La mayoría de las empresas españolas no pueden prevenir fugas de información

El Estudio ‘Estrategias de control de la nuevas tecnologías en la empresa’, publicado por Ribas y Asociados y realizado por José Ramón Agustina, profesor de la Universidad Internacional de Catalunya (UIC), Ana Alós, abogado de URIA y Javier Sánchez Marquiegui, asesor jurídico de la empresa Colt Data Centre Services, tras realizar un análisis a empresas con al menos 500 empleados y una facturación mínima de 50 millones de euros al año, pone de manifiesto que el 67% de las mayores empresas españolas no dispone de mecanismos técnicos para prevenir fugas de información corporativa. Y ello a pesar de que un incidente de este tipo podría suponer un grave perjuicio para la reputación e incluso el valor bursátil de la compañía, especialmente en algunos sectores como el bancario o el de seguros.

Según el estudio, a pesar de que el 86,5% de las empresas dispone de unas normas de uso de los recursos TIC corporativos, sólo un 15,6% realiza un control continuado de su cumplimiento. En palabras de Xavier Ribas, fundador de Ribas y Asociados y experto en derecho digital, “en la práctica, la inmensa mayoría no emplean mecanismos de prevención ni sancionan debidamente las infracciones. Esta tolerancia equivale a una derogación de las normas y restringe su eficacia para limitar la responsabilidad de la empresa en caso de daños a terceros”.

Inexistencia de políticas de supervisión
Otro dato que sorprende es que casi la mitad de las empresas analizadas no supervisan el cumplimiento de sus políticas de usos de las nuevas tecnologías, y un 16% ni siquiera establecen políticas de supervisión de situaciones de especial riesgo como el control de trabajadores que han preavisado su marcha, a los que han ocurrido en conductas de riesgo anteriormente o a los que la empresa ha decidido despedir.

En este sentido, un 26% de las empresas encuestadas declara no disponer de mecanismos técnicos para evitar almacenar información corporativa en soportes extraíbles, como pen drive o CD, y un 35% no tiene ninguna política limitativa al respecto.

Más delitos informáticos
El estudio muestra también que en los últimos años y debido a la crisis económica, los delitos han aumentado en las empresas. No obstante, este aspecto no ha sido óbice para que éstas muestren una creciente tolerancia en el uso personal de los sistemas informáticos corporativos. De hecho, el 41% de las empresas permite un uso personal moderado, frente al 29% de 2002.

Aunque el estudio afirma que hoy el 98% de los empleados tiene acceso a Internet y al correo electrónico, también indica que la mayoría de empresas todavía desconoce los riesgos del uso de las TIC y no está preparada para aclarar y resolver un incidente que puede tener repercusiones directas en el rendimiento en la actividad laboral y en los beneficios empresariales.

“Todos los estudios indican que las pequeñas y medianas empresas tienen, a priori un mayor índice de conductas delictivas debido a la ausencia de controles y a una atmósfera de mayor anonimato”, resalta Ribas. En este sentido, según los datos del informe, el 74% de las empresas encuestadas considera que detecta, como mínimo, los casos más graves de incumplimiento y que los daños en ningún caso superan los 3.000 euros por incidente. Aunque los riesgos más graves asociados al mal uso de los recursos tecnológicos son la fuga de datos confidenciales tanto de la empresa como de posibles clientes.

En suma, el estudio revela una falta de mecanismos de la mayoría de empresas españolas para evitar incidentes. “A pesar de la iniciativa zero trust promovida por los expertos en seguridad, se hace necesario que estos sistemas se apliquen manteniendo un equilibrio entre el control y la generación del necesario clima de confianza dentro de la compañía”, afirma Xavier Ribas.

Tipo de infracciones
En cuanto al tipo de incumplimientos detectados por las empresas, el 90% se refiere al uso de medios profesionales para fines particulares, con la consiguiente reducción de la productividad que esto conlleva. Otros son las descargas ilegales (40,5%), los daños informáticos (38%) y el mal uso o revelación de información confidencial (36%).

Las reacciones más frecuentes de las empresas ante un incumplimiento son el advertimiento informal al trabajador (37%), seguido por la sanción disciplinaria (22%). Sólo un bajo porcentaje de las infracciones termina en despido (13%), y en muy contadas ocasiones en denuncia penal (3%).

El principal motivo de la no sanción es la falta de gravedad del incumplimiento (30%) y, en segundo lugar la falta de pruebas suficientes (29%), “un hecho que se podría evitar fácilmente con una buena estrategia de prevención y control de los riesgos más frecuentes en una empresa”, explica Xavier Ribas.

Según Ribas, las empresas no están aprovechando el margen legal que la reciente jurisprudencia del Tribunal Supremo les concede para controlar el uso de las nuevas tecnologías en la empresa. El experto a