Video: 3 desafíos que la pandemia le deja a RRHH (Noviembre 2024)
Cuando los piratas informáticos atacan, los recursos humanos (RR. HH.) Son uno de los primeros lugares donde golpean. Recursos humanos es un objetivo popular debido al acceso del personal de recursos humanos a los datos que se pueden comercializar en la web oscura, incluidos los nombres, fechas de nacimiento, direcciones, números de Seguro Social y formularios W2 de los empleados. Para tener acceso a ese tipo de información, los piratas informáticos utilizan todo, desde phishing hasta hacerse pasar por ejecutivos de la empresa que solicitan documentos internos, una forma de phishing que algunos llaman "caza de ballenas", para explotar vulnerabilidades en la nómina basada en la nube y los servicios tecnológicos de recursos humanos.
Para defenderse, las empresas deben seguir protocolos de computación seguros. Eso incluye capacitar a personal de RR. HH. Y otros empleados para que estén en guardia contra las estafas, adoptando prácticas que protejan los datos y examinando a los proveedores de tecnología de recursos humanos basada en la nube. En un futuro no muy lejano, la biometría y la inteligencia artificial (IA) también pueden ayudar.
Los ciberataques no van a desaparecer; en todo caso, están empeorando. Las empresas de todos los tamaños son susceptibles a los ataques cibernéticos. Sin embargo, las pequeñas empresas podrían estar en mayor riesgo porque generalmente tienen menos personas en el personal cuya única tarea es estar atentos al delito cibernético. Las organizaciones más grandes podrían absorber los costos asociados con un ataque, incluido el pago de un par de años de informes de crédito para empleados cuyas identidades han sido robadas. Para las empresas más pequeñas, las consecuencias del robo digital podrían ser devastadoras.
No es difícil encontrar ejemplos de violaciones de datos de recursos humanos. En mayo, los piratas informáticos utilizaron ingeniería social y prácticas de seguridad deficientes en los clientes de ADP para robar los números de Seguridad Social de sus empleados y otros datos de personal. En 2014, los piratas informáticos explotaron las credenciales de inicio de sesión en un número indeterminado de clientes de la suite de nómina y gestión de recursos humanos UltiPro de Ultimate Software para robar datos de los empleados y presentar declaraciones de impuestos fraudulentas, según Krebs on Security.
En los meses más recientes, los departamentos de recursos humanos de numerosas compañías han estado en el lado receptor de estafas de caza de ballenas de impuestos W-2. En varios casos bien informados, el departamento de nómina y otros empleados dieron información fiscal W-2 a los piratas informáticos después de recibir una carta de falsificación que parecía una solicitud legítima de documentos de un ejecutivo de la compañía. En marzo, Seagate Technology dijo que sin darse cuenta compartió la información del formulario de impuestos W-2 para "varios miles" de empleados actuales y anteriores a través de tal ataque. Un mes antes de eso, SnapChat dijo que un empleado en su departamento de nómina compartió datos de nómina para "varios" empleados actuales y anteriores con un estafador que se hizo pasar por CEO Evan Spiegel. Weight Watchers International, PerkinElmer Inc., Bill Casper Golf y Sprouts Farmers Market Inc. también han sido víctimas de artimañas similares, según el Wall Street Journal.
Capacitar empleados
Hacer que los empleados sean conscientes de los peligros potenciales es la primera línea de defensa. Capacite a los empleados para que reconozcan los elementos que se incluirían o no en los correos electrónicos de los ejecutivos de la compañía, como la forma en que normalmente firman su nombre. Presta atención a lo que pide el correo electrónico. No hay razón para que un CFO solicite datos financieros, por ejemplo, porque es probable que ya los tengan.
Un investigador en la conferencia de seguridad cibernética Black Hat en Las Vegas esta semana sugirió que las empresas les digan a sus empleados que sospechen de todos los correos electrónicos, incluso si conocen al remitente o si el mensaje cumple con sus expectativas. El mismo investigador admitió que la capacitación sobre conciencia del phishing puede ser contraproducente si los empleados pasan tanto tiempo revisando para asegurarse de que los mensajes de correo electrónico individuales son legítimos que disminuye su productividad.
La capacitación de sensibilización puede ser efectiva, si el trabajo que la empresa de capacitación en seguridad cibernética KnowBe4 ha realizado es una indicación. En el transcurso de un año, KnowBe4 envió correos electrónicos simulados de ataques de phishing a 300, 000 empleados en 300 empresas clientes de manera regular; Hicieron esto para capacitarlos sobre cómo detectar banderas rojas que podrían indicar un problema. Antes de la capacitación, el 16 por ciento de los empleados hicieron clic en los enlaces de los correos electrónicos de phishing simulados. Solo 12 meses después, ese número cayó al 1 por ciento, según el fundador y CEO de KnowBe4, Stu Sjouwerman.
Almacenar datos en la nube
Otra forma de realizar una ejecución final en torno a los ataques de phishing o caza de ballenas es mantener la información de la empresa en forma cifrada en la nube en lugar de documentos o carpetas en computadoras de escritorio o portátiles. Si los documentos están en la nube, incluso si un empleado se enamora de una solicitud de phishing, solo enviaría un enlace a un archivo al que un pirata informático no podría acceder (porque no tendrían la información adicional que necesitaban para abrirlo o descifrarlo). OneLogin, una compañía de San Francisco que vende sistemas de gestión de identidad, ha prohibido el uso de archivos en su oficina, una hazaña sobre la que el CEO de OneLogin, Thomas Pedersen, ha blogueado.
"Es por razones de seguridad y productividad", dijo David Meyer, cofundador y vicepresidente de desarrollo de productos de OneLogin. "Si roban la computadora portátil de un empleado, no importa porque no hay nada en ella".
Meyer aconseja a las empresas que examinen las plataformas tecnológicas de recursos humanos que están considerando utilizar para comprender qué protocolos de seguridad ofrecen los proveedores. ADP no hizo comentarios sobre robos recientes que afectaron a sus clientes. Sin embargo, un portavoz de ADP dijo que la compañía brinda educación, capacitación e información a clientes y consumidores sobre las mejores prácticas para prevenir problemas comunes de ciberseguridad, como el phishing y el malware. Según el portavoz, un equipo de monitoreo de delitos financieros de ADP y grupos de atención al cliente notifican a los clientes cuando la compañía detecta fraude o intento de acceso fraudulento. Ultimate Software también adoptó precauciones similares después de los ataques a los usuarios de UltiPro en 2014, incluida la institución de autenticación multifactor para sus clientes, según Krebs on Security.
Dependiendo de dónde se encuentre su negocio, es posible que tenga la obligación legal de denunciar los robos digitales a las autoridades correspondientes. En California, por ejemplo, las empresas tienen la obligación de informar cuando se han robado los nombres de más de 500 empleados. Según Sjouwerman, es una buena idea consultar a un abogado para averiguar cuáles son sus obligaciones.
"Hay un concepto legal que requiere que tome medidas razonables para proteger su medio ambiente, y si no lo hace, es esencialmente responsable", dijo.
Utilice el software de gestión de identidad
Las empresas pueden proteger los sistemas de recursos humanos mediante el uso de software de gestión de identidad para controlar los inicios de sesión y las contraseñas. Piense en los sistemas de gestión de identidad como administradores de contraseñas para la empresa. En lugar de depender del personal y los empleados de Recursos Humanos para recordar y proteger los nombres de usuario y las contraseñas de cada plataforma que utilizan para la nómina, los beneficios, el reclutamiento, la programación, etc., pueden usar un inicio de sesión único para acceder a todo. Poner todo debajo de un inicio de sesión puede hacer que sea más fácil para los empleados que pueden olvidar las contraseñas de los sistemas de recursos humanos que solo inician sesión algunas veces al año (lo que los hace más propensos a escribirlos en algún lugar o almacenarlos en línea donde podrían ser robados).
Las empresas pueden utilizar un sistema de gestión de identificaciones para configurar una identificación de dos factores para los administradores de sistemas de recursos humanos o utilizar geofencing para restringir los inicios de sesión, de modo que los administradores solo puedan iniciar sesión desde una determinada ubicación, como la oficina.
"Todos estos niveles de tolerancia al riesgo de seguridad para diferentes personas y diferentes roles no son características en los sistemas de recursos humanos", dijo Meyer de OneLogin.
Los proveedores de tecnología de recursos humanos y las empresas de ciberseguridad están trabajando en otras técnicas para prevenir ataques cibernéticos. Eventualmente, más empleados iniciarán sesión en RR. HH. Y otros sistemas de trabajo mediante el uso de datos biométricos como huellas digitales o escaneos de retina, que son más difíciles de descifrar por los piratas informáticos. En el futuro, las plataformas de ciberseguridad pueden incluir aprendizaje automático que permite que el software se capacite a sí mismo para detectar software malicioso y otras actividades sospechosas en computadoras o redes, según una presentación en la conferencia Black Hat.
Hasta que esas opciones estén más ampliamente disponibles, los departamentos de recursos humanos tendrán que confiar en su propia conciencia, capacitar a los empleados, las medidas de seguridad disponibles y los proveedores de tecnología de recursos humanos con los que trabajan para evitar problemas.
