Ciberseguridad en el lugar de trabajo: cómo proteger su negocio de las amenazas diarias

En las películas de acción y ciencia ficción como Dark Night, Independence Day y Minority Report, la ciberseguridad (o la falta de ella) se convierte en un interesante argumento, en el que se piratean líneas celulares, se usan virus para acabar con oscuros intereses alienígenas y se predicen delitos mediante el monitoreo de Internet.

Sin embargo, en el mundo real, el espionaje cibernético y el riesgo de que los datos importantes caigan en las manos equivocadas —es cualquier cosa menos entretenido. Es una amenaza muy real, y algo que tanto los propietarios de negocios como los profesionales de Recursos Humanos tienen que tomarse muy en serio.

En la mejora de la seguridad de los datos deben participar por partes iguales la tecnología y las personas. Las prácticas diarias del personal son igual de importantes que los cortafuegos y el software antivirus por el lado tecnológico. Los siguientes consejos pueden ayudarle a fortalecer ambos —y a que pueda asegurarse de que hace todo lo posible para salvaguardar información delicada:

Manténgase al día

Las amenazas cibernéticas están en constante cambio, así que asegúrese de que está al día de lo último en pirateo, virus, malware y otros ataques por Internet. Si podrían afectar su negocio, tiene que conocer las amenazas y saber qué pasos tomar (proactiva y reactivamente) para evitar daños. Esto incluye instalar el último y más “limpio” software de seguridad, navegador web y sistema operativo como defensa básica, junto con seguridad de cortafuegos para su conexión de Internet, para evitar el acceso de extraños. Y no cometa el error de pensar que porque la suya sea una empresa pequeña, pasa desapercibida. Más piratas cada vez buscan empresas con perfiles públicos más pequeños que quizás no estén tan al tanto de los riesgos.

Eduque a su personal

Más allá de esta capa básica de protección, es de importancia crítica que realice la capacitación en seguridad de su personal. “Siempre se debe enfatizar el papel que juegan sus empleados en la seguridad general de su empresa”, comenta Ivan Parra, Director de Tecnología de la información en TrackSmart.com, un sistema de administración de RR. HH. basado en la nube. “Incluso he oído hablar del cortafuegos humano para describir este aspecto de la ciberseguridad.”

Para empezar, refuerce la importancia de desarrollar contraseñas sólidas y crípticas, de no escribirlas ni compartirlas con nadie, y de cambiar las contraseñas de forma regular (al menos trimestralmente). Y aunque probablemente esté filtrando el spam de los correos de sus empleados, tenga en cuenta que los scams de phishing vienen también de sitios web fraudulentos.

Revise las normas para el correo electrónico y la navegación por Internet, como NUNCA hacer clic en enlaces sospechosos y comunicar SIEMPRE los incidentes cuestionables. Repase además la política sobre software. Un empleado que descargue un juego o programa nuevo puede abrir la puerta a la entrada de malware. Más allá de los aspectos prácticos de la ciberseguridad, comparta con ellos situaciones del mundo real relevantes. Por ejemplo, ¿qué debería hacer un empleado si deja accidentalmente la computadora portátil de la empresa en un avión? O, ¿cuál es el riesgo de hacer compras o usar banca en línea desde una red de la empresa?

Centralice y controle sus archivos de RR. HH.

La parte de RR. HH. de su negocio obtiene y comparte una gran cantidad de información delicada sobre sus empleados, y toda ella debe protegerse de amenazas internas y externas. En lugar de voluminosos gabinetes archivadores llenos de archivos en papel, cada vez más negocios mantienen sus documentos de Recursos Humanos como archivos digitales.

Ivan Parra, quien ve los lugares de trabajo sin documentos en papel como una extensión lógica de nuestra cada vez mayor dependencia de las herramientas electrónicas, comparte con nosotros algunos consejos prácticos: “Deberían encriptarse estos archivos, de ser posible, y guardarlos en un servidor seguro que requiera el acceso con autenticación. No se pueden tomar atajos con esto.”

Además, limite la disponibilidad únicamente al personal aprobado para ello, y use un registro digital para dejar constancia de quién vio la información, cuándo la vio y el motivo para el acceso a ella. Para los archivos que todavía maneje en papel, organice los registros de modo que no se pierda nada; almacene los archivos bajo llave y archive los expedientes médicos por separado, según los requisitos de ADA, FMLA, OSHA y HIPAA.

Conserve únicamente los documentos esenciales

No debe tener años y años de información acumulándose, lo que aumenta su nivel de riesgo de que pirateen sus archivos. Los formularios I-9, por ejemplo, solo tienen que guardarse durante un año desde que el empleado deja la empresa, o durante tres años desde la fecha de contratación, lo que suceda más tarde.

Para otros tipos de información delicada —como números del Seguro Social, direcciones o información de cuenta bancaria de los registros de nómina— tenga en cuenta que algunos estados tienen leyes que protegen la privacidad de sus empleados, así que asegúrese de que sigue las últimas pautas. Antes de tirar cualquier cosa, revise los requisitos de conservación de archivos, y use software de sobreescritura para borrar archivos digitales y dispositivos de trituración (los dispositivos de corte cruzado o los que hacen microcortes son los mejores) para desechar documentos en papel.

Elimine el mayor riesgo

¿Recuerda el ejemplo de dejar una computadora portátil en un avión? Una de las mayores causas de violaciones de seguridad en los datos es la pérdida de dispositivos portátiles. En lugar de descargar archivos del trabajo en lápices de memoria y discos, los empleados deberían poder trabajar de forma remota a través de una conexión por Internet. Asegúrese de que sea con una conexión segura, como una red privada virtual (VPN). Y aliente a sus empleados a informar inmediatamente la pérdida de dispositivos perdidos, para que puedan borrarse todos los datos importantes.

Elija un software en la nube con buena reputación

Puede tomar todas las medidas de precaución del mundo para proteger sus datos, pero no importarán si el sitio donde los almacena no está haciendo lo mismo. Cuando use software en la nube o productos SaaS, asegúrese de que verifica el nivel de seguridad del sitio web. Busque sitios que usen https, no http, para empezar. Luego lea las políticas de privacidad y seguridad antes de inscribirse. Ivan Parra destaca: “Si no ve esta información en el sitio web, esté atento. Puede ser una alerta de que no cuenta con las protecciones de seguridad adecuadas.”

Por ejemplo, TrackSmart.com está alojada en un entorno de servidor altamente seguro que usa cortafuegos de vanguardia y otra tecnología avanzada para evitar la interferencia o el acceso no autorizados. El acceso físico al centro de alojamiento se limita y controla estrictamente con procedimientos de alta seguridad. Como resultado, es una herramienta inteligente y completamente segura para hacer un seguimiento de la asistencia y para administrar los informes de los empleados —todo acorde con los consejos de seguridad cubiertos en este artículo.