Visión general
Cuando se trata de ciberseguridad, las personas, más que los sistemas de IT, suelen ser el eslabón más débil de la cadena para muchas organizaciones. Y, desafortunadamente, este vínculo se vuelve aún más vulnerable gracias a los riesgos adicionales creados por la pandemia del nuevo coronavirus (COVID-19).
Por ejemplo, la pandemia ha obligado a muchas empresas a pasar al trabajo remoto. En 2019, solo el 8,3% de los trabajadores españoles podía teletrabajar desde casa antes de la pandemia (ya fuera de manera habitual u ocasionalmente), pero la crisis obligó a las organizaciones de todas las industrias a adoptar rápidamente el trabajo en remoto, abriendo la puerta a un mayor riesgo cibernético.
Muchos empleados, que no están acostumbrados a trabajar desde casa, tienen más probabilidades de ser víctimas de ataques de phishing que parecen provenir de fuentes legítimas que si estuvieran en la oficina.
Te puede interesar: La clave de la seguridad en el teletrabajo: garantizar la protección de los empleados por ciberataques | Diagnóstico Cyber 2020
Además, la incertidumbre económica causada por la pandemia, así como los despidos resultantes y los cambios en la compensación y los beneficios, aumentan aún más los riesgos cibernéticos. Los trabajadores estresados y no comprometidos tienen más probabilidades de cometer errores o, en el peor de los casos, tomar medidas activamente contra sus compañías si sienten que han sido perjudicados de alguna manera.
Estos riesgos, provenientes muchas veces por las personas de la propia compañía, resaltan el hecho de que, ahora más que nunca, la seguridad cibernética no es solo responsabilidad del director de tecnología (CTO) o del director de seguridad de la información (CISO). Cada vez más, existe un papel importante en este tema para el director de recursos humanos (CHRO). “Si bien el CTO y el CISO son, y siempre serán, líderes centrales en la identificación y mitigación del riesgo cibernético, los líderes de recursos humanos también deben alinearse en esta batalla”, dice Sam Willoughby, director gerente y líder de práctica de investigaciones de Aon Cyber Solutions. «Cuando toda la organización prioriza y coordina un enfoque para reducir el riesgo cibernético, crea un nivel de resiliencia colaborativa más poderosa que las soluciones únicas e independientes».
A fondo
Los ciberdelincuentes se dieron cuenta rápidamente de las oportunidades que ofrecía la pandemia de COVID-19. Y han encontrado una forma de entrar en los sistemas de una empresa mediante negligencia o mails maliciosos a través de los empleados. Un informe de Verizon destaca el peligro y muestra que en 2019 las acciones de los empleados representaron el 30% de todas las brechas de datos.
El resultado: los ataques de spear-phishing relacionados con el coronavirus aumentaron un 667% en marzo, según cifras de Barracuda Sentinel.
«La suposición predominante es que la seguridad cibernética es un problema de gestión de riesgos y tecnología de la información, pero es más un problema de personas», dice Harris Schwartz, vice president, advisory practice at Aon Cyber Solutions. “La crisis de la pandemia envalentona a los delincuentes y aumenta las vulnerabilidades. Hoy en día existe la necesidad de un enfoque coordinado, con líderes de recursos humanos que ayuden a abordar mejor el ciberriesgo relacionado con las personas. Existe una gran oportunidad aquí para que los CHRO lideren de nuevas formas”.
A medida que las empresas se trasladan al trabajo remoto, traen a algunos trabajadores de regreso a la oficina o se ven obligadas a realizar movimientos de personal desagradables para sobrevivir a la crisis, el papel del CHRO en la gestión del riesgo de pandemia se vuelve evidente.
Capacitación estratégica para una fuerza de trabajo remota más segura
Las organizaciones con mano de obra remota se enfrentan a un problema espinoso cuando se trata de reducir su exposición al riesgo cibernético: cómo fortalecer las defensas sin limitar la productividad o la flexibilidad operativa. Ingresa al equipo de recursos humanos.
Los líderes de recursos humanos pueden ayudar a abordar el riesgo cibernético al colaborar con IT para financiar y lanzar programas educativos sólidos. Por ejemplo, estos programas pueden tomar la forma de módulos educativos trimestrales con actualizaciones de amenazas en tiempo real.
«Aquí hay espacio para la creatividad», dice Schwartz. “Las compañías pueden traer a expertos externos como speakers o desarrollar un programa de embajadores en la oficina para impartir la capacitación. RR.HH. puede liderar un cambio de la dependencia de los programas de capacitación estándar a la capacitación estratégica, los planes de estudio y los métodos de entrega «.
RR.HH. también puede ayudar a garantizar que los empleados comprendan las políticas de ‘traiga su propio dispositivo’ (BYOD, “bring your own device”) de la organización y educar a los empleados sobre las responsabilidades y expectativas para manejar datos confidenciales o información del cliente.
Abordar los retos con el regreso a la oficina
A medida que las organizaciones van volviendo a su lugar de trabajo, se enfrentan a nuevos desafíos de seguridad cibernética.
Los empleados regresarán a la oficina con los dispositivos que usaron en casa. Es posible que las nuevas incorporaciones se hayan perdido el onboarding y normativa de incorporación adecuada antes de que la pandemia obligara a cerrar las oficinas o podrían necesitar capacitación de actualización en seguridad cibernética. Y, por supuesto, existe la posibilidad de que un nuevo brote de COVID-19 obligue a volver al trabajo remoto completo.
El equipo de recursos humanos está bien posicionado para trabajar con otras áreas de la organización para ayudar a abordar estos desafíos.
A medida que los empleados regresan, Schwartz dice que la función de recursos humanos puede:
- Trabajar con los equipos de seguridad de la información para asegurarse de que los empleados comprendan la necesidad de que sus dispositivos sean examinados en busca de amenazas antes de conectarse a las redes de la empresa.
- Asegurarse de que las contrataciones recientes pasen por un segundo proceso de incorporación en el que la conciencia de la seguridad cibernética ocupa un lugar destacado.
- Brindar a todos los empleados que regresan al lugar de trabajo orientación actualizada sobre las políticas de seguridad de la organización.
- Ayudar a la organización a preparar planes de respuesta a incidentes para ataques cibernéticos y ayudar a liderar el esfuerzo para practicar esos planes.
Finalmente, el departamento de recursos humanos puede ayudar a garantizar que los controles de seguridad cibernética se adapten junto con otros cambios en el negocio a medida que evoluciona la crisis de COVID-19, incluida la posibilidad de futuros brotes y la necesidad de volver rápidamente al trabajo remoto, dice Schwartz.
Te puede interesar: Fraude por ingeniería social
Gestión del impacto de los movimientos de personal pandémicos
El número de incidentes de seguridad cibernética vinculados a personas con información privilegiada ha aumentado en un 47% desde 2018, según una investigación del Instituto Ponemon. En 2020, la media de los costes que producía un ciberataque interno alcanzaba más de $11,4 millones, para una compañía.
Durante la pandemia, muchas organizaciones se han visto obligadas a tomar decisiones difíciles (despidos, recortes salariales, reducciones de beneficios para los empleados) para seguir siendo económicamente viables.
Los trabajadores ya están estresados por los efectos de la pandemia en todas las áreas de su bienestar. Para algunos, los cambios de trabajo y la incertidumbre pueden generar resentimiento y provocar actividades maliciosas como el robo de propiedad intelectual o el fraude.
RR.HH. puede ayudar a abordar el riesgo de varias maneras. La comunicación clara y frecuente puede ayudar a tranquilizar a los empleados afectados por el estrés o ansiedad, mientras que los gerentes pueden recibir capacitación para reconocer estas señales en sus equipos. Las líneas directas de denuncia de irregularidades también pueden ayudar a abordar las amenazas internas.
Además, RR.HH. puede ayudar a mitigar la amenaza de los «malos abandonos» o despidos, al garantizar que las políticas de desvinculación incluyan desactivar el acceso a los sistemas de la empresa, dice Willoughby.
«RR.HH. puede contribuir a crear una cultura de cumplimiento en toda la organización mediante la incorporación, la formación y el desarrollo, y la gestión del cambio para reforzar los protocolos y las expectativas de seguridad«.
En la crisis actual, El CHRO se convierte en una pieza clave de ciberseguridad
En la era COVID-19, los líderes de recursos humanos pueden desempeñar un papel vital para abordar el riesgo cibernético. El CHRO (Chief Human Resources Officer) puede estar en el centro de los esfuerzos para construir equipos de liderazgo senior multifuncionales que equilibren eficazmente las necesidades para abordar la seguridad cibernética, los riesgos financieros, la gestión de riesgos y las comunicaciones legales e internas.
El objetivo es crear una cultura de seguridad cibernética, y el CHRO puede ser una figura central para lograr ese objetivo.
“A medida que las organizaciones abordan el impacto de la pandemia, más que nunca el CHRO debe ser parte del esfuerzo para prescribir e implementar programas de seguridad cibernética para satisfacer las demandas del siglo XXI ”.
– Sam Willoughby, managing director and practice leader of investigations, Aon Cyber Solutions
Este artículo se ha proporcionado como recurso informativo para los clientes y socios comerciales de Aon. Su objetivo es proporcionar una guía general sobre posibles exposiciones y no proporcionar asesoramiento médico ni abordar inquietudes médicas o circunstancias de riesgo específicas. La información proporcionada en este artículo es de carácter general y Aon no se hace responsable de la orientación proporcionada. Recomendamos encarecidamente a los lectores que busquen información adicional de seguridad, médica y epidemiológica de fuentes creíbles como la Organización Mundial de la Salud. En lo que respecta a las cuestiones de cobertura de seguros, si la cobertura se aplica o si una póliza responderá a cualquier riesgo o circunstancia está sujeto a los términos y condiciones específicos de las pólizas y contratos de seguro en cuestión y las determinaciones relevantes del asegurador. Si bien se ha tenido cuidado en la producción de este artículo, y la información contenida en él se ha obtenido de fuentes que Aon cree que son confiables, Aon no garantiza, representa o garantiza la precisión, adecuación, integridad o idoneidad para ningún propósito de el informe o cualquier parte del mismo y no puede aceptar ninguna responsabilidad por cualquier pérdida incurrida de alguna manera por cualquier persona que pueda confiar en él. Todo destinatario será responsable del uso que dé a este artículo.
Este artículo ha sido elaborado utilizando la información disponible hasta la fecha de su publicación original en el blog de Aon ‘The One Brief’.
La información contenida en el presente site noa.aon.es ha sido elaborada de acuerdo a la experiencia de Aon, en su condición de correduría de seguros, para cada una de las soluciones y tipos de póliza, pero en ningún caso prejuzga la existencia de cobertura aseguradora, ni en modo alguno podrá interpretarse como asesoramiento legal u opinión jurídica. Dada la compleja situación existente, en la que se está aprobando distinta normativa por parte de las autoridades gubernativas y las dispares interpretaciones que pueden derivarse de dicha situación -a efectos de las coberturas contenidas en las pólizas-, recomendamos que consulte con sus asesores legales como proceder en cada caso concreto.
El alcance de nuestro trabajo, incluyendo la actividad de asesoramiento y soporte en siniestros a compañías clientes, sigue siendo el contenido en nuestro acuerdo de condiciones de servicio (TOBA).
Aon Gil y Carvajal, S.A.U. y las sociedades de su grupo empresarial no asumen responsabilidad de clase alguna frente a cualquier tercero incluyendo el destinatario del mismo, en relación al contenido del presente site noa.aon.es. En todo caso, si alguien decidiera basarse en el contenido de este documento, tal decisión como los resultados que de ella se deriven serán de la exclusiva responsabilidad de dicho tercero.