¿Pueden los RRHH ayudarnos a ser Mejores Actores de la seguridad informática?

    Acepto y he leído la política de privacidad.Ver política.
    Responsable tratamiento: ESCUDA SGSI, S.L.
    Finalidad: venta de bienes, servicios y comunicación comercial.
    Derechos: entre otros, acceso, rectificación, supresión a escuda@escuda.es

    Acepto recibir información con fines publicitarios y de prospección comercial, incluido el envío de boletines y noticias (email, SMS y cualquier otro medio electrónico) sobre promociones y novedades de ESCUDA SGSI S.L. relacionados con servicios informáticos y ciberseguridad.

    ¿Pueden los RRHH ayudarnos a ser Mejores Actores de la seguridad informática?

    Como comentado en el post anterior las personas, los trabajadores, somos actores de la ciberseguridad y de la ciberinseguridad de la empresa.

    ¿Debe el departamento de Recursos Humanos ser parte en la gestión de la ciberseguridad de la empresa?

    De nuevo, como en el post anterior, la respuesta es sí. Esta idea no es tan loca como parece. Si las personas somos una parte tan importante en estos temas, el área de la empresa cuya principal función son los trabajadores (contratar, dar de alta, informar, formar, dar de baja y un largo etc.) deben estar implicados en asegurar que todo el personal tenga y sepa a quién dirigirse o qué herramientas usar en caso de detectar algún riesgo o algo peor.

    rrhh seguridad informática

    Implicación de los RRHH en la prevención y gestión de los ciberataques

    El departamento de Recursos Humanos, por su propia función es un área que esencialmente trata información de carácter personal, por lo que debe ser el primero, al tiempo que el de informática, en asegurarse que todo su equipo está formado y concienciado en temas de ciberseguridad.

    Se trata de liderar con el ejemplo. Podemos resumir su implicación en base a estos puntos:

    • Como usuarios que manejan datos de carácter personal que, por lo tanto, tienen obligaciones legales relacionadas (RGPD, LOPDGDD …)
    • Como posibles objetivos de ataques a la información sensible que manejan

    Como soporte a los demás miembros del personal de la empresa

    Consecuencias del robo de información sensible

    Recordemos rápidamente que, para la empresa, las consecuencias del robo de datos o información sensible pueden llegar a ser fatales. Por ejemplo, por implicar:

        • Perdida financiera
        • Perdida de reputación de marca
        • Mala publicidad
        • Pérdida de clientes
        • Incremento del gasto de gestión de crisis

    Prevención RRHH de los ciberataques

    En los tiempos que corren, resulta aconsejable que los departamentos de Recursos Humanos tengan la potestad para presentar medidas y establecer obligaciones que, idealmente, ayuden en la prevención de los ciberataques.

    Lo primero es establecer las reglas del juego. Una buena forma de presentar las medidas y obligaciones de los empleados en temas de ciberseguridad es integrarlas en forma de capítulo propio en el Reglamento Interno de la empresa.

    Como tenemos un acuerdo de confidencialidad que todo trabajador debe haber firmado, también deberíamos tener una “Carta de seguridad informática” que, igualmente, debería ser firmada por todas y todos en la organización.

    Hoy en día, todos los empleados, recibimos, por parte de la empresa, herramientas informáticas diversas. Su uso debe estar regulado y, para evitar los ciberataques, resulta conveniente indicar en esta “Carta” cuáles son las buenas prácticas en el uso de dichas herramientas. También puede contribuir a evitar que eventuales ciberataques puedan tener éxito.

    Efecto de implantar una “Carta de seguridad informática”

    Podemos considerar que a Carta de Seguridad Informática es un añadido al reglamento interior. Si queremos que esta Carta cree una obligación legal, deberá ser firmada por todos los empleados de la empresa, tal como se hace con los acuerdos de confidencialidad, por ejemplo, o con el propio reglamento interior.

    Además, la Carta transforma a los empleados en actores, tanto activos como pasivos de la ciberseguridad en la organización. Actores pasivos, puesto que ellos mismos podrán ser objeto de una cibervigilancia por parte de la empresa y activos por su contribución consciente en la seguridad y ciberseguridad.

    Implantar y hacer firmar dicha aporta:

    • Un efecto conminativo e incentivador, en caso de no poder o querer sancionar. Por ejemplo, podrá ser usado como prueba, ante la AEPD de que se han tomado todas las medidas necesarias para asegurar la protección necesaria a la seguridad de los datos.
    • La posibilidad, menos deseable, de sancionar a un trabajador en caso de probar que una intrusión ha ocurrido debido a una mala praxis

    3 consejos a los RRHH:

    Antes de dar por terminada esta reflexión, debemos recordar que la ciberseguridad en la empresa también:

      • Es un papel que deben desempeñar conjuntamente los RRHH y el departamento de Informática
      • Necesita formación, concienciación de todos los trabajadores
      • No se trata de poner en marcha un “gran hermano”, sino de proteger a la empresa, sus datos y, por descontado, los datos de todos los empleados

    El trabajo de todas y todos depende de estemos implicadas e implicados en la protección de la empresa en la que trabajamos. Recordemos que:

      • Recuperar la imagen corporativa después de un ataque, cuesta en torno a los 200.000€.
      • En los casos más graves: el 60% de las organizaciones desaparecen 6 meses después de haber sufrido una intrusión y/o un robo de información sensible.

    Por lo que debemos tomar consciencia de que todas y todos SÍ somos actores de la ciberseguridad de la empresa.

     

    Además de ser actores en la “(in)seguridad de la empresa”, las personas también debemos tomar conciencia de que muchas de nuestras acciones cotidianas, aún con la loable idea de ser más productivos o rápidos, pueden ser fuente de vulnerabilidades para la seguridad de la empresa. Pero esto lo veremos en un próximo post…

    Concienciación a la ciberseguridad

    En ESCUDA somos conscientes de la importancia de lo humano en el uso de la tecnología y la ciberseguridad, razón por la que hemos desarrollado para nuestros clientes módulos de concienciación a la ciberseguridad. ¿Tienes dudas a este respecto? ¿Necesitas ayuda para concienciar a tus equipos en la importancia de la seguridad ciber? ¿Tienes dudas sobre qué implicaciones tiene el RGPD para tu empresa? No dudes en contactarnos llamando al 931 931 848 o rellenando este formulario.


    Más información:

    Cómo proteger una empresa de ataques de ingeniería social

    En Ciberseguridad, mejor ser ConCISOs

    CISO Day 21: Un sofá y un cara a cara con la ciberseguridad

    Workers Careless in Sharing & Reusing Corporate Secrets

    Las empresas españolas se quedan ‘rezagadas’ en el ámbito de la ciberseguridad

    Observaciber. Cómo se protege la ciudadanía ante los ciberriesgos

     

    #escuda #ciberataque #ciberseguridad #cybersecurity #Culturadeciberseguridad #Plandeciberseguridad #concienciación #Cartadeseguridadinformatica #RRHH #RGPD #ciberinseguridad

     

    Puede que estos artículos te gusten

    ¿Qué es Pegasus? El software espía más famoso

    ¿Qué es Pegasus? El software espía más famoso

    A mediados de 2021, en Francia, se comenzó a hablar mucho del software Pegasus. Un software espía o ‘spyware’ que parecía afectar a dispositivos móviles. Sobre todo smartphones de personalidades nacionales, incluido al jefe de estado francés, Emmanuel Macron.  Desde...

    Leer más

    ¿Te ha gustado este artículo?

    Comparte esta publicación con quien tú quieras