Con este artículo iniciamos una serie de contenidos relacionados con la seguridad digital y la gestión de sistemas informáticos. Nuestro objetivo es concienciar sobre la necesidad del Compliance Penal en las empresas de manera lógica y ordenada y, sobre todo, adecuada al tamaño de cada organización.

Para entender más sobre el Compliance Penal, expondremos un ejemplo práctico.

El caso de Francisco y de Paco

Francisco es CISO en una empresa mediana de 500 trabajadores y Paco es el dueño de una humilde ferretería de barrio. Ambos son profesionales de éxito: el primero tras muchos años de estudio, trabajo y méritos; el segundo, además, con la responsabilidad de estar al pie del cañón día a día para levantar su negocio. Sus perfiles también son similares: se trata de dos personas muy inteligentes.

Sin embargo, su día a día es muy diferente. Mientras que Francisco realiza una media de tres reuniones diarias y coordina la seguridad de 500 personas, Paco tiene un trato directo con sus empleados y clientes. A priori, las dudas “legales” de Paco se centran en la contabilidad diaria, mientras que Francisco está centrado en la seguridad de la información. De hecho, Paco recurre a su asesor de siempre y Francisco está inmerso en un programa de Compliance Penal con sus abogados.

¿Qué es el programa de Compliance Penal de las empresas?

El Compliance Penal es un conjunto de herramientas para prevenir la infracción de normas de carácter penal y evitar sanciones que generen responsabilidad a la empresa. Dicho de otra forma, es un sistema de gestión interno que establece diferentes mecanismos de control para que ni los empleados ni los directivos puedan cometer delitos de diverso orden.

¿Es necesario el compliance penal en todas las empresas?

Ahora te preguntarás qué tiene que ver el Compliance Penal con Francisco y con Paco ya que sus empresas son muy diferentes. En el entorno actual, el desarrollo de políticas de seguridad informática afecta a cualquier empresa, y establecer normas internas al respecto es importante para una gestión segura y eficaz.

Pongamos, por ejemplo, la Revelación de Secretos y la Vulneración del Derecho a la Intimidad, un delito que puede ocurrir tanto en la empresa de Francisco como en la de Paco: imagina que un comercial se marcha con la lista de clientes y sus anotaciones profesionales e incluso personales. El Compliance Penal de las empresas establece controles, como una política de DLP (Data Lost Protection), para evitar la fuga de información.

También es cierto que en el caso de Paco el 85% de las ventas se realizarán directamente en caja y que establecer políticas de respaldo de información informática puede no parecer necesario. Sin embargo, los objetivos de la seguridad informática son mucho más amplios. A continuación, tenemos algunos ejemplos.

    • Estafa con vulneración de sistemas informáticos. Si un becario o un familiar llega a la empresa con su ordenador e intenta hackear el Wifi de la nave de al lado para jugar o ver los correos del vecino, nos encontramos ante un delito grave de base informática.

    • Obtener beneficio económico del uso de obras protegidas con derechos de autor sin la debida autorización. Tan sencillo como que nuestros trabajadores tengan un programa informático (Photoshop u Office) sin licencia o que los instalemos a otros para uso personal.

    • Producir o elaborar soportes que promuevan o inciten al odio, la discriminación o la violencia. Un comentario inapropiado en RRSS o el tweet de un Community Manager “enfadado” puede hacer que nuestra empresa incurra en este tipo de delito.
¿Es necesario el compliance penal en todas las empresas?

Actualmente, el 90% de los delitos previstos en el Compliance Penal se realizan ordenador, así que los controles se realizan casi siempre desde el sistema informático. Pero siempre son políticas de respaldo de información internas.  A veces, cuando hablamos de seguridad informática, visualizamos el problema desde fuera, como para realizar una actuación ilegal. Sin embargo, el objetivo en este caso es la prevención desde el punto de vista de la empresa y de lo que puedan hacer sus empleados.

Como es normal, la empresa de Francisco destinará más recursos a la prevención del fraude interno, mientras que en un negocio como el de Paco velará por la legalidad de sus empleados. En el primer caso pueden monitorizarse los cambios de la web mediante técnicas de FIM (File Integrity Monitor), mientras que en el segundo es más importante disponer de mecanismos para detectar incidentes como que en la web de la ferretería se instale un Malware que distribuya contenido malicioso, ya que el responsable final es el empresario. Con el nuevo modelo de protección de datos (el archiconocido GRPD) la empresa tiene el deber, bajo sanción, de notificar a la Agencia Española de Protección de Datos todos los incidentes de seguridad que le acontecen. Por supuesto, la Agencia no actuará igual ante una empresa grande que ante una PYME, pero si la ferretería distribuye Malware durante meses, es más susceptible a recibir una sanción.

Esperamos que el caso de Francisco y Paco te ayude a entender el modelo de gestión Compliance Penal. Aún así, ¿piensas que no todas las empresas necesitan poner en marcha políticas de respaldo de información informática? ¿Cuándo crees que es necesario embarcarse en este tipo de proyectos de seguridad digital?

 

¿Quieres poder controlar la ciberseguridad de tu empresa? En Verne Technology Group somos una compañía referente en el sector TIC, nuestra misión es aportar a nuestros clientes soluciones tecnológicas, innovadoras y personalizadas.

¿Quieres que te ayudemos? ¡Contacta con nosotros!

¿Quieres poder controlar la ciberseguridad de tu empresa?

En Verne Technology Group somos una compañía referente en el sector TIC, nuestra misión es aportar a nuestros clientes soluciones tecnológicas, innovadoras y personalizadas.

0 Shares:
Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You May Also Like