saltar al contenido
Mitigación de la pérdida de secretos comerciales: la manera fácil

Con la Gran Renuncia en pleno apogeo, los empleados se marchan en masa. ¿Qué significa la Gran Renuncia para los empresarios? Los empleadores ahora están luchando para protegerse contra las consecuencias de las partidas de los empleados. Cuando los empleados se van, a menudo se llevan mucho más que su experiencia. Un empleado clave o un grupo de empleados puede, intencionalmente o no, tomar y transferir valiosos secretos comerciales que un competidor puede utilizar en su beneficio. Afortunadamente, dos simples pasos pueden ayudar a los empleadores a prevenir la pérdida de secretos comerciales antes de que se convierta en un problema.

Durante casi 15 años, he realizado innumerables investigaciones, a menudo relacionadas con la pérdida, el robo o la apropiación indebida de secretos comerciales. Examiné de forma forense cientos de dispositivos y, cuando correspondía, realicé docenas de entrevistas cara a cara. Mis experiencias muestran que existen patrones claros sobre cómo los datos a menudo abandonan una empresa.

Mis investigaciones muestran que los puntos de exfiltración y los métodos que usan los empleados para obtener datos de la empresa no han cambiado mucho con el tiempo. A menudo, estos métodos incluyen la copia de datos en unidades USB, cuentas de correo electrónico personales y plataformas de almacenamiento en la nube personales. Esto plantea una pregunta: ¿por qué la pérdida de datos sigue ocurriendo de la misma manera, una y otra vez? Los empleados a menudo responden con dos declaraciones: "¡No sabía cómo me afectaría!" y “¡Nadie (ni nada) me detuvo!”. Afortunadamente, los siguientes dos enfoques, uno conductual y otro técnico, ayudarán a los empleadores a reducir la pérdida de datos. 

Paso 1: El enfoque conductual

“¡No sabía que me afectaría!”

Los empleados generalmente reciben capacitación de cumplimiento corporativo sobre cómo manejar los datos de la empresa. Algunas de las capacitaciones son mensuales, mientras que otras son menos frecuentes. Durante la incorporación, los empleadores pueden dar a los empleados manuales para leer y reconocimientos para firmar. Casi todos los empleados, según mi experiencia, han reconocido leer palabras o ver videos que se pueden resumir de la siguiente manera:

  1. Los datos corporativos son propiedad de la corporación.
  2. Los empleados no pueden tomar datos corporativos para su propio uso.

Sin embargo, este entrenamiento es a menudo mundano o repetitivo. Algunos empleados incluso hacen bromas de que otras personas (por ejemplo, sus hijos o una mascota paciente) reciben capacitación por ellos. Si bien esta capacitación marca algunas casillas de verificación de cumplimiento, la capacitación rara vez, o nunca, analiza las consecuencias de lo que sucede cuando los empleados toman datos corporativos. Después de innumerables horas de capacitación, educación, cuestionarios, pruebas, reconocimientos y certificaciones, los empleados aún no saben ni comprenden las consecuencias de sus acciones.

Cambios en la formación

La capacitación de los empleados debe incluir discusiones sobre las consecuencias personales y financieras que pueden ocurrir cuando los empleados se involucran en una investigación de secreto comercial, que incluye:

  • Las investigaciones cuestan mucho dinero. 
    Con frecuencia, se les pedirá a los empleados que paguen parte, si no la mayoría, del costo de las investigaciones. Entre los honorarios forenses y los honorarios legales, no es descabellado sugerir que un asunto “simple” puede costar cerca de $50,000.
  • Las investigaciones son invasivas. 
    Una vez tomados, los datos se pueden copiar o transferir a otros dispositivos o almacenamiento en la nube. Es posible que se solicite a los examinadores forenses que examinen las computadoras personales, los dispositivos de almacenamiento electrónico, los teléfonos inteligentes, las cuentas de correo electrónico y las plataformas de almacenamiento basadas en la nube de los exempleados para determinar que los datos no se guardaron, usaron ni transmitieron más. La vida entera de una persona puede ser interrumpida inconvenientemente para probar su afirmación de que "no hice nada con estos datos". En más de una ocasión, escuché el equivalente a “Solo quiero que esto desaparezca. Si hubiera sabido lo difícil que sería este proceso para mí y mi familia, nunca hubiera tomado estos datos”.
  • Las investigaciones pueden incluso extenderse a un nuevo empleador y dañar la reputación de los empleados.
    Peor aún, estas investigaciones pueden conducir a la terminación de los empleados de sus nuevos puestos de trabajo. Los empleados no entienden los conceptos de interdictos y órdenes de restricción temporal (TRO). Esas palabras dan miedo y pueden tener un efecto escalofriante en el comportamiento si se conocen de antemano.

Paso 2: El enfoque técnico

“¡Nadie (ni nada) me detuvo!”

Según mi experiencia, la mayoría de las pérdidas de secretos comerciales se producen de una o más de las siguientes formas:

  • Los empleados copian datos a un dispositivo USB, como un disco duro o una memoria USB.
  • Los empleados envían datos por correo electrónico a una cuenta de correo electrónico personal a través de su correo electrónico corporativo.
  • Los empleados adjuntan datos al correo electrónico personal al que acceden a través de un navegador web (Gmail, Yahoo, Hotmail, etc.).
  • Los empleados cargan datos directamente en un servicio de almacenamiento personal basado en la nube (Google Drive, Dropbox, Box, OneDrive, etc.).
  • Los empleados sincronizan datos entre computadoras corporativas y dispositivos personales utilizando la misma ID de Apple personal en todos los dispositivos.

Afortunadamente, excepto por el segundo punto, los métodos anteriores se pueden eliminar sin una gran inversión en software o personal de TI. De hecho, se puede hacer mucho utilizando los recursos existentes para obtener el máximo beneficio.

Cambios técnicos

  • Deshabilite todas las funciones de escritura USB de forma predeterminada. 
    Los sistemas operativos modernos facilitan la desactivación del acceso de escritura con unos pocos clics del mouse, sin necesidad de comprar software de terceros. Cualquier excepción para la funcionalidad de escritura USB debe revisarse y otorgarse por un período de tiempo limitado y luego retirarse. Los usuarios todavía pueden tener acceso de solo lectura a los USB si ese es el modelo comercial deseado.
  • Elimine el acceso a los servicios de correo electrónico personal y las plataformas de almacenamiento en la nube no corporativas. 
    A menos que exista una razón comercial válida para usar cuentas personales, de forma predeterminada, los usuarios con acceso a datos corporativos no deben tener acceso a su correo electrónico personal ni a las plataformas de almacenamiento basadas en la nube desde los mismos dispositivos. La mayoría de los cortafuegos modernos, incluso los domésticos, permiten listas negras de sitios web/dominios/direcciones de correo electrónico específicas no autorizados y listas blancas de aquellos que están permitidos.
  • Exija el uso de una cuenta administrada por la empresa para cualquier dispositivo corporativo.
    Cualquier dispositivo corporativo, por ejemplo, exige que una cuenta creada y administrada por la empresa, no una cuenta personal, se use para servicios como Apple ID, que permite la sincronización de datos.

Mitigación de riesgos: al estilo iDS

En resumen, los empleadores pueden reducir en gran medida el riesgo de pérdida de datos corporativos al:

  • Cambiar el comportamiento de los empleados a través de la educación que se enfoca en las consecuencias de la pérdida de datos (alto costo, pérdida de reputación, invasiva), así como en la prevención.
  • Eliminar las vías comunes de pérdida de datos (escritura en USB, acceso a servicios de correo electrónico personal y plataformas de almacenamiento en la nube).

Si bien estos pasos no son exhaustivos y no impedirán que todos los empleados obtengan datos corporativos, estos dos métodos, combinados con políticas de seguridad básicas y económicas, reducirán en gran medida la cantidad de datos que dejan las empresas.

En iDS, ayudamos a las empresas a desarrollar planes estratégicos para asegurar, almacenar y proteger los datos de amenazas internas y externas. Nuestro equipo dedicado de expertos en consultoría viene preparado para maximizar el valor de sus datos mientras disminuye el riesgo y reduce los costos. iDS puede proporcionar una estrategia completa y personalizada para administrar los sistemas de información de su negocio a lo largo del tiempo, ayudándolo a desarrollar todo, desde mapas de datos y políticas de retención hasta planes específicos diseñados para reducir su huella de datos general.

Durante los últimos 15 años, mis clientes me han dicho que me he vuelto bastante bueno en estas investigaciones. De hecho, muchos de mis clientes me llaman por esta experiencia porque soy eficiente y consciente de los costos. Sin embargo, anhelo el día en que deje de hacerme la pregunta: “¿Por qué veo lo mismo después de todos estos años?”. De hecho, en palabras de mi colega: “Me gustaría trabajar sin trabajo”. Escuché que hay algunos programas de televisión excelentes para ver.

Para obtener más información sobre cómo los expertos consultores de iDS pueden proporcionar soluciones personalizadas para ayudar a prevenir la pérdida de datos de los empleados, póngase en contacto con nosotros hoy.


iDS proporciona soluciones de datos de consulta a corporaciones y bufetes de abogados de todo el mundo, lo que les otorga una ventaja decisiva, tanto dentro como fuera de la sala del tribunal. Nuestros expertos en la materia y estrategas de datos se especializan en encontrar soluciones a problemas de datos complejos, lo que garantiza que los datos se puedan aprovechar como un activo y no como un pasivo.

es_ESES