La investigación en seguridad de la información no siempre se trata de bits y bytes, tendencias de ataque y nuevas muestras de malware. A veces se nos reta a buscar su lugar en el lado humano de la industria, que no es menos importante. Según una reciente investigación, la mayoría de los empleados en Reino Unido, Estados Unidos, Alemania y Australia cree que el área de Recursos Humanos debe asumir un papel más importante en la seguridad TI. Esto incluye formación, medidas disciplinarias e investigación de los antecedentes de los candidatos a nuevos roles en la empresa.
Dada la naturaleza de la amenaza interna a la que hoy nos enfrentamos, no podría estar más de acuerdo en que RRHH y TI deberían trabajar de forma más estrecha. Pero los responsables de la toma de decisiones de alto nivel en el lado de las TI necesitan dar el primer paso.
El valor de los recursos humanos
Mientras historias y casos de ciberespionaje entre Estados, de siniestras bandas de ciberdelincuentes internacionales que actúan en la sobra y hacktivistas, ocupan muchos de los titulares, la amenaza del comportamiento malicioso o daño accidental causado por los empleados de una compañía está también presente en la mente de los directores de informática y responsables de seguridad. De hecho, los errores cometidos por el personal suponen una mayor fuente de infracciones (26%) que las infracciones causadas por trabajadores con fines maliciosos (10%) o el crimen organizado (23%), según la Investigación sobre Brechas de Seguridad de la Información de 2015, realizada por PwC.
¿Cómo puede RRHH ayudar a reducir estos riesgos? La solución, básicamente, está en convertirse en un departamento del «Nosotros» en lugar de un departamento del «No». Esto significa fomentar una cultura empresarial donde los empleados disfruten trabajando allí, crean en los valores principales de la compañía y respeten y valoren a sus compañeros. Esto puede ser más fácil decirlo que hacerlo, pero no es imposible. Y uno de los beneficios más importantes derivados de TI debería ser que el personal sea menos propenso a hacer algo que perjudica a la compañía, ya sea compartir distraídamente información sensible online, lo que interfiere con los sistemas de TI para causar daño deliberado; o robar y vender datos corporativos.
Tiempo de unirse
Realmente, estamos ante un objetivo en el que trabajar a largo plazo. Pero hay cuestiones de TI y RRHH que deberían tratarse conjuntamente para conseguir el éxito de forma más rápida. La primera es para RRHH, que debería vetar a los candidatos a algunas funciones con el fin de eliminar a cualquiera que represente una amenaza desde dentro. Parte de esto consiste en la elección de aquellos cuyos valores se alineen y estén más cerca de los de la empresa y su personal actual, por supuesto. Pero también es importante saber si han podido participar en alguna violación de datos o incidente relacionado con un empleador anterior. Vetar a candidatos en esta etapa podría evitar muchos problemas en el futuro.
El área de TI también debería acercarse a RRHH para ocuparse de organizar programas de formación y sensibilización del personal. Aunque el departamento de seguridad tendrá que compartir su experiencia en el contenido de este tipo de cursos, RRHH juega un papel fundamental a la hora de comunicar esto de una manera más convincente y gestionar los cursos de la forma más eficaz posible.
Del mismo modo, RRHH podría hacer más para ayudar a crear, comunicar y hacer cumplir la política de TI. Al igual que con la formación y la educación, el área tecnológica de la empresa es propensa a utilizar demasiada jerga técnica. Como expertos en habilidades sociales, la labor de RRHH debería ser suavizar o pulir estos consejos y traducirlos en algo que cada empleado pueda entender. Por otro lado, también deben tomar la iniciativa en cuanto a la aplicación de esta política. Una vez más, teniendo en cuenta la participación de TI, el personal de RRHH debe ser capaz de detectar indicios reveladores que podrían indicar que un empleado representa una amenaza interna. Ésta podría conllevar desde la pérdida de más de un dispositivo a la descarga de la información corporativa sensible en dispositivos extraíbles. Las herramientas tecnológicas como la prevención de pérdida de datos aquí pueden resultar muy útiles, por supuesto, pero debe haber una política bien pensada y definida tras ellas.
Al final las empresas hacen todo lo posible para minimizar el riesgo que supone una amenaza interna. Es muy difícil atrapar a un empleado con cierta experiencia y tecnología. Pero al trabajar más de cerca con RRHH, los responsables de TI podrían reducir el riesgo de pérdida de datos y la interrupción del negocio, lo que ahorraría importantes cantidades económicas y protegería la imagen de la empresa. Y, en último lugar, liberaría a un departamento cada vez más escaso y con exceso de trabajo para poder centrarse en tareas de TI más estratégicas, como impulsar el crecimiento empresarial y la innovación.
Los comentarios están cerrados.