Secretos comerciales, Ciberseguridad y manejo de crisis

Entre la multitud de temas que abarca la gestión de riesgos tenemos o referente a los secretos comerciales y al manejo de crisis, que son dos temas poco atendidos pero que pueden ser de alto impacto para el presente y futuro de una organización.

La mayor parte del esfuerzo de los compradores, gerentes de categoría y CPOs se concentra en la gestión de la relación con los proveedores, pero en muchas ocasiones, ninguno de ellos invierte suficiente tiempo en la gestión del riesgo de la cadena de suministro.

La gestión del riesgo no solamente previene a la empresa de ser impactada por fallas en los proveedores o interrupciones en la cadena de suministro, también ayuda a medir y anticipar la salud financiera de los proveedores  basado en señales tempranas a partir de los indicadores establecidos.

Un sistema de monitoreo completo no solo pone su atención en los principales proveedores de la cadena de suministro, sino también en proveedores de segundo y tercer nivel.  Cuando estos sistemas se conectan con un modelo de Inteligencia Artificial, se acelera y mejora la toma de decisiones asociadas con riesgos potenciales y presentes.

Además de lo anterior, la gestión del riesgo debe ser parte de todo el proceso de cadena de suministro y compras, como un soporte para anticipar los problemas y ser proactivo, reduciendo o eliminando las consecuencias negativas y maximizando las oportunidades.

Dentro del riesgo, existen algunos temas especiales que deben ser atendidos, uno de ellos es el de la protección de los secretos comerciales. Una encuesta reciente realizada por Bloomberg sobre como manejan las empresas de diferentes tamaños este tema, reveló que las organizaciones perciben la protección de esto como algo de prioridad alta o muy alta, pero que sus empresas no lo manejan de manera efectiva.

Los secretos comerciales no son como la propiedad intelectual, las patentes, los derechos o registros de marca, que pueden ser registrados, son información de uso común que la empresa decide proteger porque le genera un valor especial.

La tercera parte de los participantes, indicaron que su empresa sufrió robos de ésto en los últimos 10 años y 70% piensan que este riesgo crecerá en los próximos 5 años, principalmente como consecuencia de los avances tecnológicos. Un tema relevante, es que 21% respondieron que en su empresa no existe alguien formalmente responsable de su protección. El 57% consideran que es una responsabilidad del área legal, pero esto puede caer en otras áreas como IT, seguridad, HR o compras, por lo que se requieren implementar protocoles, políticas y tecnología para su gestión.

Las principales causas de riesgo para los secretos comerciales, son la falta de controles para limitar el acceso a ellos, así como el no contar con protocolos de investigación en caso de robo. Las mejores medidas para su protección incluyen medidas físicas, passwords, accesos limitados o encriptación.

En muchos casos los secretos se filtran cuando la gente deja las organizaciones, un estudio de Symantec, indica que el 50% de los trabajadores admiten mantener información confidencial después de dejar una empresa y 40% la piensa utilizar en su nueva fuente de trabajo. Se identificó que 20% de las empresas, no tiene procedimientos en el área de recursos humanos para tratar el tema cuando los colaboradores renuncian o son despedidos.

Tengamos presentes que algunos de estos secretos se comparten con socios de negocio y por lo tanto sufren el mismo destino. Desarrollar medidas de protección, gobierno y acceso a los datos, debe ser un tema relevante para dar la seguridad necesaria a esta valiosa información.

Para el caso especial de los ciberataques, las empresas deben tener un claro plan de respuesta a incidentes, cosa que solo ocurre en el 24% de las empresas, según un estudio de Ponemon. El no saber cómo responder a estas situaciones, pone en alto riesgo a la empresa y a sus socios de negocio, amén de incumplir con requerimientos legales y de los clientes.

Entre los impactos de un incidente de seguridad, se pueden mencionar perdidas de productividad, daños a la imagen y costos legales. Si bien es cierto que las empresas pequeñas y medianas son menos propensas a estas situaciones, también hay que considerar que tienen muy pocos recursos para atender el tema y no tienen la resiliencia adecuada para su recuperación.

Para tener un plan de respuesta a incidentes (IRP), se recomiendan los siguientes cuatro pasos:

  1. Preparación. Definir un equipo de respuesta con claros roles y responsabilidades, una clara definición de incidentes con sus impactos asociados y las acciones para limitarlos o recuperar la operación.
  2. Detección y análisis. Definir los vectores de ataque interno y externos, junto con sus fuentes, estableciendo líneas bases para el desempeño y categorización para los incidentes.
  3. Contención, erradicación y recuperación. A partir del análisis, se decide el rumbo a tomar en función de la tolerancia al riesgo propio de la organización.
  4. Actividades post incidente. Esto se refiere a la documentación y estrategias a incorporar en los planes.

Los planes deben ser probados bajo diferentes escenarios, para asegurar que sirven bajo las condiciones actuales y futuras.

Finalmente, un artículo muy interesante con relación a como el CEO de Walmart manejó la crisis de la tragedia ocurrida en la tienda de El Paso, nos refuerza la importancia de que las empresas tengan protocolos claros para el manejo de crisis ocasionadas por cualquier tipo de fuente.

Si bien es recomendable revisar todo el artículo, me parece relevante destacar el análisis de la carta publicada por el CEO bajo el criterio de las “4 Cs”: ser Compasivo, Comprometido, Cándido y Comunicativo.

En una crisis, la forma y el fondo son esenciales, el futuro de la empresa puede depender de la oportunidad y el tipo de reacción que tengan las cabezas de la organización, pero también los primeros que den la cara ante el trágico evento.

Para mayor información consultar “A Day in the Life of a Risk-Aware CPO” publicado por Riskmethods, The Reality of Trade Secret Protection, escrito por Roffman, Murphy y Grimes, “Developing a Formal Cyber Incident Response Plan”, escrito por Nick Son y  “Walmart CEO Shows How To Lead During a Tragic Crisis” escrito por  Jeff Cunningham.

Discuss this:

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.