El reporte de Symantec, State of Enterprise Security 2010, dejó en claro que la seguridad de la información empresarial muestra dos caras. Por un lado el aumento en la frecuencia y eficacia de los ataques, fundamentalmente los ataques informáticos, que generan cuantiosas pérdidas económicas afectando, adicionalmente, la productividad de las compañías, la confianza de los clientes y la reputación e imagen de la empresa en el mercado. El estudio destaca que el 75% de las empresas encuestadas manifestaron haber sufrido algún tipo de ataque informático en los 12 meses anteriores a la encuesta, cifra que alcanza el 49% cuando se analiza la región latinoamericana.

Por otro lado, la adopción de medidas de seguridad apropiadas se torna cada vez más dificultosa, lo cual se traduce en un aumento considerable de los costos en recursos humanos y tecnológicos para las empresas que pretenden contar con estándares de seguridad adecuados a la calidad de sus servicios y de su cartera de clientes.

A la hora de analizar las mejores prácticas que una empresa puede implementar para hacer frente a los ciberataques, ante todo hay que tener en cuenta que éstos pueden afectarla en múltiples aspectos. Por caso, puede suceder que un dependiente dañe intencionalmente archivos de la empresa o, por el contrario, descargue un virus por descuido o desconocimiento, o se inmiscuya en los correos electrónicos de compañeros de trabajo sin la debida autorización.

Asimismo, el riesgo puede provenir de terceros con quienes la empresa mantiene algún tipo de relación comercial (proveedores, partners o clientes) o de terceros totalmente ajenos a ella. En consecuencia, lo primero que una empresa debe saber es que las medidas a adoptar tienen que contemplar todos esos aspectos y deben ser analizadas como un todo integral. Adoptar medidas de un solo tipo o implementarlas aisladamente sirve de poco.

En este sentido cabe destacar que lo legal, lo tecnológico y lo organizacional constituyen los pilares sobre los que debe asentarse toda política empresarial tendiente a prevenir o enfrentar adecuadamente los riesgos asociados a los ciberdelitos. Dentro de lo legal encontramos, por ejemplo, los convenios de confidencialidad que pueden firmarse tanto con los empleados como con terceros con quienes la empresa mantiene relaciones comerciales o contractuales.

En el caso particular de los convenios con empleados tienen plena validez legal siempre que no violen las disposiciones de orden público laboral ni conculquen los derechos reconocidos a los dependientes por la normativa laboral. Del juego armónico de las leyes de Contrato de Trabajo y de Información Confidencial surge claramente que el trabajador tiene el deber de guardar la debida confidencialidad respecto de la información a la que acceda, evitando usarla o revelarla sin autorización de su empleador, y que éste tiene el derecho de adoptar medidas razonables destinadas a proteger sus secretos comerciales, entre ellas, la firma de convenios de confidencialidad y no competencia.

Otro punto interesante refiere a la manera en que la empresa debiera actuar en los casos en que es víctima de un delito informático a fin de que las actuaciones llevadas a cabo tengan validez legal ante una eventual denuncia y posterior juicio penal. No hay que olvidar que todo elemento de prueba recogido ilegalmente queda viciado y, adicionalmente, corrompe a todas las pruebas que derivan de ahí. Por ende, cuando se es víctima de un delito informático la pauta de actuación general es procurar recolectar todas las pruebas posibles sin afectar derechos de terceros ni cometer otro delito para poder acreditar aquel del que se es víctima.

Por ejemplo, si la empresa quiere acreditar que un empleado infiel ha enviado información confidencial a un competidor puede monitorear el correo electrónico corporativo conforme a las pautas que haya establecido en su reglamento de uso de herramientas informáticas, pero no puede violar la intimidad del dependiente. Por caso, la empresa podría solicitarle al encargado de sistemas que seleccione todos los correos electrónicos que el empleado infiel haya enviado a o recibido de una empresa competidora y respecto de los cuales pesa la sospecha de infidelidad.

En definitiva, cuando se trata de prevenir o hacer frente a los delitos informáticos el primer paso consiste en tomar conciencia de que estos pueden afectar a una empresa de múltiples maneras y desde diferentes perspectivas y situaciones. Una vez en claro eso, se debe diseñar una política que contemple los aspectos técnicos (ej., herramientas tecnológicas como antivirus, firewalls, etc.), legales (ej. acuerdos de confidencialidad, reglamentos internos, etc.) y organizacionales (ej. determinar responsables internos, encargados de llevar a cabo los controles, etc.).  El tercer paso es aplicar cada una de las medidas correspondientes a lo determinado en los pasos anteriores.

Finalmente, es importante controlar periódicamente el grado de cumplimiento de las pautas establecidas e implementar y comunicar correctamente las modificaciones que sean convenientes.