Mejorar los sistemas de seguridad de Recursos Humanos y mantener entrenados a quienes están en su nómina empresarial debe ser prioridad.
Los datos personales son valiosos. Y un expediente de empleo suele tener información que compite con la médica o la bancaria (y suele incluirlas ambas) en cuanto a datos sensibles se refiere.
No es la única razón por lo que las empresas deben monitorear y hasta analizar constantemente y a profundidad su nómina empresarial.
¿Sabía usted que casi una cuarta parte de las intrusiones cibernéticas son causados por personas de su nómina?
Así lo reveló un estudio sobre el impacto de los delitos financieros publicado en 2020 por KPMG en el cual se destaca que:
21% de las empresas encuestadas reconoce que el origen de los incidentes informáticos son causados por empleados o ex empleados de la compañía.
Por ello, crear protocolos de seguridad en torno a la nómina, incluyendo cómo se manejará la salida de los empleados puede ser esencial para mantener la integridad de los datos.
Gestión de confianza
En este sentido, el Jefe de Laboratorio de ESET Latinoamérica, Camilo Gutiérrez, afirmó que la verificación de la nómina empresarial constituye un mecanismo primario de seguridad. Un ejemplo de estas vulnerabilidades ocurrió en Chile cuando un empleado del Banco de Chile robó la suma de 475 millones de pesos chilenos en 2018.
“La realidad indica que en reiteradas oportunidades hemos visto incidentes de seguridad en los que participan empleados o exempleados. Sin ir más lejos, en julio de este año jóvenes criminales engañaron a un empleado de Twitter y lograron comprometer cuentas verificadas de reconocidas personalidades a nivel mundial y llevar adelante una estafa en nombre de los propietarios de los perfiles”, comentó al respecto.
Esto es debido, según reconocieron tanto el informe como Gutiérrez, a que, en algunas compañías, los ex empleados son capaces de acceder a aplicaciones corporativas tras poco tiempo de dejar la organización.
Por más que exista una preocupación, distintos informes indican que la mayoría de los ex colaboradores tienen acceso a información confidencial después de dejar su puesto de trabajo.
Cerrar la brecha
Datos del ESET Security Report 2020, informe que analiza el estado de la seguridad de las empresas de América Latina, indican que las organizaciones de la región tienen entre sus principales temores:
- 60% que ocurra un acceso indebido a la información
- 55% ser víctimas del robo de información
- En contraste, pocas organizaciones tienen entre sus protocolos las medidas adecuadas de seguridad para resguardar tanto la nómina empresarial como el resto de la información sensible:
- 48% de las compañías cuenta con las tres medidas básicas de protección: antivirus, backup y firewall.
- 17% implementan el doble factor de autenticación.
Todo esto demuestra que aún queda mucho por hacer para mejorar la seguridad en el interior de las organizaciones
“[Porque] Una vez que hay una vulnerabilidad y ocurre un incidente, por más que se realice una investigación para determinar el responsable, ya la información sensible fue expuesta”, recordó el líder de investigación de ESET.
Empiece por la nómina empresarial
Según el reporte de KPMG, entre las medidas más comunes implementadas por las empresas:
- Solo el 32% asegura realizar evaluaciones de seguridad…
- … una acción de gran importancia para detectar fallos externos o internos…
- … que reduzcan el riesgo de que un empleado o un actor externo pueda explotar una posible vulnerabilidad.
Gutiérrez explicó que no es inusual que un sistema de administración de recursos humanos presente vulnerabilidades o esté indebidamente configurado – debido a un majejo pobre de la base de datos – y permitir que un actor malintencionado externo o interno acceda a información personal y financiera de los empleados.
“En el caso de que la vulnerabilidad esté en el sistema de un servicio contratado, podría llegar a verse afectada la información personal no solo de su empresa, sino de los colaboradores de todas las empresas que contrataron el servicio”, afirma Gutierrez.
Monitorear estos sistemas que parecen inofensivos e inocuos evita exposiciones catastróficas. Un CIO debe ir más allá de lo evidente. Comience por resguardar su nómina empresarial.