lunes, 21 de julio de 2008

Información Privilegiada y Seguridad de la Información, Mecanismos de control


En un post anterior hicimos mención a las necesidades que tienen las empresas de tomar resguardo debido en el uso de información privilegiada y con ello evitarse problemas, en algún momento hicimos mención a los mecanismos de control tales como las murallas chinas, que son mecanismos de control interno de una compañía establecidas fundamentalmente en empresas de asesoría sobre inversiones y emisiones de valores. La finalidad de la muralla es que la información que la empresa obtenga por su trabajo de asesoría o emisión de valores, no se filtre al mismo personal de la empresa que trabaje en otro departamento, por ejemplo, si una empresa pretende realizar una oferta de adquisición deber´evitar que esa información pase a los funcionarios de otros departamento ya que pueden hacer compras para adelantarse a la OPA se busca no permitir la circulación de la información relevante, puede que no sea privilegiada, entre los funcionarios de una misma sociedad. Estos mecanismos, que no tienen materialidad o existencia física, responden a una idea subjetiva de fidelidad hacia la empresa o departamento al que pertenece cada persona. Este mecanismos se recomienda para bancos o empresas de valores. Las áreas que deben estar separadas son las de gestión de inversiones propias, ajenas, gestión de carteras y área de análisis.

Pero, ¿cómo evitamos que se filtre la información por vía de email desde el interior de la organización?

Otro mecanismo que se recomienda son las auditorías, que pueden tener 2 formas, internas o externas. Las internas son efectuadas por personal de la misma empresa, generalmente periódicas y tienen más una relación de verificar el buen funcionamiento de la misma, más que buscar ilícitos en le interior de la organización, estos son mecanismos de control o evaluación de la gestión interna de la compañía, mediante el uso de parámetros objetivos como las estadísticas u normas internacionales de la familia ISO. No olvidemos la importancia de la familia ISO en materia de la seguridad de la información como lo son las normas 27001 y siguientes. La informática también tiene relevancia hoy y se deben generar mecanismos ajustados a nuestro ordenamiento jurídico como también reglamentarios, según lo que permita la ley, dentro de la organización para regular en particular el uso de herramientas informáticas que pueden transformarse en mecanismos de comunicación.


Las auditorías externas voluntarias son llevadas por empresas contratadas especialmente al efecto se realizan 1 vez al año y pueden ser sorpresivas, se realizan cuando se sospecha de algún delito dentro de la organización o se quiere evaluar a algún departamento. Las auditorías externas obligatorias son ordenadas por la SVS, estas están sometidas a un deber de reserva por la información a que accedan en virtud de su trabajo.

Un tema que las empresas no han masificado con los llamados códigos de conductas, estos son mecanismos de normas de orden ético que tienen normas que buscan garantizar las transparencia del mercado de valores y evitar prácticas abusivas del mercado, sus sanciones pueden ser multas o la exclusión expresa o tácita del infractor de su circulo financiero. Si bien las sanciones no están en la ley no serían menores al ser impuestas por los pares.

Siempre es importante recordar que dentro de los mecanismos de control que se impongan en la organización los temas informáticos no deben ser dejados de lado porque gran parte de las comunicaciones se realizan por esta vía, el problema es ¿cómo puedo evitar que la información fluya desde mi organización a otra?

No hay comentarios.: