Este post trata sobre la información confidencial que debe proteger y mantener como secreta una empresa y sobre cuatro buenas prácticas para la custodia de esa información.
Índice
¿Qué información debe proteger la empresa?
Toda empresa tiene mucho que comunicar pero también tiene áreas de información confidencial que debe cuidar.
La confidencialidad, según la norma ISO IEC 27002, es parte de la seguridad de la información. Según esta norma, la conocida ‘burbuja de confidencialidad’ restringe los flujos de información a determinadas personas.
La información estratégica del negocio
Es importante salvaguardar información estratégica de tipo técnico, como fórmulas o datos concretos que hay que salvaguardar de la competencia.
La descripción detallada de un método de fabricación. De igual forma, otros son de índole comercial, como una lista de nombres y direcciones de clientes que podría interesar a un competidor. Algunos secretos son extremadamente valiosos, por ejemplo, una fórmula […]. Algunos son sencillos, consisten en una sola palabra, como el nombre de una empresa que se prevé adquirir; otros son más complejos, como los detalles de una nueva campaña publicitaria.
La información comercial que es confidencial
Otro tipo de información que debe cuidarse es el comercial. En este caso, corresponde a los directivos el correcto control de su confidencialidad.
La prudencia indica que los directivos comuniquen los secretos únicamente al personal que deba conocerlos. Por ejemplo, el caso más común de pérdida de información confidencial de una empresa se da cuando su personal deja de trabajar allí y pasa a otra empresa del mismo sector.
4 buenas prácticas para proteger la información confidencial
Primera: clasificar la información
Separar la información confidencial y clasificar la información a divulgar en varios grupos:
Según limitaciones de uso
- Información de uso general: se puede compartir tanto fuera como dentro de la empresa.
- De uso restrictiva: se trata de información sensible que puede perjudicar la ventaja competitiva de la organización.
- Información confidencial: su uso no autorizado ocasionaría grandes perjuicios a los intereses económicos y comerciales de la empresa.
Según el valor de la información
- Información clave, cuya pérdida perjudicaría la continuidad de un proceso o proyecto.
- Información no vital: su no disponibilidad no afectaría la actividad de la entidad.
Segunda práctica: crear acuerdos de confidencialidad
Proteger la información secreta con acuerdos de confidencialidad
Si la empresa tiene que compartir información con otra entidad física o jurídica, la solución es firmar acuerdos de confidencialidad o de no divulgación.
Un fabricante necesitará someter su prototipo a pruebas especializadas y no desea que los competidores conozcan los detalles del nuevo producto. O tal vez una empresa necesite saber si uno de los proveedores que contrata podrá fabricar un componente con características específicas nuevas y complejas que darán a la empresa una clara ventaja competitiva en el mercado, pero quiere que esas características específicas se mantengan en secreto. En ambos ejemplos, los titulares de la información se verán obligados a transmitirla, pero no querrán que se divulgue.
Tercera práctica: implantar otras herramientas para proteger la información
Los directivos de cualquier empresa están en la obligación de crear conciencia entre el personal acerca de la protección de los secretos empresariales.
Cada colaborador debe asumir la responsabilidad sobre la seguridad de la información que se extiende fuera de la oficina, recordando los comportamientos a evitar para reducir riesgos.
Estas normas deben ser reiteradas a través de unos programas o charlas concretas, además del uso de ordenadores protegidos y del control del cumplimiento de los acuerdos de confidencialidad.
Así, por ejemplo, debe imponerse la obligación de que los nuevos empleados y contratistas no divulguen secretos comerciales de terceros (como el caso de Coca Cola y Pepsi). Explicar que la información confidencial y los secretos comerciales no podrán ser divulgados al exterior de la compañía; dejar claro que la divulgación de cualquiera de las dos es justa causa de terminación del contrato de trabajo; y educar a los empleados en relación con el espionaje industrial y contarles las consecuencias del mismo.
Cuarta práctica: llevar un control de la información confidencial
Mónica Hernández, jefa de la Unidad Jurídica de Patentes de Clarke Modet, aporta los siguientes consejos:
- Separe la información confidencial de la que no lo es.
- Enumere y nombre los documentos, asuntos y programas de computador (software) que contienen secretos empresariales.
- Suscriba acuerdos de no divulgación.
- Use manuales para los empleados con el fin de enfatizar el empleo, acceso y protección de los secretos empresariales.
- Lleve a cabo programas de orientación y educación para empleados o contratistas.
- Divulgue las medidas de protección.
- Cree barreras físicas de seguridad.
- Tome medidas adicionales para mantener en secreto los documentos confidenciales.
- Prevenga la difusión inadvertida a terceros de los secretos comerciales.
- Desarrolle entrevistas de salida con las personas que abandonan la compañía.
- Limite el acceso de visitantes.
- Lleve a cabo auditorías rutinarias a los secretos comerciales.
Recuerde tomar las medidas adecuadas para proteger los intereses de la empresa y evitar daños irreparables.
Como advierte Vivien Irish en su artículo Divulgación de la información confidencial:
Aunque el titular del secreto recurra a los tribunales y obtenga una indemnización por los daños sufridos, ello no hará volver las cosas a su estado original. Sus competidores podrán utilizar libremente la información secreta que tanto le costó obtener. Por ello, lo mejor será asegurarse de que, ante todo, su secreto será mantenido confidencial.
Vivien Irish