La semana pasada introdujimos las principales novedades de la reforma del Código Penal en el marco del Derecho y las Nuevas Tecnologías. Fue un amplio artículo centrado en dos puntos: situación actual y nueva regulación a partir del 1 de julio de 2015, que introducía el factor clave de la exoneración de responsabilidades en las empresas a través de la creación de modelos de organización y gestión para la prevención de delitos.
En esta ocasión, analizaremos, ejemplos y casos concretos (y reales) de delitos e introduciremos algunas de las medidas o controles que forman parte del modelo de organización y gestión para su prevención.
En mayor o menor medida, todas las empresas corren el riesgo de que se cometan delitos de índole informática: empleados, apoderados, representantes legales, directores o presidentes tienen a su disposición medios o tecnologías informáticas con los que se pueden cometer estas faltas o infracciones.
Pero, ¿cometer un delito informático en la empresa es complejo?, ¿requiere conocimientos informáticos?, ¿es necesario tener permisos o rol de “administrador”? La respuesta es: No, en todos los casos. He aquí tres ejempos:
- “Eliminar, eludir o modificar, sin la autorización de los titulares de los derechos de propiedad intelectual, las medidas tecnológicas de copyright en software”. Efectivamente, https://gesprodat.com/hablamos/ de “software pirata” en las empresas. Y es que la Encuesta Global de Software realizada por IDC para BSA en 2014 puso de manifiesto la preocupación de los responsables de TI por el uso de software sin licencia en el entorno empresarial
- “Borrar, dañar, deteriorar, alterar o hacer inaccesible datos, programas o documentos informáticos”. En general, todos los empleados de una empresa tienen acceso a los datos. Cierto es que en diferentes niveles, pero desde borrar parte o la totalidad de los datos de clientes, proyectos o planes de negocio en un CRM (Customer Relationship Management) o ERP (Enterprise Resource Planning), hasta modificarlos para ocasionar confusión, pérdidas o errores, son acciones que en negocios como la banca, la sanidad o la investigación pueden ocasionar resultados nefastos
- “Descubrir secretos de empresa a través de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo”. Este tipo de delito es conocido por la mayoría de nosotros a través de casos difundidos por los medios de comunicación: ex altos cargos descontentos con acceso a información privilegiada que han revelado, o integrantes de la empresa que trataban de obtener beneficios o ventajas a través de hacer llegar informaciones confidenciales a terceros
¿Y cómo tratamos de prevenir estos delitos? Siguiendo la propuesta del Código Penal, hay que crear esos modelos de organización y gestión. ¿Por dónde empezamos?
- Identifiquemos, analicemos y midamos el riesgo de actividades potencialmente sujetas a la comisión de delitos informáticos (análisis de riesgos)
- Creemos un órgano de supervisión de delitos informáticos, con un objetivo claro y unos miembros comprometidos y activos con funciones y responsabilidades
- Diseñemos protocolos encaminados a prevenir esas actividades del punto 1 que pueden materializarse en delitos informáticos
- Establezcamos un presupuesto destinado a cubrir necesidades que impidan la comisión de delitos (herramientas hardware, soluciones software, nuevo personal, etc.)
- Formemos y concienciemos al personal acerca de la prevención de delitos informáticos
- Confeccionemos un Código Ético y un régimen disciplinario interno
- Diseñemos un canal de comunicación o denuncia (whistleblowing) para la notificación de hechos
- Revisemos el sistema ante cambios en la organización o propongamos mejoras en el mismo
Construir el modelo, ponerlo en práctica y hacer partícipe a la organización es un proceso que requiere de unas fases y unos tiempos que, bien planificados y con el apoyo e implicación de los todos los miembros, concluye en un sistema que beneficia no sólo a la empresa, sino también a todos aquellos que la integran. Al fin y al cabo, estamos creando cultura, cultura en prevención, información y seguridad.
