¿Alguna vez te has dejado olvidado el teléfono móvil del trabajo en un taxi o la tablet en un aeropuerto? Si has pasado por ese mal trago, te conviene saber que, además del disgusto y la pérdida económica, si no tenías esos dispositivos protegidos con una contraseña es posible que también hayas cometido un delito contra la protección de datos o de revelación de secretos empresariales. Eso, con independencia de si al final conseguiste recuperar o no el aparato extraviado.
Brechas de ciberseguridad, pérdida de datos sensibles, accidentes laborales, crisis alimentarias, vertido de sustancias, problemas reputacionales... La lista de peligros que acechan a las empresas en su operativa diaria y que pueden llegar a comprometer gravemente su futuro es interminable. Y al final de la misma siempre se encuentra el que suele ser el eslabón más débil: los empleados. Y es que el error humano se encuentra en la mayoría de las crisis con las que tienen que lidiar las organizaciones en materia de riesgos. En muchas ocasiones, sin que los responsables sean siquiera conscientes de ello.
"Cuando un empleado hace mal las cosas, la mayoría de las veces no es deliberadamente sino por inercia o por puro desconocimiento, porque nadie le ha explicado el modo correcto de abordar esa tarea", explica Sylvia Enseñat, presidenta de la Asociación Española de Compliance (ASCOM).
Malditos ciberdelicuentes
El problema es que en ocasiones ese 'despiste' puede acabar acarreando pérdidas cuantiosas, multas millonarias y hasta penas de cárcel para los responsables. La ciberseguridad se ha convertido en uno de los principales quebraderos de cabeza para las organizaciones. Según el Informe internacional Hiscox Cyber Readiness Report 2018, el 57% de las empresas españolas sufrió un ataque informático durante el año pasado, con un coste medio para las víctimas de 284.000 euros en el caso de las grandes compañías. Curiosamente, este mismo informe señala que España se encuentra entre los primeros puestos a la hora de destinar recursos a este problema. El 35% de las corporaciones nacionales afirma disponer de un responsable de ciberseguridad, y el 28% presume de tener a todo un equipo dedicado a atajar estos ataques.
"En 7 de cada 10 casos de ciberataques la brecha llega por un error de un trabajador"
Entonces, ¿por dónde se producen las fisuras? "En 7 de cada 10 casos de ciberataques la brecha llega por un error de un trabajador", confirma Nerea de la Fuente, directora de suscripción técnica de Hiscox. Spyware (software que infecta un ordenador ajeno para capturar la información contenida en el mismo), phishing (los usuarios son engañados para que sean ellos mismos quienes instalen en su equipo el programa dañino), ransomware (chantaje consistente en que un hacker penetra en la seguridad de un dispositivo, bloquea los archivos y pide un rescate a cambio de liberarlos)... "Algo en apariencia inofensivo como es abrir un correo electrónico o un fichero adjunto sin cerciorarnos antes de su origen y contenido puede traernos una muy desagradable sorpresa", advierte De la Fuente.
Datos bajo siete llaves
Uno de los riesgos empresariales sobre los que más se está incidiendo en los últimos tiempos es la protección de datos. Curricula laboral, informes médicos, extractos bancarios... Las empresas manejan infinidad de documentos de carácter personal que deben ser tratados con sumo cuidado si no se quiere incurrir en un delito. "Tenemos que ser conscientes de que cuando tiramos a un contenedor de basura documentos sin destruir podemos estar comprometido datos personales de clientes, proveedores, empleados, etc.", dice Sylvia Enseñat. Aunque, puntualiza esta experta, factores como "la aprobación de una ley especifica, la creación de un organismo con competencias de control y sanción como es la Agencia Española de Protección de Datos (AEPD) y una intensa campaña de concienciación y educación sobre la materia están contribuyendo a que este riesgo sea uno de los que más controlados estén".
No es el caso de otros muchos en los que los peligros de infringir una normativa pasan más inadvertidos. Procura recordarlo la próxima vez que aproveches un viaje en AVE para trabajar un rato en tu portátil y te parezca que el desconocido que se sienta a tu lado presta mucha atención a tu pantalla (podrías estar vulnerando la Ley de Secretos Empresariales). O cuando te vayas a comer con un amigo y colega directivo de una empresa competidora y entre plato y plato os pongáis a charlar de manera informal acerca de precios en vuestro sector (lo que podría suponer atentar contra la Ley de Defensa de la Competencia). Sylvia Enseñat pone otro ejemplo. "Es relativamente habitual subir a la web corporativa los recortes de prensa en los que se habla de la empresa. Pero esa práctica vulnera la Ley de Propiedad Intelectual, porque esos recortes pertenecen a los medios que los publicaron en primera instancia".
Transparencia... sin pasarse
Desvelar secretos empresariales es otro de esos focos de riesgo regulado por Ley y sobre el que los empleados no siempre están lo suficientemente informados. En plena era de la transparencia, la colaboración o el código abierto hablar de 'secretos empresariales' parece un tanto anacrónico... Pues no lo es. De hecho, recuerda Cintia Bernhardt, asociada senior del departamento de Propiedad Intelectual de Garrigues, "existe un delito de descubrimiento y revelación de secretos". Delito que puede derivar, por cierto, "en responsabilidad civil tanto para la empresa como para el trabajador aunque actúen con desconocimiento, y hasta penal en caso de demostrarse dolo", añade.
Esta abogada aclara que para que una información sea considerada como 'secreto empresarial' tienen que concurrir tres requisitos: "Que sea secreta, en el sentido de no ser generalmente conocida ni fácilmente accesible para los círculos en que normalmente se utilizaría; que tenga valor empresarial precisamente por ser secreta, y que haya sido objeto de medidas razonables por parte de su titular para que permanezca secreta". Algoritmos, invenciones no patentadas, fórmulas matemáticas y químicas, procedimientos de fabricación, información sobre precios y costes o estrategias de marketing entrarían en esa categoría.
Responsabilidad compartida
Muchos de los riesgos vinculados a la actividad profesional están recogidos en la Ley de Prevención de Riesgos Laborales. Gonzalo Núñez, profesor del Máster en Asesoría Jurídico-Laboral del CEF, recuerda que "es al empresario a quien la ley obliga a garantizar la seguridad y la salud de los trabajadores a su servicio en todos los aspectos relacionados con el trabajo". Lo que no quiere decir que los trabajadores no tengan su parte de responsabilidad. Al fin y al cabo, recalca este docente, "en caso de accidente laboral el principal perjudicado es el propio trabajador, por lo que resulta absolutamente imprescindible su implicación para que las políticas preventivas sean verdaderamente eficaces".
Falta de conciencia del riesgo, exceso de confianza, improvisación, ritmos de trabajo demasiado intensos, desconocimiento de los procedimientos de trabajo o ausencia de los medios materiales precisos para su ejecución son algunas de las causas de la inobservancia de las normas elementales en materia de seguridad. La presión que ejercen las empresas sobre sus trabajadores es otro factor de riesgo. Y es que seguridad y productividad parecen términos contrapuestos.
"Los atajos pueden resultar tentadores en la medida en que pueden ahorrar tiempo y dinero. Pero la realidad es que solo el establecimiento de procedimientos de trabajo, el cumplimiento de las normas y la adopción de medidas de seguridad y control pueden garantizar a medio y largo plazo la supervivencia de una empresa" , asegura Núñez.
Todos los expertos consultados coinciden en que la formación y la concienciación de empresas y trabajadores es el mejor camino para evitar peligros innecesarios. También es imprescindible establecer políticas y mecanismos efectivos de control de riesgos en las organizaciones.
Un último consejo: permanecer alerta; el riesgo acecha a los imprudentes. Porque, como subraya Gonzalo Núñez, "los errores, incidentes y accidentes están siempre ahí, quizá ocultos, pero esperando su oportunidad para salir a la luz en cuanto esas medidas y esos procedimientos no existen o fallan".
