Análisis de los «Lineamientos de integridad» para el cumplimiento de la ley 27401
Por el Ing. Pablo Rodríguez Romeo (*)
Ya nadie duda de que los datos que manejan las empresas son uno de sus principales activos, y protegerlos de empleados infieles, hackers o fugas de información se ha vuelto imprescindible. Una organización que mantiene a salvo su información sensible cuenta con una reputación por sobre sus competidoras.
Entonces, a la hora de evaluar la seriedad de una empresa, ya sea como cliente, proveedor o para mantener un contrato comercial, es fundamental que revele cómo maneja sus datos. Contar con una guía para el uso de su información sensible o bien con una política consistente de privacidad y seguridad de la información que contemple la figura de un «protector de los datos», son algunas de las medidas que hoy en día se deben implementar para lograr el éxito del negocio.
En esta línea, recientemente la Oficina Anticorrupción publicó en el Boletín Oficial los «Lineamientos de Integridad» para el mejor cumplimiento de la ley 27401 de Responsabilidad Penal de Personas Jurídicas, puntualmente en lo establecido en los artículos 22 y 23. Esta «guía técnica», tal como la llaman, dirigida a empresas, organizaciones de la sociedad civil, personas jurídicas, agencias estatales y operadores del sistema de justicia, busca implementar Programas de Integridad que permitan prevenir, detectar y remediar hechos de corrupción; a partir de generar incentivos para que las personas jurídicas prevengan la comisión de delitos contra la Administración Pública.
Con penas que van desde multas hasta la quita de la actividad por un plazo máximo de diez años y la suspensión de la participación en las licitaciones convocadas por el Estado nacional de aquellas empresas involucradas en delitos contra la Administración pública, esta ley establece que se podrá realizar una investigación por los delitos de cohecho (pago de coimas), tráfico de influencias nacional o transnacional, negociaciones incompatibles con el ejercicio de funciones públicas; concusión (exacciones ilegales); enriquecimiento ilícito de funcionarios y empleados y falsificación de balances.
En este sentido, esta ley, entre otras cosas, no hace más que exigir a las empresas que le brindan servicios al Estado que puedan proveer «información íntegra», garantizando que sus datos sensibles no se encuentran expuestos a riesgos de hackeos, robos o filtraciones. Pero para que esto suceda, cada una de ellas debe contar con una eficaz estrategia de protección de la información bajo el asesoramiento de profesionales informáticos o de seguridad de la información especializados en la materia.
Desde el punto de vista informático digital, las empresas deben implementar todas las medidas necesarias para asegurar la integridad de la información que resguardan, en backups, correos electrónicos, equipos, etcétera. Esto hace indispensable cumplir con los conceptos fundamentales de la seguridad de la información: confidencialidad, integridad, disponibilidad y el no repudio.
La información que se encuentre resguardada deberá tener un responsable, por la cual responderá en el futuro. Por eso, se recomienda la implementación de un plan integral de seguridad de la información que integre los conceptos particulares así como los generales.
En síntesis, capacitar al personal para el buen manejo de los datos; implementar un plan de claves seguras, de backup, de asignación de información (quién es el dueño del dato y quién es el custodio), son algunas de las medidas a tener en cuenta. Un plan de protección de la información permite resguardarla, controlarla (que no llegue a manos equivocadas), contener incidentes, prevenir potenciales ataques y contar en la empresa con equipos y recursos operativos necesarios para dar respuesta a estos eventos.
Sabemos que esto no es algo que se hace de un día para otro, lleva su tiempo pero les aporta numerosos beneficios a las empresas. El primer gran paso que tienen que dar es no ver estas implementaciones como un gasto sino como una inversión. Hasta que este concepto no cambie, difícilmente las empresas van a poder ordenarse informáticamente para enfrentar un futuro digital que es cada vez más fuerte. Cuando se den cuenta de que lo necesitan, ya va a ser tarde y van a tener que incurrir en costos mucho mayores.
La seguridad informática es una inversión. Y es nuestra responsabilidad educar y crear conciencia sobre el uso de la información y la tecnología para prevenir inconvenientes que puedan poner en riesgo la información de una empresa.
(*) Perito informático forense, especialista en seguridad informática