El riesgo número uno para la exfiltración de secretos comerciales es de amenazas internas: empleados, contratistas o incluso ejecutivos con acceso a información confidencial que la comprometen intencionalmente o accidentalmente. A veces es malicioso, otras veces, es unintentional; Como enviar un correo electrónico a una lista de clientes a una cuenta private para conveniencia. Sin embargo, independientemente de la intención, su empresa debe ponerse en la mejor posición posible para protegerse contra la exfiltración de sus secretos comerciales e información confidencial y/o propietaria. De lo contrario, su empresa podría sufrir daños financieros extremos y, quizás aún peor, perder su ventaja competitiva en el mercado. Para explicar este punto más a fondo, le presento el siguiente estudio de caso:
Representamos a una compañía que ha invertido un tiempo, esfuerzo y gastos considerables para adquirir, agregar y analizar diversos procesos y estructuras operativas para proporcionar los servicios de la más alta calidad para sus clientes. Al igual que muchas compañías, su éxito depende de todo tipo de información confidencial con respecto a sus operaciones, incluidos productos, precios, procesos operativos estándar, indicadores clave de rendimiento y estrategias de capacitación, así como del mantenimiento de dicha información confidencial. Como resultado, antes de que proporcione a ciertos empleados acceso a su información confidencial, la compañía requiere que firmen un acuerdo de confidencialidad como condición de empleo.
1. Las empresas deben identificar, catalogar y auditar regularmente su información secreta comercial.
Uno de los mayores errores que cometen las empresas es asumir que todos saben lo que debe protegerse. Los secretos comerciales a menudo se entierran en las operaciones diarias y se pasan por alto. Además, la seguridad no es solo un problema tecnológico; Es un problema de personas y procesos también. Por lo tanto, los ejecutivos de la compañía deben pensar en los procesos, fórmulas y relaciones más valiosos de su negocio y luego preguntar: ¿quién tiene acceso, quién rastrea ese acceso y cómo se almacena? Una empresa necesita sistemas que no solo protejan la información, sino que también hagan conscientes a los empleados del tipo de información que es confidencial (y vale la pena protegerse). Después de que una empresa responde a estas preguntas, puede implementar protocolos de clasificación, seguimiento y seguridad, y difundir las políticas apropiadas. Y no se olvide de lo que sucede después de que la información ya no es necesaria, ya que los procedimientos de eliminación de documentos deficientes son una de las formas más fáciles de perder el management de los datos confidenciales.
2. Las empresas deben proporcionar capacitación consistente y periódica en el manejo de información confidencial y secretos comerciales.
Dicha capacitación podría incluir (i) términos de uso para dispositivos, sistemas, datos, acceso; (ii) el uso apropiado de acuerdos de no divulgación y/o convenios restrictivos; (iii) acuerdos de asignación; y (iv) Capacitación en conciencia de seguridad. De hecho, los empleados no pueden proteger lo que no saben es confidencial (o elegir no saber que es confidencial). Capacitación common y continua (por ejemplo, no solo la capacitación para nuevas contrataciones) asegura que los empleados entiendan lo que es wise y cómo manejarlo; También ayuda a reforzar las expectativas y mantiene la seguridad de la mente, ya que es importante conectar las políticas con los riesgos del mundo actual para que su fuerza laboral sepa por qué importa, no solo lo que dicen las reglas. Para decirlo sucintamente, cuando los empleados están bien capacitados, se convierten en una parte activa de su estrategia de protección, no solo posibles fuentes de riesgo.
3. Las empresas deben vigilar de cerca el comportamiento de sus empleados, ya que muchas banderas rojas son personales y conductuales, que son cosas que pueden y deben notarse mucho antes de que la información se vea comprometida.
Por ejemplo, un empleado descontento o alguien con un registro de bajo rendimiento puede ser más possible que actúe o mal de manejo. También desea estar atento a las personas que piensan que las reglas no se aplican a ellas (es decir, una actitud de “por encima de las reglas”). Cuando alguien evita a su supervisor o va directamente al liderazgo, puede indicar conflicto o falta de confianza. Del mismo modo, las repetidas violaciones de seguridad o los patrones de trabajo extraños como aparecer a altas horas de la noche o los fines de semana, pueden indicar el comportamiento sobre el comportamiento. Finalmente, alguien que frecuentemente expresa que están subestimados podría tener un mayor riesgo de robo en secreto comercial.
4. Las empresas deben monitorear la actividad digital tanto como sea posible. Si bien los comportamientos personales pueden aumentar las banderas rojas, la tecnología a menudo cuenta la historia actual.
La actividad digital generalmente deja un sendero y con el monitoreo correcto en su lugar, puede darle una advertencia temprana antes de que ocurra una violación. Cambios repentinos en el uso del correo electrónico, los patrones de acceso o el uso del dispositivo, todo podría ser indicadores de robo secreto comercial. La clave es tener sistemas de monitoreo en su lugar que no solo recopilan datos, sino que indican y revisan la actividad sospechosa en tiempo actual, especialmente porque la ventana de riesgo más alto de una empresa es justo o justo después de que alguien abandona la organización. Las empresas deben tener políticas sólidas en su lugar que eviten que los empleados envíen información relacionada con la empresa a sus cuentas de correo electrónico private y puedan descargar documentos a un dispositivo USB; Las empresas también pueden querer monitorear los correos electrónicos de los empleados para asegurarse de que dicha actividad no ocurra. Si bien este tipo de conducta puede ser el resultado de un empleado descuidado sin intenciones malas tan fácilmente como un empleado malévolo que quiere dañar a la empresa, desde el punto de vista de proteger la información confidencial de su empresa, ambas situaciones son riesgosas y podrían conducir a la exfiltración de datos confidenciales. En consecuencia, antes de la terminación de un empleado, una empresa debe revisar el historial de correo electrónico de ese empleado y tomar medidas para recuperar todos y cada uno de los correos electrónicos enviados a su dirección de correo electrónico private, especialmente si alguno de esos correos electrónicos contiene información confidencial o de propiedad o secretos comerciales.
5. Es importante no pasar por alto la seguridad física, ya que a menudo es donde la protección digital se descompone.
Dependiendo de su industria y/o qué se está haciendo en su lugar físico de negocios, su empresa puede querer controlar quién puede ingresar áreas confidenciales, ya sea a través de insignias, puertas cerradas o protocolos de visitantes claros, y restringir la grabación o dispositivos fotográficos en áreas con información confidencial. Del mismo modo, las empresas pueden querer rastrear el movimiento de ciertos empleados, ya que los registros, la videovigilancia, las cámaras y los sistemas de identificación pueden ayudar a identificar patrones de acceso inusuales. Las empresas también deben marcar y monitorear sus documentos físicos más sensibles y asegurarse de que se almacenen de forma segura y eliminada adecuadamente. Las empresas deben capacitar a los empleados para que hablen si ven un comportamiento sospechoso en el sitio e incluso tienen un sistema de informes de comportamiento sospechosos, si es posible.
6. Cada empresa debe tener un plan claro para gestionar la exfiltración secreta comercial, especialmente durante los períodos de transiciones de los empleados o posibles amenazas de información privilegiada.
Finalmente, su empresa debe planificar y una hoja de ruta para incorporar y fuera de borde, incluidos los planes para responder a un posible incidente de amenaza interna. Los empleados que salen son una de las fuentes más comunes de exposición secreta al comercio y una de las más prevenibles. Como resultado, su empresa debe realizar rutinariamente entrevistas de entrada y salida y tener un plan claro sobre cómo manejar las terminaciones de los empleados. El proceso de salida debe ser minucioso, no apresurado e incluir a la compañía que recupere todos los dispositivos, elimine el acceso a esos dispositivos y tenga una conversación en persona sobre las continuas obligaciones de confidencialidad. Su empresa debe prestar especial atención al acceso digital, ya que las herramientas en la nube, las carpetas compartidas o las credenciales automáticas pueden ser fáciles de pasar por alto. Es importante destacar que con nuestro ejemplo de caso, no asuma que la tecnología emitida por la empresa será devuelta en condiciones limpias. En consecuencia, asegúrese de asegurar el {hardware} y mantener una cadena de custodia. Un inventario closing ayuda a garantizar que nada salga por la puerta, ya sea física o digitalmente.
Es importante tener en cuenta que no es un proyecto único para implementar las estrategias establecidas anteriormente. Comercy Secret Safety es algo que usted y su empresa deben volver a visitar continuamente a medida que su empresa crece, su equipo cambia y se introducen nuevas herramientas o plataformas. Sin embargo, mantener estas estrategias de la mente contribuirá en gran medida a permitirle descansar un poco más fácil sabiendo que los secretos comerciales de su empresa y la información confidencial y patentada están suficientemente protegidas.
Jordan B. Schwartz es socio en la oficina de Conn Maciel Carey’s Washington, DC. El Sr. Schwartz aconseja a los empleadores sobre una amplia gama de cuestiones complejas relacionadas con el empleo. Defiende a los empleadores contra reclamos de discriminación y acoso, apropiación indebida de secretos comerciales y violaciones de salarios y horas. También aconseja a los empleadores sobre todos los aspectos de la relación empleador-empleado. Su práctica incluye lo siguiente: Ley de Wage & Hour; Acuerdos de no competencia y secretos comerciales; la Ley de Americanos con Discapacidades (ADA); acoso y discriminación; asesoramiento laboral; y Administración de Seguridad y Salud Ocupacional (OSHA). Schwartz practica en una variedad de industrias diferentes y tiene una amplia experiencia en las industrias de contratación de hospitalidad, salud, venta minorista y de contratación gubernamental.
Este artículo apareció originalmente en HospitalityLawyer.com.