Las áreas de recursos humanos manejan una gran cantidad de datos confidenciales. Esto incluye información personal de los colaboradores, políticas de la compañía, recibos de nómina, etc., los cuales pueden causar daños masivos si son filtrados. Por tanto, los profesionales de recursos humanos (RH) se encuentran en una posición clave para prevenir las ciberamenazas.
Los datos de los colaboradores son susceptibles de ataques y explotación a través de diversos medios, incluida la ingeniería social, también conocida como phishing o smishing; malware; actualizaciones de software faltantes, lo que puede llevar a que los piratas informáticos obtengan acceso remoto a un sistema; y vulnerabilidades web.
Consejos para mejorar la Ciberseguridad de una Organización en el área de RH:
Capacitación de los colaboradores
El ingreso de colaboradores es una oportunidad para sentar las bases de una cultura de concienciación sobre los riesgos. Los departamentos de recursos humanos deben impartir una capacitación en su área sobre la concientización de los riesgos de ciberseguridad.
RH debe trabajar en conjunto con los profesionales de seguridad y Tecnología de la Información (TI) de su empresa para garantizar que los datos confidenciales que manejan no se vean comprometidos.
Dado que el personal de RH se comunica frecuentemente con los colaboradores, está bien posicionado para compartir información sobre las expectativas de seguridad y privacidad y, a menudo, ya trabajan para mantener los temas de seguridad como una prioridad para los colaboradores. Por ejemplo, algunos departamentos de recursos humanos organizan iniciativas de formación específicas, mientras que otros dependen de boletines y vídeos.
CiberHigiene
El equipo de RH puede olvidar que tienen registros confidenciales en sus dispositivos personales o no seguir los mejores procedimientos para almacenar y proteger estos datos.
Cada colaborador debe practicar una ciberhigiene básica, es decir, monitoreo, control, y resguardo exhaustivo de contraseñas de acceso a sistemas que contengan información confidencial para prevenir fugas de información, piratería de datos y robos de identidad.
Creación de procesos en materia de ciberseguridad
RH puede trabajar en la creación de procesos que incluyan la incorporación y baja de usuarios y los pasos para la respuesta a contingencias en caso de una crisis de ciberseguridad.
En algunas organizaciones, las áreas de RH junto con TI ya forman parte del comité de seguridad de la empresa. La perspectiva de los profesionales en recursos humanos puede ayudar al área de TI y seguridad a maximizar los controles de ciberseguridad y al mismo tiempo minimizar los riesgos.
Actualización del software corporativo
El aumento de las nuevas tecnologías simultáneamente conlleva un aumento del riesgo cibernético. El uso del software utilizado para el área de recursos humanos debe estar actualizado constantemente.
La implementación de actualizaciones en su software corrige las vulnerabilidades de seguridad a través de un «parche», una pequeña pieza de software que mejora los sistemas, los mantiene actualizados y corrige las vulnerabilidades de seguridad para mantener a raya a los piratas informáticos y al malware. Cuando las vulnerabilidades no se corrigen o no se resuelven, las empresas quedan susceptibles a ciberataques o infracciones.
Capacitación y sanciones en materia de protección de datos personales
Actualmente, es imprescindible que una empresa cuente con programas de capacitación en seguridad y privacidad de datos. Las regulaciones que rigen la adquisición, el uso y el almacenamiento de datos son cada vez más complejas.
Las sanciones por una mala protección de datos, ya sea que conduzca o no a una violación de datos, pueden resultar en multas elevadas y acciones legales. Las acciones y actitudes de los colaboradores hacia la protección y la seguridad de los datos afectan la ciberseguridad general de la empresa.
La buena ciberseguridad comienza con los colaboradores, no todos tienen la misma experiencia o conocimiento sobre las tecnologías que utilizan todos los días. Esto puede dejar a una organización expuesta a amenazas.
Recursos humanos suele participar en el cumplimiento de las políticas de la empresa en torno al mal manejo o abuso de datos, por lo tanto, debe hacer un esfuerzo para poner al día a los colaboradores sobre cualquier sistema de la empresa que pueda suponer un riesgo.
Correos electrónicos y archivos adjuntos
El correo electrónico es el recurso de comunicación dominante para RH, el cual permite a los colaboradores y solicitantes de empleo la oportunidad de llegar al departamento rápidamente. Por esta razón es sumamente importante que el personal de RH esté plenamente capacitado y conozca las políticas a seguir en comunicaciones externas.
No contar con controles y precaución en este proceso puede hacer que la ciberseguridad de la compañía se vea vulnerada. Por ejemplo: correos electrónicos que incluyan enlaces o archivos adjuntos maliciosos utilizados por ciberdelincuentes para obtener acceso al sistema corporativo mediante tácticas como phishing o secuestro de datos.
10 acciones para mejorar la Ciberseguridad en RH
- Contar con contraseñas de red seguras y cambiarlas frecuentemente.
- Capacitaciones y actualización constante en temas de ciberseguridad.
- Mantener actualizaciones de software.
- Proporcionar una sólida protección de ciberseguridad para aplicaciones basadas en la nube.
- Emplear los servicios de una empresa de ciberseguridad externa para auditar las capacidades internas de protección.
- Utilizar un proceso de verificación de antecedentes para entrevistas y contrataciones remotas.
- Eliminar el acceso al sofware corporativo, sistemas, aplicaciones y archivos a todos los ex colaboradores de la empresa de forma inmediata al confirmarse su salida laboral.
- Realizar auditorías y evaluaciones periódicas, implementar medidas de seguridad del correo electrónico.
- Contar con procedimientos internos para informar amenazas al área de TI de forma inmediata y capacitación a los colaboradores sobre como responder a ellas de manera eficiente y a sus alcances poder responder a ellas.
- Implementación de sanciones en caso de no respetar las políticas en materia de ciberseguridad.
En conclusión, la ciberseguridad de una empresa es responsabilidad de todos. Trabajar en equipo facilitará la implementación de políticas e incluso la promoción de la cultura de seguridad que mencionamos anteriormente.
¿Te gustaría conocer más a detalle las soluciones para respaldar de manera segura la información de tus colaboradores? En LegaLario podemos ayudarte a proteger tu empresa. ¡Contáctanos!