¿Pueden los RRHH ayudarnos a ser Mejores Actores de la seguridad informática?
¿Pueden los RRHH ayudarnos a ser Mejores Actores de la seguridad informática?
Como comentado en el post anterior las personas, los trabajadores, somos actores de la ciberseguridad y de la ciberinseguridad de la empresa.
¿Debe el departamento de Recursos Humanos ser parte en la gestión de la ciberseguridad de la empresa?
De nuevo, como en el post anterior, la respuesta es sí. Esta idea no es tan loca como parece. Si las personas somos una parte tan importante en estos temas, el área de la empresa cuya principal función son los trabajadores (contratar, dar de alta, informar, formar, dar de baja y un largo etc.) deben estar implicados en asegurar que todo el personal tenga y sepa a quién dirigirse o qué herramientas usar en caso de detectar algún riesgo o algo peor.

Implicación de los RRHH en la prevención y gestión de los ciberataques
El departamento de Recursos Humanos, por su propia función es un área que esencialmente trata información de carácter personal, por lo que debe ser el primero, al tiempo que el de informática, en asegurarse que todo su equipo está formado y concienciado en temas de ciberseguridad.
Se trata de liderar con el ejemplo. Podemos resumir su implicación en base a estos puntos:
- Como usuarios que manejan datos de carácter personal que, por lo tanto, tienen obligaciones legales relacionadas (RGPD, LOPDGDD …)
- Como posibles objetivos de ataques a la información sensible que manejan
Como soporte a los demás miembros del personal de la empresa
Consecuencias del robo de información sensible
Recordemos rápidamente que, para la empresa, las consecuencias del robo de datos o información sensible pueden llegar a ser fatales. Por ejemplo, por implicar:
- Perdida financiera
- Perdida de reputación de marca
- Mala publicidad
- Pérdida de clientes
- Incremento del gasto de gestión de crisis
Prevención RRHH de los ciberataques
En los tiempos que corren, resulta aconsejable que los departamentos de Recursos Humanos tengan la potestad para presentar medidas y establecer obligaciones que, idealmente, ayuden en la prevención de los ciberataques.
Lo primero es establecer las reglas del juego. Una buena forma de presentar las medidas y obligaciones de los empleados en temas de ciberseguridad es integrarlas en forma de capítulo propio en el Reglamento Interno de la empresa.
Como tenemos un acuerdo de confidencialidad que todo trabajador debe haber firmado, también deberíamos tener una “Carta de seguridad informática” que, igualmente, debería ser firmada por todas y todos en la organización.
Hoy en día, todos los empleados, recibimos, por parte de la empresa, herramientas informáticas diversas. Su uso debe estar regulado y, para evitar los ciberataques, resulta conveniente indicar en esta “Carta” cuáles son las buenas prácticas en el uso de dichas herramientas. También puede contribuir a evitar que eventuales ciberataques puedan tener éxito.
Efecto de implantar una “Carta de seguridad informática”
Podemos considerar que a Carta de Seguridad Informática es un añadido al reglamento interior. Si queremos que esta Carta cree una obligación legal, deberá ser firmada por todos los empleados de la empresa, tal como se hace con los acuerdos de confidencialidad, por ejemplo, o con el propio reglamento interior.
Además, la Carta transforma a los empleados en actores, tanto activos como pasivos de la ciberseguridad en la organización. Actores pasivos, puesto que ellos mismos podrán ser objeto de una cibervigilancia por parte de la empresa y activos por su contribución consciente en la seguridad y ciberseguridad.
Implantar y hacer firmar dicha aporta:
- Un efecto conminativo e incentivador, en caso de no poder o querer sancionar. Por ejemplo, podrá ser usado como prueba, ante la AEPD de que se han tomado todas las medidas necesarias para asegurar la protección necesaria a la seguridad de los datos.
- La posibilidad, menos deseable, de sancionar a un trabajador en caso de probar que una intrusión ha ocurrido debido a una mala praxis
3 consejos a los RRHH:
Antes de dar por terminada esta reflexión, debemos recordar que la ciberseguridad en la empresa también:
- Es un papel que deben desempeñar conjuntamente los RRHH y el departamento de Informática
- Necesita formación, concienciación de todos los trabajadores
- No se trata de poner en marcha un “gran hermano”, sino de proteger a la empresa, sus datos y, por descontado, los datos de todos los empleados
El trabajo de todas y todos depende de estemos implicadas e implicados en la protección de la empresa en la que trabajamos. Recordemos que:
- Recuperar la imagen corporativa después de un ataque, cuesta en torno a los 200.000€.
- En los casos más graves: el 60% de las organizaciones desaparecen 6 meses después de haber sufrido una intrusión y/o un robo de información sensible.
Por lo que debemos tomar consciencia de que todas y todos SÍ somos actores de la ciberseguridad de la empresa.
Además de ser actores en la “(in)seguridad de la empresa”, las personas también debemos tomar conciencia de que muchas de nuestras acciones cotidianas, aún con la loable idea de ser más productivos o rápidos, pueden ser fuente de vulnerabilidades para la seguridad de la empresa. Pero esto lo veremos en un próximo post…
Concienciación a la ciberseguridad
En ESCUDA somos conscientes de la importancia de lo humano en el uso de la tecnología y la ciberseguridad, razón por la que hemos desarrollado para nuestros clientes módulos de concienciación a la ciberseguridad. ¿Tienes dudas a este respecto? ¿Necesitas ayuda para concienciar a tus equipos en la importancia de la seguridad ciber? ¿Tienes dudas sobre qué implicaciones tiene el RGPD para tu empresa? No dudes en contactarnos llamando al 931 931 848 o rellenando este formulario.
Más información:
Cómo proteger una empresa de ataques de ingeniería social
En Ciberseguridad, mejor ser ConCISOs
CISO Day 21: Un sofá y un cara a cara con la ciberseguridad
Workers Careless in Sharing & Reusing Corporate Secrets
Las empresas españolas se quedan ‘rezagadas’ en el ámbito de la ciberseguridad
Observaciber. Cómo se protege la ciudadanía ante los ciberriesgos
#escuda #ciberataque #ciberseguridad #cybersecurity #Culturadeciberseguridad #Plandeciberseguridad #concienciación #Cartadeseguridadinformatica #RRHH #RGPD #ciberinseguridad
Puede que estos artículos te gusten
10 tips para actualizar el software… Hazlo por Ciberseguridad
Los dispositivos digitales y el software que usamos a diario están expuestos a fallos de seguridad. Esos fallos pueden ser usados por cibercriminales para tomar el control de un ordenador, de un equipo móvil o hasta de un reloj digital. Actualizar el software, clave...
Phishing: Ciberataque de suplantación de identidad por email y SMS
Hemos sido víctimas de phishing. ¿Qué hacemos? El phishing consiste en el envío de un SMS o un mail fraudulento, destinado a engañar a la víctima, para animarla a comunicar datos personales y/o bancarios, haciéndose pasar por un tercero de confianza. ¿Qué hacer...