¿Tiene el correo, las patentes y el papeleo a buen recaudo?
El control de la información sensible de una compañía requiere un cambio cultural corporativo y una mayor implicación de la plantilla
Vivimos sumergidos en papeles, correos electrónicos, noticias de comunicación, informes, estudios, patentes, licencias, proyectos, contratos, convenios, pólizas de seguros, listas de clientes y de proveedores.... "En dos años hemos recibido más documentación que desde el origen de la humanidad hasta el año 2003", aseguraba Marc Duale, presidente de Iron Mountain, firma líder en gestión documental, en la primera cumbre europea sobre el riesgo de la información, organizada recientemente en Madrid.
En el mundo hay 788 millones de direcciones de correo electrónico, 500 millones de miembros de Facebook y diariamente se escriben 140 millones de tweets. ¿Cómo controlar toda la información sensible de una compañía? ¿Tiene bien protegidas las patentes, las listas de proveedores o de clientes, cuentas, la documentación en papel y formato digital?
Un estudio elaborado por PwC en colaboración con Iron Mountain refleja que las brechas de seguridad de los datos en las empresas europeas las someten a riesgos innecesarios, que pueden dañar su reputación. Tan solo la mitad de las compañías medianas considera la pérdida de información corporativa como uno de los tres principales riesgos a los que se enfrentan sus negocios.
Acciones para mejorar
Las empresas de tamaño mediano, aunque no tengan grandes recursos financieros, si disponen de ganas, pueden conseguir mejoras, trasformando la cultura desde arriba, poniendo en marcha nuevos procedimientos y educando a sus empleados.
Iron Mountain ha identificado un conjunto de pasos destinados a ayudar a las empresas a mejorar la seguridad de sus datos. El primero es que el riesgo de la información se convierta en un asunto a tratar por la junta directiva y que se integre en los controles de rendimiento globales de la empresa.
El segundo paso es diseñar y proporcionar programas de sensibilización sobre la seguridad de la información. Orientar a los trabajadores que lo necesiten y recompensar las buenas prácticas de cualquier empleado.
Finalmente, recomiendan poner en marcha políticas y procesos que aseguren que se cubran todos los formatos en los que pueda encontrarse la información (electrónica, papel o medios de comunicación). Y definir cualquier vulnerabilidad relacionada con su manejo, establecer protocolos de alarma y realizar un seguimiento de ellos.
Todos son responsables, pero solo el 1% lo sabe
Almacenar la documentación en sitios húmedos, perder cintas con datos de clientes, descubrir que han espiado el correo corporativo, echar a la basura currículos y fichas médicas son algunos ejemplos de negligencias en la gestión de la información relevante para una empresa o una institución.PwC ha entrevistado a los máximos ejecutivos de 600 compañías europeas de tamaño medio (con una plantilla de 200 a 2.500 empleados) para elaborar el primer Índice de Madurez del Riesgo de la Información. El resultado medio fue del 40,6 (sobre 100), cuando para que se aplicaran una buenas prácticas debería estar entre el 70 y el 80.Según el estudio, los mejores sectores son el financiero y el asegurador. Sorprende que el peor sea el legal. En función de la importancia que den a la información establecen más controles. En manufactura y farmacia es crítica la protección que tienen sobre las licencias y las patentes.Un tercio de los preguntados cree que es responsabilidad de los informáticos y, por ello, el 60% aplicaría soluciones tecnológicas a un fallo de la información. Solo el 1% sabe que es responsabilidad de todos los trabajadores. "Hay que entrenar a los empleados para que sepan que trabajan con información sensible y del daño que podría recibir la empresa si esa información, por ejemplo, cae en manos de la competencia", señala Chico, director para España de Iron Mountain.Recomienda actuar en la empresa como en una casa, "estableciendo qué hay que proteger, colocando muros para que esto no ocurra, colocando alarmas y elaborando test para comprobar que el sistema funciona".
Inversión
"No se requieren grandes inversiones, es más un problema de cambio de cultura empresarial. Se necesita tiempo para poner en marcha los procesos necesarios que eviten el riesgo que supone la falta de protección de datos", asegura Ignacio Chico.
La cifra
600.000 euros es la sanción máxima que puede llegar a recibir una empresa por incumplir la legalidad en gestión de archivos empresariales.