribunales entienden que la responsabilidad penal únicamente abarca a quienes se les ha exigido expresamente ese deber de reserva y lealtad, por entender que la simple obligación genérica de guardar secreto que afecta a todos los trabajadores no se comprende en el tipo penal de descubrimiento de secreto de empresa. En la empresa que les cuento no se había definido ninguna política de clasificación de la información, no se había protegido adecuadamente la información corporativa, ni sus empleados habían firmado acuerdo alguno de confidencialidad o de obligación de secreto. Eran empleados que estaban en la empresa muchos años, gente que contaba con la confianza plena del gerente…
El problema es que estos ex-empleados han montado una empresa paralela a la que pertenecían. De hecho, la crearon cuando todavía trabajaban en la empresa a la que pertenecían. Quizás su actitud pueda ser ilícita desde el punto de vista de competencia desleal, pero no se podrá perseguir por la vía penal. Por la simple razón de no haberse firmado un acuerdo de confidencialidad.
¿Qué les parece?
Como en todo, las medidas se ponen tras los hechos y de forma reactiva, no preventiva, algún dia cambiará la tendencia. Espero.
Eso espero yo también Francisco :-)
jeje, me parece que las medidas organizativas son de cajón si se ha ojeado (por ejemplo) la serie ISO 27000, y que con ejemplos como estos se encuentra aplicación práctica y justificación a las mismas.
Buena entrada Fernando :)
Hola Fernando, buena observación, ir por lo penal es complicadillo . Se me ocurre que debería abordarse, además de la confidencialidad, desde el punto de vista de protección de la propiedad intelectual ampliando un poco lo que comentas.