Como mencionaba Drab en el capítulo publicado en la edición anterior, son los propios empleados y su interacción diaria con información crítica lo que representa la mayor amenaza para la información de una organización y, protegerse de ésta no es una hazaña menor. Sin embargo, existen medidas proactivas que las empresas u organizaciones pueden adoptar para disminuir ese riesgo.
Es necesario contar con un programa efectivo de gestión de seguridad de la información para identificar y controlar el riesgo que se introduce en la empresa cada día a través de las personas, los procesos, la tecnología y los diversos modelos de negocios. Una empresa u organización puede unir este enfoque más amplio a una serie de acciones interconectadas y dirigidas a un objetivo que la ayude a asegurar y proteger su información. A continuación, se revelan cinco pasos para lograr la seguridad legal para los secretos comerciales:
1. Inventariar:Los secretos comerciales pueden encontrarse en papel o en documentos electrónicos, discos rígidos, depósitos de bases de datos y en las mentes de las personas. Las organizaciones deben entrenar y capacitar a sus empleados respecto de lo que es un secreto comercial para que puedan participar en el proceso de identificación de éste. Asignarles la tarea de hacer una lista de posibles secretos y que la entreguen a través de los canales de supervisión para su revisión y consolidación con el fin de eliminar repeticiones.
Sin un inventario las organizaciones se ven fuertemente presionadas a informar a sus empleados sobre qué información se considera como secreto comercial, el rotulado de seguridad no puede llevarse a cabo en forma uniforme y el uso y manejo adecuado no es claro y definitivo.
2. Categorizar: Categorizar los secretos comerciales requiere una estructura amplia, a fin de cubrir el espectro de información que pudiera estar protegida como tal. Algunos expertos recomiendan un modelo de categorización tridimensional compuesto por tema, formato y producto (TFP). Un documento titulado ‘proceso de fabricación para impresora de red digital’ contiene un tema, ‘fabricación’; un formato, ‘proceso’; y un producto, ‘impresora de red digital’. De modo que una empresa con 10 departamentos, cada uno con 30 formatos y 20 productos, tiene 6.000 TFPs disponibles para categorizar. Existen tecnologías de software que ayudan a automatizar este proceso.
3. Identificar: ¿La información cumple con los requerimientos legales de un secreto comercial? El elemento ‘existencia’ es la prueba más importante al momento de responder esta pregunta. La tecnología ha jugado un papel en la creación de información de secretos comerciales y en la tendencia de protegerla como tal, en contraposición con la búsqueda de la protección de ésta bajo patentes. La tecnología también está en proceso de desarrollo para automatizar el trabajo de calcular los factores de existencia. Esto es importante porque los secretos comerciales no son estáticos. Un informe financiero hoy puede ser un secreto, pero mañana puede no serlo luego de su publicación. La información de secreto comercial es dinámica y debe ser administrada a lo largo de toda su vida útil.
4. Clasificar: Es la base de la protección e implica determinar qué nivel de sensibilidad se necesita para resguardar la información. La mayoría utiliza un esquema de etiquetado de tres a cinco niveles. A los efectos del etiquetado de los secretos comerciales, dos pueden considerarse suficientes: ‘Máximo ‘Secreto’ y ‘Secreto’; ‘Altamente Confidencial’ y ‘Confidencial’. La información etiquetada como ‘Máximo Secreto’ tendrá asociados controles de seguridad mucho más estrictos que los que pueda tener aquélla etiquetada como ‘Secreta’. La etiqueta comunica a quien maneja la información qué se puede o no hacer en relación con el manejo del documento. Las clasificaciones y los procedimientos de manejo correspondientes deben revisarse periódicamente para asegurarse de que se están aplicando los protocolos adecuados. En un tribunal sería difícil para una empresa reclamar la titularidad de información valiosa que no fue oportunamente bien identificada y etiquetada.
5. Valuar. Si una compañía o una organización no conoce el valor real del secreto comercial que intenta proteger, entonces no sabe cuánto dinero, tiempo y recursos debería asignar para resguardar ese secreto.
En la comunidad jurídica, los secretos comerciales generalmente se reconocen como activos financieros y están sujetos a las disposiciones legales de la ley SOX. Una valuación apropiada permite considerar al secreto comercial como activo físico. Una vez que se reconoce como tal, nuevas posibilidades pueden hacerse realidad. Los secretos comerciales pueden ser asegurados, otorgados bajo licencia, e inclusive utilizados como garantía en operaciones de préstamo. Desafortunadamente las empresas que se ven forzadas a disputar sus pérdidas en un tribunal deben llevar a cabo auditorías para crear una imagen de las joyas de la corona de la empresa. ¿Cuánto costó su desarrollo? ¿Cuánto le cuesta a la empresa mantenerla? ¿Qué pérdida de ingresos se produciría si la información se viera comprometida? ¿Cuán beneficiosa sería para un competidor? Estas son preguntas críticas que deben responderse antes del hecho, no después. La alternativa es actuar con seriedad. El daño a la reputación es difícil de cuantificar, pero el costo de las auditorías legales no lo es. El contador correrá por largo rato para llevar a cabo todos estos pasos que se describen arriba. Tal vez tendría más sentido implementar un sistema para controlar y administrar la información de secretos comerciales durante toda su vida útil, para lograr seguridad jurídica.
A tener en cuenta al momento de asegurar la vida útil
La gestión de la vida útil de los activos sociales más significativos para una empresa es una tarea desalentadora, pero están surgiendo nuevas tecnologías para automatizar y semi-automatizar estos cinco pasos. La aplicación de controles de seguridad depende de en qué momento de su vida útil se encuentra el activo. Puede no conocerse muy bien el valor al momento de su creación, por lo que sería aconsejable aplicar el grado de clasificación más alto en ese instante. A lo largo de la etapa de desarrollo es posible que surjan más proyectos, productos y estrategias de secreto comercial. Este marco ofrece un mejor medio para revisar y evaluar los secretos comerciales para tomar decisiones, lo cual puede incluir buscar protección bajo la ley de patentes. A medida que las ideas y las innovaciones de secreto comercial evolucionan hacia la producción, posiblemente estén sujetas a una mayor distribución, lo cual resulta en más exposición y riesgo de confidencialidad. Los secretos comerciales pueden requerir de una evaluación para su otorgamiento bajo licencia y otras consideraciones de rentabilidad.
La conclusión…
Tal vez en ningún otro momento de la historia la información haya sido más valiosa y vulnerable al mismo tiempo. La seguridad debe ser más inteligente y estratégica que antes. A menudo hablo de un enfoque de arriba hacia abajo y viceversa de la seguridad de las empresas. Los miembros de la alta gerencia o los ejecutivos senior deben despertarse y controlar con firmeza el riesgo, o encontrarse ellos mismos y su compañía en medio de una pesadilla.
La seguridad de la información es proteger datos. Sin embargo, la industria se encuentra evolucionando y está muy claro que se está prestando más atención y aplicando más niveles de seguridad a tipos específicos de información como aquélla legalmente protegida como datos privados, la estandarización de la seguridad en la industria de pago con tarjeta de crédito y los secretos comerciales en los términos de la Ley Sarbanes-Oxley y la Ley de Espionaje Económico de 1996. Esta clase de seguridad requiere vigilancia combinada con buena inteligencia y buenas prácticas que se integren con el modelo de negocios. Los atacantes están a la pesca de las fallas en la seguridad y las explotarán para lograr sus cometidos. No podemos evitar lo inevitable, pero sí estar atentos e implementar el sistema de gestión de la vida útil del secreto comercial que mejor proteja nuestros activos de información más importantes. No puede haber excusas para el fracaso: identifica lo que es importante y protégelo.
