Lo sentimos, pero su explorador no es compatible con Marsh.com

para una mejor experiencia, por favor actualice su navegador:

X

INVESTIGACIÓN Y BOLETINES

Director de RH – Por qué sus empleados son su eslabón más fuerte – y más débil – de sus defensas cibernéticas

 


Una laptop descuidada, un teléfono móvil extraviado, o un documento de un cliente que es visible en un iPad en el transporte público: le guste o no, cualquiera de estas puede ser la peor pesadilla de una empresa cuando se trata de gestión de riesgos cibernéticos. Debido a que la seguridad cibernética efectiva frecuentemente comienza y termina con el comportamiento de los empleados, el Director de Recursos Humanos (DRRHH) desempeña una función importante en la prevención de incidentes cibernéticos.

Después de todo, los empleados son una fuente común de filtraciones de información o de interrupción de negocios, ya sea mediante errores humanos relacionados con la Tecnología Informática (TI), un proveedor cuyas credenciales de acceso se vieron en riesgo, o un clic de un empleado por descuido en un correo malicioso. Según el Índice de Inteligencia de Seguridad Cibernética de 2014 de los Servicios de Seguridad de IBM, se citó a los errores humanos como un factor contribuyente en más del 95 por ciento de los incidentes cibernéticos investigados.

Como Director de RH, su labor es mantener a los empleados actualizados en cuanto a incidentes que puedan afectar la seguridad o moral del trabajador. Instruirlos en cuanto a inteligencia de amenazas cibernéticas no es distinto.

MOTIVANDO A LOS EMPLEADOS PARA CONVERTIRSE EN VIGILANTES CIBERNÉTICOS

Los siguientes cinco pasos preventivos le pueden ayudar a trabajar con los empleados para prevenir y disminuir los ataques cibernéticos:

  1. Monitorear el programa “trae tu propio dispositivo” (BYOD) de su empresa. Uno de los mayores desafíos es cómo reforzar las protecciones de contraseñas al llevar a cabo negocios en dispositivos personales.
  2. Preparar campañas de concientización cibernética. RH y TI deben trabajar estrechamente para informar a los empleados de las amenazas cibernéticas.
  3. Crear políticas y procedimientos en torno a la seguridad de la información cuando los empleados dejan la empresa. Muy a menudo, las credenciales de los empleados que dejan la empresa no son canceladas de forma oportuna, permitiéndoles conservar el acceso a información sensible.
  4. Instruir a los empleados acerca de los ataques de spear phishing. Es importante desarrollar ejercicios en conjunto con el departamento de TI para determinar las respuestas del empleado al spear phishing.
  5. Mantenerse al día con los cambios. Se requiere de un esfuerzo constante para educar a los empleados acerca de la evolución de los riesgos cibernéticos.

FACTORIZACIÓN DE LA RESPONSABILIDAD

Dependiendo de la motivación de la filtración, todo tipo de información de los empleados puede perderse a la mitad de un ataque cibernético, incluyendo calificaciones de desempeño, salarios y otros registros privados. Esto puede resultar costoso. Los datos personales potencialmente pueden venderse en la “dark web”, en donde los registros de salud, por ejemplo, generalmente tienen un precio más elevado que la información de tarjetas de crédito.

La pérdida de información también puede llevar a reclamaciones significativas de responsabilidad contra las empresas por prácticas de los empleados. Por ejemplo, las filtraciones de salarios o de estrategias de remuneración de administración podrían derivar en demandas.

CONCLUSIÓN

Como DRRHH, usted tiene una oportunidad única de involucrar a los empleados en cuanto a seguridad cibernética y ayudarlos a protegerse a sí mismos y a la empresa. Entre más activo sea usted en su función, su firma y su personal estarán mejor protegidos.