Un reciente estudio llevado a cabo por la empresa de gestión de la información Iron Mountain revela que el 20% de las empresas europeas consideran que el robo por parte de empleados es el mayor riesgo de seguridad informática al que se enfrentan. Este riesgo se percibe como mayor que los fallos informáticos o el cibercrimen.
Parece que esta preocupación no está del todo fuera de lugar. Un estudio publicado el mes pasado por la especialista en redes Verizon reveló que, mientras que solo un 17% de las brechas o fallos en los datos tenían que ver con personal interno, el impacto potencial de posibles robos por parte de empleados es mayor que la amenaza externa: hay tres veces más riesgo de robo de propiedad intelectual dentro de una empresa por parte de los propios empleados que por parte de personas ajenas a la empresa.
“Cuando se trata de gestión de la información, las personas son, casi siempre, el eslabón más débil en la cadena”, comenta Florian Kastl, director internacional de Seguridad y Continuidad en el Negocio de Iron Mountain. “La información es la columna vertebral de un negocio y es fundamental que las empresas tengan un sistema fuerte de control capaz de minimizar – e incluso prevenir – el riesgo de robo por parte de empleados y de proteger el resto de personal, el negocio y la reputación de la empresa”.
Florian Kastl recomienda implementar las siguientes prácticas para minimizar el riesgo de robo:
- Sepa lo que sabe: Identifique y priorice toda la información que posee su empresa: desde documentos legales hasta propiedad intelectual, datos financieros, planes de ventas y marketing, así como datos de clientes y empleados.
- Establezca procesos internos firmes para reducir el riesgo de robo, incluyendo controles rigurosos de la información más importante. Debería además incluir una auditoria que informe sobre cuándo, dónde y cómo entra el personal en contacto con la información de la empresa. Estos procesos contribuirán a identificar los puntos de potencial vulnerabilidad en los que el acceso debería ser restringido. Es necesario, asimismo, usar la tecnología apropiada para garantizar la custodia de la información dentro o fuera de las instalaciones de la empresa. Finalmente, hay que tener una política clara y pública frente a posibles actos de violación de la información empresarial.
- Asegúrese de que Recursos Humanos respalda la política de protección de la información empresarial. Procesos de selección sólidos y una estrategia formal de despidos contribuirán a minimizar los riesgos de robo. Está comprobado que los empleados que abandonan la compañía, especialmente si se están marchando a la competencia, suelen llevarse información consigo.
- Garantice que las políticas empresariales son suficientemente flexibles como para resistir cambios tales como procesos de adquisición o fusión y sólidas como para cumplir la cada vez más exigente normativa.
Según José María Alonso, Director Operativo de Zenit Detectives: “Ante los indicios de sospechas de mala conducta, lo que nunca debe hacer la compañía es pensar que la situación se solucionará por sí sola, ya que lo único que conseguirá es perjudicar a la empresa e incrementar su nivel de pérdidas de forma considerable”. Además, continúa Alonso: “El tiempo juega en contra de la empresa, así que cuando se tengan las primeras sospechas por parte de algunos de sus trabajadores, es necesario investigar. De esta forma, se consiguen reducir los perjuicios económicos del engaño”.
Los responsables de los Departamentos de RRHH y Seguridad – principales áreas afectadas – deben saber que en nuestro país, las únicas pruebas válidas son las presentadas por un detective privado con titulación. De esta forma, siempre se asegura que la investigación se desarrolle dentro de los parámetros de legalidad que establece el marco jurídico.
Situaciones habituales
Las situaciones más habituales de fraude empresarial por parte de sus trabajadores son muy diversas. La mayoría de los casos en los que los Directores de RRHH y Seguridad acuden a la experiencia de los detectives privados son absentismo laboral injustificado y reiterado, competencia desleal, robo de material o el abuso de horas sindicales realizadas por los enlaces sindicales, son las causas más habituales.
Los principales indicios suelen venir determinados por los antecedentes. Por ejemplo, las bajas por enfermedad inexistente – las bajas ficticias – suelen producirse en empleados que ya han mostrado con anterioridad un manifiesto descontento con la compañía. En los casos de competencia desleal se detecta una bajada de productividad repentina y muy acentuada.
