¿Qué consecuencias tienen las filtraciones de datos para los empleados? Para responder a esta pregunta, comencemos por analizar las causas de la mayoría de estos incidentes, que, según mi experiencia, suelen deberse con frecuencia a la torpeza o la irresponsabilidad del empleado o a una administración poco eficaz. Es decir, no importa cómo lo mires, el factor humano siempre es el núcleo del problema.
Cuando los empleados no asumen su responsabilidad
Prueba a preguntar a tus empleados acerca de qué cambios en su flujo de trabajo les ayudarían a mejorar su productividad y su nivel de satisfacción profesional. Por lo general, la gente desea trabajar de la forma que mejor les convenga y sin interrupciones. Por ejemplo, quieren derechos de administrador en su ordenador, con el fin de poder instalar cualquier software y concederle a su equipo acceso a los datos que ellos deseen. También les gustaría poder recibir invitados en la oficina. Este tipo de cosas.
A su vez, en realidad casi nadie está preparado para asumir la responsabilidad de lo que quiere o considera cómodo. Muchos empleados (y a veces sus directores) son complacientes y piensan que de alguna manera están protegidos, sin importar lo que hagan, pues existen magos que esperan para aparecer y poder salvar la situación. Por supuesto, los expertos en ciberseguridad corporativa ponemos siempre todo lo que podemos de nuestra parte para proteger a los usuarios, pero no somos todopoderosos.
Malas decisiones de la administración
La segunda causa de los incidentes más graves es, en términos generales, una administración deficiente del proceso empresarial, lo que también engloba las acciones u omisiones del personal de seguridad de la información y del departamento informático. Una empresa que se tome en serio la ciberseguridad no experimenta graves daños cuando uno de sus empleados inserta una unidad USB con un archivo infectado o abre un correo electrónico con un archivo adjunto malicioso o una URL peligrosa. En todos los casos, tienen que darse una serie de errores en una combinación correcta:
- El proceso empresarial se ha organizado de tal forma que se permite este tipo de error.
- Alguien cometió un error o violó las políticas de seguridad de la información.
- Los sistemas de información o los servicios de la infraestructura contenían vulnerabilidades no identificadas o no parcheadas.
- Los sistemas eran muy complicados, lo que provocaba una carencia de recursos necesarios para garantizar la configuración segura y la administración de parches oportuna, así como la adopción de medidas de seguridad.
- El departamento de seguridad no pudo (debido a una carencia de conocimientos o de oportunidades) identificar el incidente antes de que provocara los daños.
Cada uno de estos factores es producto de una decisión. Sin embargo, la causa global del incidente es una combinación de estos factores. La forma en la que afecta el incidente a la motivación del empleado depende en gran medida de la respuesta de la administración; en ocasiones, las medidas que una empresa adopta para evitar la repetición de dichos incidentes pueden provocar más daños que el propio incidente.
He aquí un ejemplo del mundo real. Un banco experimentó en varias ocasiones incidentes que eran producto de ataques externos y de errores de los empleados. En consecuencia, los sistemas del banco quedaron inhabilitados durante un tiempo. La administración, en un intento por motivar al personal responsable, así como castigar a los culpables, realizó varios despidos entre el personal informático y de seguridad de la información. A su vez, a pesar de estar al tanto de que el sistema bancario automatizado presentaba vulnerabilidades en su arquitectura, la administración no asignó ningún presupuesto para crear un nuevo sistema o para arreglar el antiguo. Los empleados con experiencia se dieron cuenta de que cualquier persona podría cometer un error algún día, y la empresa había optado por contratar nuevo personal en lugar de reparar el problema subyacente, así que rápidamente encontraron trabajo en otra parte. Los nuevos empleados no conocían por completo el sistema de la empresa, que había sido desarrollado de modo interno, y, en consecuencia, cometieron más errores e invirtieron más tiempo en el mantenimiento de los sistemas, ya que carecían de una serie de conocimientos básicos. Por lo tanto, los clientes abandonaron el banco, que pasó de estar entre los 50 mejores al puesto 200º.
¿Qué se puede hacer?
En mi opinión, es importante no desalentar a tus empleados. En su lugar, ayúdales a entender sus responsabilidades, los valores de la empresa y la importancia de la colaboración con sus compañeros de trabajo. Puedes demostrar todo esto con apoyo de material, respeto mutuo y reglas claras.
Las reglas de la seguridad de la información corporativa deben explicar de una forma clara y concisa qué está permitido y qué no, y lo que debe hacer el personal en caso de que suceda un ciberincidente, tanto en términos de la privacidad como de la confidencialidad. El director del equipo debe comunicar claramente la información al resto de los empleados y explicar el problema y sus consecuencias durante y después de un ciberincidente (que podría llegar a incluir amonestaciones). Esto ayuda a mantener una atmósfera saludable y puede evitar que la empresa repita los mismos errores.
Puedes utilizar este plan de acción para concentrarte en motivar al equipo y mitigar el impacto del ciberincidente:
- Realiza una formación para el personal, no solo para evitar los errores sino también para enseñarle en qué puede consistir un error.
- Motiva a los empleados.
- Establece reglas claras de seguridad de la información en la empresa, así como medidas para supervisarlas en acción.
- Usa la detección de incidentes y las herramientas de respuesta.
- Adopta sistemas de protección contra errores, comportamientos poco inteligentes o torpes y las acciones maliciosas de algún infiltrado.
- Revisa periódicamente las medidas anteriores para reducir la probabilidad de que alguien cometa el mismo error dos veces.
Para profundizar más en el aspecto humano de la ciberseguridad, puedes consultar nuestro informe más reciente (en inglés).