Telefónica, Mercadona e Inditex, entre las firmas que responsabilizan a sus empleados de los errores en ciberseguridad
La ciberseguridad aterriza en los derechos laborales, pero los convenios de algunas empresas siguen descargando la responsabilidad en los trabajadores
La ciberseguridad importa, y cada vez más. Se espera que el sector supere en España los 1.324 millones de euros este año. Pero si hay cifras más impactantes, estas son las que suponen las pérdidas ocasionadas por ciberataques.
Los delitos informáticos ocasionaron pérdidas en todo el mundo que superaron por primera vez el 1% del PIB de todo el globo en 2019. 800.000 millones de euros.
Una compañía especializada en seguridad informática estimó que solo con los ataques con ransomware, las empresas españolas pudieron perder 125 millones de euros pagando rescates a los criminales por un valor superior a los 125 millones de euros. Solo en 2020.
Y una web está haciendo un cálculo mediante los datos que aportan los propios usuarios sobre cuánto se están llevando los ciberdelincuentes que operan el ransomware en todo el mundo en lo que va de año.
A pesar de ser una iniciativa novedosa, los resultados arrojan ya 42 millones de dólares solo en lo que va de año. Hace tan solo un mes y medio cálculos todavía más preliminares de esta web estimaban 28 millones.
La ciberseguridad mueve dinero, pero no confiar en ella y no invertir lo suficiente puede provocar que muchas empresas pierdan mucho más.
A eso, hay que sumar otro factor: el teletrabajo. Trabajar en remoto ha hecho que muchos empleados hayan estado más expuestos que nunca a las amenazas de la red. Por consiguiente, muchas compañías, tanto pequeñas como medianas y grandes, han visto cómo los riesgos de sufrir cualquier tipo de incidente informático se han disparado desde que estalló la pandemia.
Muchas veces estos ciberataques suceden porque los criminales informáticos seleccionan a uno de los eslabones más débiles de la cadena: los trabajadores
En muchos casos, el teletrabajo ni siquiera es un factor. La economía es cada vez más digital y los activos y bienes de los negocios españoles están conectados a la red. Tanto maquinaria como sensores y dispositivos, así como datos y equipos informáticos, son también superficies en las que los ciberdelincuentes pueden atacar.
Muchas veces estos ciberataques suceden porque los criminales informáticos seleccionan a uno de los eslabones más débiles de la cadena: los trabajadores. Desde asaltos con ransomware que se propician después de que un asalariado sea víctima de un phishing hasta fraudes masivos por el robo de contraseñas a directivos.
Un error en ciberseguridad, una falta «muy grave»
Por esa misma razón, cada vez son más los convenios colectivos que acuerdan los representantes de los trabajadores y las compañías que incluyen epígrafes completos a la ciberseguridad. Hay casos audaces, como el nuevo convenio colectivo que se ha planteado Iberdrola. El convenio de la energética dedica un capítulo completo a la «ciberseguridad» y al «uso de herramientas informáticas».
Los trabajadores «cumplirán con la política y normativa interna en materia de ciberseguridad» para reducir «las consecuencias resultantes de la exposición a riesgos», como «la divulgación, degradación, interrupción, modificación o destrucción no autorizada de la información, o de los sistemas de información», resume el documento.
Business Insider España ha analizado los convenios colectivos o sectoriales que aplican a algunas de las principales empresas del país. Mercadona, por ejemplo, se reserva el derecho de «verificar» con programas informáticos «la correcta utilización de los medios y dispositivos electrónicos propiedad de la empresa» por parte de sus trabajadores, como detalla su propio convenio.
La cadena de supermercados lo estipula en el apartado de faltas «muy graves» que pueden ser sancionadas. De la misma manera figura en el convenio colectivo de Telefónica, que considera también otra falta «muy grave» el «envío consciente y deliberado» de programas maliciosos «que puedan causar perjuicios en los sistemas de información de la empresa o de terceros».
Primark, en su convenio, también entiende como «falta muy grave» que un trabajador transgreda «las normas de seguridad informática». El convenio sectorial de grandes almacenes al que se adhiere El Corte Inglés emplea los mismos términos. Inditex se queda en considerar como falta «revelar secretos o datos de obligada reserva».
La ciberseguridad en la negociación colectiva
José Prieto es socio de Laboral en Baker McKenzie. El abogado reconoce que en los convenios colectivos «no suele ser habitual encontrar aspectos relativos a la ciberseguridad». En los sectoriales es todavía más difícil porque, por su naturaleza, «no pueden ir al detalle de todas las industrias y áreas bajo su paraguas», enfatiza.
Sin embargo, sí detalla cómo algunas cuestiones algo más genéricas sí van apareciendo. Precisamente esas faltas graves o muy graves que ya se aprecian en los convenios de grandes empresas. Prieto abunda en que este tipo de cuestiones son más habituales de ver en políticas de empresa. «Una compañía puede actualizar sus políticas a toda velocidad», incide.
«En los convenios colectivos no suele ser habitual encontrar aspectos relativos a la ciberseguridad».
Por el contrario, un convenio suele ser un documento «tiene una vigencia mayor y, por tanto, no se suele adaptar con tanta velocidad». Prieto recuerda la Ley Orgánica de Protección de Datos que transpuso en 2018 el RGPD europeo. En su artículo 87 se recogen una serie de capítulos laborales en el que se estipula lo siguiente:
Por eso, el abogado de Baker McKenzie plantea no detenerse únicamente en los convenios colectivos, sino llevarlo todo al terreno de la negociación colectiva. Aunque las políticas de empresa no tienen por qué ser negociadas con los sindicatos, la LOPD abre la puerta a que estos planteamientos sí lo sean.
«Esta norma es de 2018. Ha pasado poco tiempo y ha venido la pandemia. En mi opinión, todavía no se han desplegado todos sus efectos. Pero según esto, los representantes de los trabajadores tienen que participar. Aunque participar puede tener una interpretación abstracta y subjetiva«, advierte Prieto, que igualmente confía ver en más referencias a la seguridad informática en futuros convenios.
Las sanciones en convenios son solo medidas reactivas
José María Martínez Salamanca es también socio de Laboral en otro despacho de abogados, Cuatrecasas. En declaraciones a Business Insider España, se explaya más en cómo muchas veces la ciberseguridad se reduce a la tipología de sanciones graves o muy graves que pueden cometer los empleados según estos convenios colectivos.
Martínez Salamanca reconoce que ya han recibido consultas al respecto. «Cuando la recibimos, hay que valorar si es proporcionar implementar una sanción como la suspensión de empleo y sueldo o el despido según el caso». Cada caso es un mundo: tras un ciberataque, un empleado puede haber tenido una actitud negligente o dolosa. O puede que no.
«Antes, para robar a una empresa, era necesaria una coincidencia de tiempo y lugar. La persona que iba a apoderarse de los bienes de un objetivo tenía que estar en el centro físico de la empresa en el mismo momento en el que estuviese el botín o el objeto a robar», detalla Martínez. «Ahora no hace falta que se coincida en tiempo y lugar».
Por eso, el abogado entiende que es «normal» que en los convenios colectivos se tienda a recoger cada vez más ciertas medidas sobre ciberseguridad. «Medidas que, no nos olvidemos, son reactivas. Se activan cuando el incumplimiento ya ha existido», lamenta.
«A un trabajador no se le puede exigir la misma diligencia» en una empresa que sí tome medidas preventivas en materia de ciberseguridad que en otra que no las tome
Por eso, Martínez Salamanca introduce otro elemento importante. «A un trabajador no se le puede exigir la misma diligencia» en una empresa que sí tome medidas preventivas en materia de ciberseguridad que en otra que no las tome.
«Si una empresa cuenta con una conducta proactiva para evitar estas conductas, con cursos o sistemas informáticos acordes, tiene más sentido que pueda haber castigos. «Pero, si no le da esa importancia a la ciberseguridad, luego puede ser más complicado implementar determinadas medidas laborales», concluye.
No toda la responsabilidad ha de ser de los trabajadores
Algunas de las consultas específicas que José María Martínez Salamanca ha recibido en Cuatrecasas tienen que ver con «descuidos» que se han cometido en algunas empresas. Descuidos que han desembocado en ciberataques o incidentes informáticos más o menos graves.
«Habrá que ver siempre si el descuido es uno en el que podría caer cualquier persona o si era posible evitarlo con la diligencia debida». En términos bastante gráficos: no es lo mismo caer en un timo como el del príncipe nigeriano que hacerlo en un correo que esté suplantando a un directivo de tu compañía exigiendo ciertos datos corporativos.
Francisco Pérez Bes es abogado, socio de Derecho Digital en el ECIX Group y fue secretario general del Instituto Nacional de Ciberseguridad (INCIBE). En declaraciones a Business Insider España, coincide con su compañero Martínez Salamanca.
«Si un empleado obra de mala fe y busca un daño a su empresa abriéndole la puerta a unos delincuentes, no hace falta ni que lo diga el convenio colectivo. La legislación ya contempla esos escenarios». Pero Pérez Bes cree que no se deberían recoger únicamente supuestos como ese, sino que estos deberían complementarse «con la realidad».
«Si un empleado obra de mala fe y busca un daño a su empresa abriéndole la puerta a unos delincuentes, no hace falta ni que lo diga el convenio colectivo. La legislación ya contempla esos escenarios»
Por eso, el abogado de ECIX Group lo lleva todo al ámbito de la cultura empresarial, de la formación constante a los trabajadores: «La ciberseguridad no solo compete al empleado. Es algo que concierne a toda la compañía. Hay que exigirle a un empleado un comportamiento prudente, razonable y cuidadoso».
«Pero al empresario hay que exigirle que invierta tiempo, recursos y esfuerzos». Esfuerzos en campañas de formación y sensibilización que permita tomar la temperatura a los niveles de capacidad y conocimiento de los propios trabajadores.
«Más vale tarde que nunca»
Pérez Bes coincide con sus colegas al ver cómo la ciberseguridad se adentra en el mundo de la negociación colectiva y de los convenios y derechos y deberes de los trabajadores. Pero «ha tardado», lamenta. «Son riesgos que gestionamos diariamente, que nos amenazan. Que se incluyan en los convenios tiene todo el sentido del mundo».
«La cuestión es recoger en esos convenios esas obligaciones de diligencia y comportamiento, que se deben exigir recíprocamente», refiere, en referencia tanto a la plantilla como a los directivos. «Es normal que se incluya y debe ser la tendencia a futuro. Aunque vamos un poco tarde, más vale tarde que nunca», concede.
«La cuestión es recoger en esos convenios esas obligaciones de diligencia y comportamiento, que se deben exigir recíprocamente»
«Tampoco me parece correcto que la balanza solo caiga en la responsabilidad del empleado. El empleado tiene unas herramientas tecnológicas a su alcance, pero hay que enseñarle cómo funcionan, explicarle qué riesgos tienen, sensibilizarle… La empresa tiene un papel que jugar». «Más que responsabilidad, debe haber corresponsabilidad».
Por su parte, Pérez Bes reconoce que de los casos con los que se ha encontrado a la hora de gestionar incidentes, él se ha encontrado con empresas que por el momento «no han puesto el foco en el trabajador. Lo han visto como una víctima más del engaño. Lo que han tratado de hacer es protegerle, apoyarle, y no sancionarle».
«Hemos visto casos de phishing que han causado perjuicios económicos. Pero las empresas están siendo conscientes de que los malos están ahí fuera».
Noticia original: Business Insider
Autor: Alberto R. Aguiar