El último tiempo ha sido desafiante para el sector empresarial desde muchos aspectos, siendo uno de los factores constantes la seguridad informática. Y es que, bien sea de bajo o gran impacto, la mayoría de las empresas han sufrido algún ataque. Si bien las razones y formas de vulnerar equipos y redes son amplias, un estudio sobre el impacto de los delitos financieros publicado en 2020 por KPMG, destaca que el 21% de las empresas encuestadas reconoce que los incidentes informáticos son causados por empleados o ex empleados de la compañía.
“En lo que a seguridad digital se refiere, la principal preocupación son los ex empleados y empleados. La realidad indica que en reiteradas oportunidades hemos visto incidentes de seguridad en los que participan empleados o exempleados. Sin ir más lejos, en julio de este año jóvenes criminales engañaron a un empleado de Twitter y lograron comprometer cuentas verificadas de reconocidas personalidades a nivel mundial y llevar adelante una estafa en nombre de los propietarios de los perfiles. Otro caso en el último tiempo en la región ocurrió en 2018 en Chile cuando un empleado del Banco de Chile robó la suma de 475 millones de pesos”, aseguró Camilo Gutiérrez, Jefe de Laboratorio de ESET Latinoamérica.
Asegurar la información privada de los empleados
Los sistemas de administración de recursos humanos (SARH) son una solución informática orientada al área de recursos humanos, ellos contienen datos sensibles de los empleados de una compañía, entre ellos sus servicios financieros, información de nómina, incluso información médica, entre otros. Dada la cantidad y el tipo de información que utilizan estos sistemas, la correcta gestión de seguridad de ella es fundamental para la seguridad de los colaboradores.
“Un sistema de administración de recursos humanos podría presentar una vulnerabilidad o estar indebidamente configurado -como ocurre en muchas empresas que exponen datos privados debido a la mala configuración de una base de datos- y permitir que un actor malintencionado externo o interno acceda a información personal y financiera de los empleados. Y en el caso de que la vulnerabilidad esté en el sistema de un servicio contratado, podría llegar a verse afectada la información personal no solo de su empresa, sino de los colaboradores de todas las empresas que contrataron el servicio”, aseveró el profesional.
En manos equivocadas, la información personal de los trabajadores podría estar en riesgo. Estos datos podrían ser utilizados para realizar ataques de ingeniería social con distintos fines como robo de datos sensibles, que incluso pueden ser comercializados en la “Dark Web”.
Ex empleados y el control de acceso a la información
En algunas compañías, los ex empleados son capaces de acceder a aplicaciones corporativas tras poco tiempo de dejar la organización. Esto es una brecha fundamental que debe ser evitada. Una vez que hay una vulnerabilidad y ocurre un incidente, por más que se realice una investigación para determinar el responsable, ya la información sensible fue expuesta.
Por más que exista una preocupación por el accionar de los empleados y ex empleados de una organización, distintos informes indican que la mayoría de los ex colaboradores tienen acceso a información confidencial después de dejar su puesto de trabajo.
Qué medidas se están implementando
Según el reporte de KPMG, entre las medidas más comunes implementadas por las empresas, solo el 32% asegura realizar evaluaciones de seguridad, una acción de gran importancia para detectar fallos externos o internos y de esta manera reducir el riesgo de que un empleado o un actor externo pueda explotar una posible vulnerabilidad.
Datos del ESET Security Report 2020, informe que analiza el estado de la seguridad de las empresas de América Latina, indican que las organizaciones de la región tienen entre sus principales preocupaciones el acceso indebido a la información (60%), seguido por el robo de información (55%). Por otra parte, apenas el 17% de las empresas implementa el doble factor de autenticación y solo el 48% de las compañías cuenta con las tres medidas básicas de protección: antivirus, backup y firewall. Todo esto demuestra que aún queda mucho por hacer para mejorar la seguridad en el interior de las organizaciones.
“Es importante que las empresas desarrollen una correcta gestión de la seguridad de la información que expliquen cómo se debe abordar las amenazas internas y externas, para mejorar la seguridad de la organización. Además, es necesario incluir capacitaciones de seguridad y acciones de concientización de forma regular a los empleados”, concluyó.
