Cualquier persona que trabaje en el ámbito de la seguridad informática estará al tanto de dos cosas: que el error humano sigue siendo uno de los mayores causantes de las filtraciones de datos en las organizaciones, y que los altos directivos pueden contarse entre los peores infractores. A ello se suma el hecho de que España es conocida por tener uno de los regímenes de protección de datos más restrictivos en la Unión Europea, y los miembros del consejo podrían enfrentarse a sanciones graves por cualquier infracción.
Cualquier miembro del consejo sabe que la información y los datos compartidos y tratados durante una reunión de consejo son probablemente los más privados de una empresa. Podrían tratar de asuntos financieros complejos y confidenciales o incluso relativos a la futura estrategia de la organización en cuestión, y que dicha información acabase en las manos equivocadas resultaría altamente perjudicial.
Además, tener distintas personas en el consejo de administración hace que resulte más difícil controlar la seguridad. Los miembros del consejo de empresas importantes suelen estar muy ocupados y no siempre tienen tiempo o ganas de prestar mucha atención a las medidas de seguridad. Los altos directivos suelen asumir que alguien se ocupará de ello en su lugar, cuando, en realidad, se necesita su plena cooperación.
Educar al consejo
La primera medida para proteger los datos de sala de juntas debe pasar por poner al día a los miembros del consejo con los esfuerzos y la política de seguridad de la organización. El consejo establece el orden del día para todos, así que si los miembros del consejo son laxos en cuanto a la seguridad de los datos, pueden delegar la tarea con facilidad al resto de la empresa.
Por lo tanto, esto debe incluir que se garantice una mayor sensibilización en relación con la seguridad cibernética: que se conozcan las políticas de ciberseguridad de la empresa, que se compruebe que dichas políticas estén en funcionamiento y se apliquen como estaba previsto, y ser consciente del tipo de riesgos que puede correr la empresa. Se necesitará un enlace del departamento informático con el consejo para comprobar que se cubren estas lagunas de conocimiento.
Reducir los errores humanos
Debido a la naturaleza de su cargo, los miembros del consejo son probablemente más propensos a cometer errores humanos que otros: tienen acceso a los datos más confidenciales, viajan más, usan más sus propios dispositivos y puede que no dominen tanto la tecnología como los empleados más jóvenes. Aunque poco puede hacer el departamento de informática si se olvida un documento en una fotocopiadora en un hotel en cualquier rincón del mundo, sí puede ayudar a gestionar el riesgo que plantea el almacenamiento de datos en dispositivos móviles.
Existen más riesgos en relación con los dispositivos móviles, en particular si los miembros del consejo utilizan su propio dispositivo (en inglés, BYOD). Es posible que algún familiar haya utilizado el dispositivo o que el dispositivo esté conectado a redes sociales, el Internet de las cosas, etc., por lo que existe intrínsecamente un mayor riesgo de filtración de datos.
Así pues, las medidas de seguridad deben incluir formas de mantener los datos del trabajo separados de los datos personales, tal vez utilizando un sandbox o datos de compartimentación, recogiéndolos quizá en una aplicación específica. Si el dispositivo se pierde, algo que siempre puede suceder, tiene que haber medidas para garantizar que se pueda denegar el acceso o los datos puedan borrarse de forma remota.
Mejor tecnología de consejo
La transformación digital ha incidido en muchas áreas de negocio; sin embargo, las reuniones del consejo siguen curiosamente intactas. Aunque España cuenta con algunas de las sanciones más altas en cuanto a la protección de datos (con multas de hasta 600.000 € por infracción) y un organismo de protección de datos, la Agencia Española de Protección de Datos (AEPD), con fama de ser una de las más feroces de la UE, todavía queda un largo camino por recorrer en los consejos de administración.
En muchas reuniones de consejos en España y toda Europa, los ejecutivos recopilan, comparten y gestionan información de una forma que los equipos de seguridad no permitirían en otras áreas de la empresa, y ello conlleva un factor de alto riesgo. Por eso está aumentando el uso de los portales online de consejo de administración para sustituir los paquetes de documentos basados en PDF en las reuniones de los consejos. Estos portales de consejo no solo mejoran la seguridad de los datos, sino que además consiguen un uso significativamente más productivo del tiempo de los miembros del consejo.
Es importante utilizar un portal de consejo que cuente con la correspondiente certificación ISO 27001; así, los miembros del consejo tienen toda la información que necesitan para sus reuniones y pueden acceder a la misma fácilmente mediante su iPad o smartphone.
Proteger los datos de la sala de juntas plantea un reto tanto cultural como técnico, pero contar con la tecnología correcta supone, sin duda, un factor importante. El incumplimiento de las medidas de seguridad adecuadas puede dar lugar a una infracción grave, sancionada con las penas detalladas en el apartado anterior «Mejor tecnología de consejo».
La mejor solución vendrá de un proveedor que combine la seguridad con la facilidad de uso, para que los miembros del consejo no traten de encontrar una solución alternativa que eluda las medidas de seguridad.
