Según el último barómetro Desde CESIN, el 60% de los ciberataques sufridos por empresas el año pasado estuvieron vinculados al phishing, Spear Phishing o smishing. Además, el 31% de ellos denunció robo de datos. Ante estas cifras alarmantes, las empresas pueden verse tentadas a priorizar la protección de la información de los clientes.
Sin embargo, para los ciberdelincuentes, los de los empleados son igualmente lucrativos y explotables. Los compromisos, especialmente en el sector público, pueden tener consecuencias graves, que van desde el robo de identidad hasta poner en peligro la vida y la seguridad física de los afectados. Los riesgos son particularmente altos para los empleados que manejan información confidencial u ocupan puestos expuestos, por ejemplo en las fuerzas del orden o el sistema judicial.
Factores de vulnerabilidad de los empleados
La protección de datos confidenciales de los empleados a menudo enfrenta obstáculos organizacionales, como silos internos y prioridades desalineadas. En muchas empresas, estos temas no forman parte de las discusiones estratégicas y quedan relegados a los departamentos de RRHH. Estos últimos, aunque son expertos en gestión de personal, contratación y cumplimiento de obligaciones legales, no siempre cuentan con las habilidades necesarias en ciberseguridad. Esta brecha limita su colaboración con los equipos de seguridad y TI, reduciendo su visibilidad y comprometiendo la implementación de protecciones adecuadas.
El comportamiento de los empleados también representa una fuente de vulnerabilidad. Los ataques de phishing suelen tener como objetivo robar credenciales u otra información confidencial, mientras que el uso de credenciales comerciales para beneficio personal expone a la empresa a ataques de relleno de credenciales. Al mismo tiempo, las amenazas internas, ya sea por parte de empleados descontentos o salidas mal gestionadas, representan un peligro adicional para los activos digitales de la organización.
Descubrir, clasificar y proteger
La protección de los datos de los empleados se basa sobre todo en prácticas fundamentales. Al igual que los individuos, las empresas se enfrentan a una sobrecarga digital y la información de los empleados no es una excepción. Estos incluyen elementos como evaluaciones de desempeño, ajustes salariales, beneficios, datos de contacto de emergencia e incluso registros médicos. Recopilados a través de diversos procesos, a menudo se encuentran dispersos en varios sistemas, lo que complica su gestión.
Para mejorar su seguridad, la organización debe tener una visión clara de qué se recopila y dónde. Luego se debe evaluar la relevancia de cada dato: la información innecesaria debe eliminarse de forma segura, mientras que los datos esenciales deben organizarse y protegerse cuidadosamente mediante políticas adecuadas a su nivel de sensibilidad.
Protección rigurosa y uniforme
Un principio clave que debería guiar las estrategias de seguridad de cualquier organización: toda la información personal merece igual protección. Los problemas de los empleados, gestionados por varios departamentos, requieren una estrecha coordinación entre los equipos de TI y de recursos humanos para garantizar un procesamiento adecuado.
La adopción de tecnologías en la nube, esenciales para respaldar los modelos de trabajo remoto e híbrido, complica la aplicación consistente de medidas de seguridad. Los datos confidenciales, que circulan en entornos variados, requieren soluciones capaces de proteger tanto las infraestructuras locales como las alojadas en la nube.
Considere los riesgos de terceros
Así como las organizaciones tienen cadenas de suministro que proporcionan hardware, software y servicios, también tienen una red de proveedores externos que comparten información. Las compañías de seguros, los administradores de planes de jubilación, las empresas de investigación de antecedentes y las organizaciones de empleo profesional (PEO) son ejemplos de terceros que pueden tener acceso a los datos del personal.
Para minimizar el riesgo, es fundamental realizar la debida diligencia y verificar si estas entidades cumplen con los rigurosos estándares de protección esperados dentro de la organización. También es importante observar de cerca sus prácticas de seguridad, el cumplimiento normativo y el historial de protección de datos confidenciales.
Protección justa para clientes y empleados
Aunque las empresas suelen considerar la información de los clientes como más integrada en los procesos de negocio que la información de los empleados, las regulaciones no hacen distinción entre las dos categorías. Marcos legales como GDPR consideran que todos los datos personales merecen protección, independientemente de la relación del individuo con la organización.
Para reducir el riesgo de sanciones relacionadas con el incumplimiento, es fundamental aplicar estándares estrictos para proteger, gestionar el consentimiento y respetar la privacidad de todos los datos personales, ya sean clientes o empleados. Por lo tanto, las organizaciones deben comprometerse plenamente con este enfoque adoptando medidas de seguridad sólidas y estableciendo una cultura centrada en la protección de los datos personales.
About the Author
