En agosto de 2022, el exjefe de seguridad de Twitter, Mudge, cuyo nombre real es Peiter Zatko, presentó una denuncia de 84 páginas ante la Comisión de Bolsa y Valores (SEC) señalando varias debilidades y deficiencias del sitio de microblogging. Malas cifras sobre bots y spam, bajo nivel de seguridad, ocultación de información sobre violación de datos a la junta directiva, todas acusaciones que Twitter ha negado. Como alguien que se ha ganado la vida exponiendo fallos de software, Peiter Zatko dijo que estaba "éticamente obligado" a hacerlo público porque sentía que Twitter no había solucionado los fallos, según una entrevista en Correo de Washington.

No tomó esta decisión a la ligera y muchos expertos que hablan sobre temas de ciberseguridad enfrentan dilemas similares. La mayoría de ellos primero intentan expresar sus preocupaciones internamente y solo se vuelven hacia afuera si sienten que no están siendo escuchados. Cuando una persona decide denunciar una irregularidad, sabe que puede enfrentar graves consecuencias. Los mecanismos legales de divulgación actuales “son difíciles, [et] tienen muchas repercusiones”, explica Peiter Zatko. Por eso cree que algunos aspectos de la denuncia “es necesario revisar”.

Índice
  1. Las empresas juegan con el miedo de los empleados
  2. Crear un entorno seguro para fomentar la notificación de problemas.
  3. La Unión Europea avanza en materia de protección
  4. La CNIL y Anssi vigilan a los denunciantes

Las empresas juegan con el miedo de los empleados

Los empleados que se presentan tienen temores, el principal de ellos "miedo a represalias y miedo a la inutilidad: que hablar no cambiará nada", dice Dana Gold, asesor principal del Proyecto de Responsabilidad Gubernamental. Los empleados de los sectores de tecnología y ciberseguridad deben estar mejor protegidos contra represalias. “Es esencial contar con leyes sólidas de protección de los denunciantes y vías para la divulgación de información, hasta el punto de que no son negociables para una gobernanza pública y privada responsable. Necesitamos que los denunciantes puedan presentarse; no sólo son la mejor defensa contra amenazas críticas, sino que a veces pueden ser la única defensa que tenemos”.

La legislación sobre protección de denunciantes ha mejorado algo en todo el mundo en las últimas décadas, pero aún es necesario realizar cambios para que sea más fácil para estos perfiles de TI informar problemas sin temor a las consecuencias. "Al menos en Estados Unidos, los trabajadores de TI necesitan mejores protecciones", dice Dana Gold. “El Congreso ha sido muy lento e incapaz de regular el sector tecnológico. A pesar de las numerosas audiencias de supervisión destinadas a abordar los problemas de la industria tecnológica, los empleados del sector siguen siendo vulnerables sin protecciones independientes para los denunciantes”.

Crear un entorno seguro para fomentar la notificación de problemas.

A medida que la ciberseguridad se vuelve cada vez más presente en nuestras vidas, es “vital para la seguridad nacional”, como dice Gold, alentar a los denunciantes que informan sobre problemas relacionados con TI. Los países deben hacer dos cosas, afirma. En primer lugar, deben garantizar que los empleados del sector público que trabajan en infoseguridad sean tomados en serio cuando deseen denunciar irregularidades. Esto significa que necesitan tener múltiples vías de acceso y crear un entorno en el que se sientan seguros para presentarse. Sue Bergamo, CISO de BTE Partners comparte esta opinión. "Los gobiernos deberían establecer un programa de denuncia de irregularidades con instrucciones claras sobre cómo divulgar información y luego proporcionar los recursos para implementar procedimientos que alienten a los empleados a presentarse y garantizar un entorno seguro para la denuncia de irregularidades", dijo.

En segundo lugar, los países deben mejorar sus leyes para incluir una fuerte protección contra las represalias contra los empleados de TI, haciendo que las represalias por parte de varias entidades sean ilegales. Esto incluye presión laboral, acoso, doxing, listas negras e investigaciones de represalias. Estados Unidos, por ejemplo, no tiene leyes federales destinadas a proteger a los empleados que denuncian cuestiones de ciberseguridad. Sin embargo, las disposiciones contra las represalias son lo suficientemente amplias como para aplicarse a tales casos. Por ejemplo, algunas leyes que se oponen a castigar a los denunciantes corporativos y a las personas que revelan irregularidades cometidas con fondos federales también pueden aplicarse a los denunciantes en tecnología. Además, en 2021, la iniciativa civil de Lucha contra el ciberfraude del Departamento de Justicia de EE. UU. (DOJ) allanó el camino para el uso de la Ley de Reclamaciones Falsas contra empresas públicas y beneficiarios de subvenciones que presenten afirmaciones falsas de cumplimiento de estándares de ciberseguridad. Además, es posible que se apliquen otras leyes a los denunciantes que informen de problemas con la tecnología.

La Unión Europea avanza en materia de protección

La Unión Europea también ha logrado avances en la protección de los denunciantes. Se invitó a los Estados miembros a transponer la Directiva europea 2019/1937 dentro de su marco legal, y los países que no lo han hecho (Alemania, Estonia, España, Italia, Luxemburgo, Hungría, Polonia y Checoslovaquia) han sido remitido al Tribunal de Justicia en febrero de este año. La directiva pedía a los estados miembros de la UE que fortalecieran la protección de los denunciantes en los sectores público y privado, incluso mediante la creación de un sistema sólido de protección contra represalias. Sin embargo, los avances logrados a nivel legislativo deben ir acompañados de avances similares en las prácticas comerciales.

A nivel nacional, la transposición en Francia de la Directiva europea sobre la protección de los denunciantes por el la llamada ley “Waserman” así como por su decreto de ejecución de 3 de octubre de 2022, modifican significativamente las normas en esta materia. Se trata, en particular, de la ampliación de la definición de descripciones y de las categorías de personas que probablemente emitirán una descripción o se beneficiarán de un régimen de protección vinculado a ella, así como de la creación de normas de procedimiento. “Si los cambios sustanciales se refieren principalmente a las alertas de derecho común, denominadas “alertas profesionales internas”, el nuevo régimen también afecta a las llamadas alertas “sectoriales”, que se rigen por normas específicas”, indica la Comisión Nacional para las Tecnologías de la Información y las Libertades. De hecho, los textos proporcionan una “base común” de garantías mínimas en beneficio de todos los denunciantes, independientemente del régimen (general o específico) al que corresponda el informe.

La CNIL y Anssi vigilan a los denunciantes

En su labor continua de seguimiento de la normativa y de formación de los profesionales, la CNIL ha actualizado su Repositorio de “alertas profesionales” publicado inicialmente en 2019. Esta última versión tiene en cuenta todas las aportaciones recibidas durante la consulta pública abierta del 6 de abril al 5 de mayo de 2023. Por su parte, Anssi también ha puesto en marcha un sistema específico para recopilar y procesar las denuncias de irregularidades, adaptando así a los recientes desarrollos en las regulaciones relativas a la presentación de informes profesionales. “El sistema de denuncia por parte de un denunciante se refiere a información relativa a un delito, un delito, una amenaza o un daño al interés general, una violación o un intento de ocultar una violación de un compromiso internacional regularmente ratificado o aprobado por Francia, un acto unilateral de una organización internacional adoptada sobre la base de tal compromiso, ley, ley o reglamento de la Unión Europea” especifica Anssi en un comunicado de prensa.

La agencia recuerda también que denunciar una alerta “no es un acto baladí”, “el sistema de denuncias no prevé una exención del artículo 40 del Código de Procedimiento Penal que establece que “toda autoridad constituida, cualquier funcionario público o servidor público que , en el ejercicio de sus funciones, tenga conocimiento de un delito o falta está obligado a dar aviso sin demora al Ministerio Público y a transmitir a este magistrado todas las informaciones, actas y actos relativos al mismo”. » Para contactar con Anssi, cualquier persona puede dirigirse a la dirección correspondiente por correo electrónico, por teléfono o por correo postal dirigiéndose a la Secretaría General de Defensa y Seguridad Nacional.