Hoy hablamos de la seguridad informática en el ámbito del Corporate Compliance. Desde hace un tiempo, dentro de las organizaciones y empresas se ha incorporado de manera muy habitual términos como Compliance, cumplimiento normativo, responsabilidad empleado…etc. Todo ello es debido a la reforma del Código penal de 2010 (reforma del Código Penal por la LO 5/2010, de 23 de mayo). Esta estableció que todas las sociedades pueden incurrir en la comisión de delitos por la conducta de sus empleados.
La legislación actual, respecto a la rigidez y la aplicación de sanciones, con la entrada en vigor el 1 de julio de la LO 1/2015, de 30 de marzo de reforma del Código Penal, se introdujo una modificación al respecto de la responsabilidad penal, en virtud de la cual la persona jurídica quedará exenta de responsabilidad cuando antes de la comisión del delito:
- Se hayan adoptado y puesto en marcha las medidas de vigilancia y control necesarias para la prevención del delito o reducir de forma significativa el riesgo de su comisión.
- La supervisión de esas medidas este bajo la responsabilidad de un equipo interno con una cierta autonomía (a excepción de las pequeñas empresas).
- Se compruebe que el delito se haya cometido saltándose tales medidas.
- No se haya producido una omisión o un ejercicio insuficiente de las funciones de control.
Índice de contenidos
Medidas y cumplimiento normativo
Para la puesta en marcha de medidas y cumplimiento normativo, aparece un nuevo perfil dentro de las empresas que es el Compliance officer: profesional encargado de tomar las mejores decisiones para operar cumpliendo siempre con la normativa impuesta. Debe saber qué normativa y leyes le son aplicables a la empresa y cuál es la mejor manera de cumplirlas. Se trata de un perfil mixto a nivel de conocimientos, dominando el campo legal y técnico.
Dentro de las medidas a implantar en la organización, además de normativas y procedimientos, se deben de poner en practica medidas respecto a los sistemas de informacion y el control/acceso de los mismos por parte de los profesionales de la empresa. A nivel tecnológico la tipología de delitos que se comenten suele estar dentro de los siguientes:
- Intrusismo informático
- Violación de la seguridad informática
- Vulneración e intromisión sobre las transmisiones de datos
- Delitos informáticos relacionados con la propiedad intelectual e industrial
- Acciones al respecto de amenazas, calumnias e injurias, independientemente del medio de comunicación por el cual se realice
- Fraudes informáticos y el sabotaje informático
- Posesión de software informático destinado a cometer delitos de falsedad.
Cualquier organización que se enfrente a la puesta en marcha de un Compliance normativo tiene que tener elaborado un plan de acción con fases y objetivos en su implantación. En este sentido la UNE-ISO 19600:2015 es una referencia internacional aplicable a cualquier empresa que ofrece unas directrices para implementar, evaluar, mantener y mejorar un sistema de gestión de Compliance.
Compliance a nivel de sistemas informáticos y seguridad informática
Dentro de las medidas a implantar con el Compliance a nivel de sistemas informáticos e infraestructura tecnológica a llevar a cabo en este sentido, podemos destacar las siguientes. No obstante, para llevarlas a cabo, es fundamental contar con un profesional cualificado en Compliance Digital y seguridad informática. Solo así garantizaremos que nuestra organización cumpla con las normas establecidas y sin riesgos.
1. Implantación de un cuadro de mandos
Para saber si se están cumpliendo o no los objetivos marcados se establece un cuadro de mando que incluya una serie de indicadores, para valorar si las medidas de control definidas son eficaces o no. Según el nivel de digitalización de una empresa, se tendrá un nivel de control en el cuadro de mandos establecido.
2. Sistemas de monitorización
Todas aquellas empresas que están llevando a cabo con éxito un proceso de cambio digital es probable que tengan ya toda su información integrada en un ERP. Por ello cualquier tarea es totalmente trazable al quedar registrada pudiendo saber además qué usuario realizó qué acción. Toda la información generada puede rastrearse, con lo cual, si se define bien un sistema de monitorización y se combina con un sistema de alertas, se pueden detectar acciones sospechosas de fraude con mayor facilidad, estableciendo mecanismos eficaces en cuanto a la seguridad informática de la organización.
3. Generar evidencias
De cara a poder registrar y demostrar alguna infracción, un buen programa de Compliance debe estar desarrollado de manera que se pueda demostrar que existían controles para evitarlo. En este sentido, el email certificado es la herramienta perfecta para generar este tipo de evidencias, ya que permite justificar que una determinada documentación fue entregada y leída por su destinatario.
4. Delegación de funciones
Algo que es fundamentar establecer dentro de la organización de cara a evitar que una persona o un departamento lleve a cabo tareas que puedan dar lugar a fraude, es llevar a cabo una delegación de funciones. Una manera de hacerlo es mediante una matriz con perfiles y tareas en las que se marcan las incompatibilidades. En cuestiones tan criticas como son aquellas relacionadas con la seguridad informática, es fundamental el tener definidos roles dentro del equipo y delimitadas correctamente las tareas.
5. Código ético
Un Código Ético es una declaración pública del compromiso de una empresa con las normas de conducta y los principios de integridad empresarial que han de seguir a todos los profesionales de la organización. Disponer de una herramienta de firma electrónica ayuda a los empleados a poder firmar la documentación fácilmente en cualquier dispositivo digital. Por otro lado, se consigue una trazabilidad y estado de la documentación tanto enviada como recibida.
6. Creación de un canal de denuncias
Es importante habilitar un canal de denuncias tanto interno como externo. Así tanto empleados como clientes, proveedores u otros grupos de interés puedan denunciar conductas contrarias al Código Ético. Una forma de comunicar las denuncias puede ser a través de la página web de la empresa o enviando un correo electrónico directamente a la persona responsable de la investigación.
Esperamos que este articulo dentro del blog jurídico de Miguel Rivas pueda a ayudar como desde los sistemas de informacion de la empresa se puede contribuir a tener mecanismos adecuados para el cumplimiento normativo según la nueva legislación vigente.
Autor:
Ruben Maldonado
Perito Judicial Informático (TecnoPeritaciones)