RRHH Digital. Cuando concluye la jornada laboral nos aseguramos de que todos los documentos estén guardados en sus archivos, de cerrar cada puerta y apagar todos los ordenadores. Lo hacemos como un ritual que responde a un único objetivo: proteger nuestra información. El problema es que no podemos controlar si en un bolsillo se pueden llevan de nuestra oficina más de 700 toneladas de papel. No es truco, es el equivalente a 16 gigas de datos que se pueden llegar a almacenar en un USB.
Las nuevas herramientas de comunicación y su aplicación diaria en el entorno empresarial han cambiado no sólo los hábitos en el trabajo sino la forma de relacionarnos con nuestro entorno. Nos encontramos con una digitalización que nos exige adaptarnos a redes virtuales donde el intercambio de información es constante. Esto lo sabemos, pero hay una pregunta a la que todavía muchas empresas no han dado respuesta: ¿estamos trabajando de forma segura en el nuevo entorno digital cuando difundimos nuestros datos?
Presumiblemente los directivos dirán que sí; pero si preguntamos a los empleados, casi la mitad de ellos reconocerá que ha enviado información sensible a personas equivocadas. Las fugas de datos son en su mayoría internas aunque casi el 50% (según un estudio de Datamonitor) no son intencionadas y sólo un 23% podrían calificarse como “maliciosas”. Entonces, ¿cuál es el problema? Fundamentalmente, la falta de formación de los empleados y la ausencia de un sistema de seguridad que proteja el contenido de nuestros archivos; si aseguramos esos contenidos no importará dónde los guardemos ni a quién los enviemos porque nos habremos asegurado previamente de controlar quién puede acceder a ellos.
Sin entrar a profundizar en los sistemas de seguridad, vamos a centrarnos en el primer punto: la formación de los empleados. Es esencial que los departamentos de RRHH enseñen de manera interna a gestionar el riesgo cuando se trabaja con datos sensibles de la compañía, desde contratos hasta cuentas bancarias pasando por información personal de los clientes. En este punto es cuando tenemos que saber de qué riesgos estamos hablando y cómo evitarlos. Para eso tenemos que diferenciar entre la difusión de la información y los accesos a la información.
Normalmente, los empleados tienen aprendida la lección y tienen bien protegidos los accesos pero ¿saben que existen aplicaciones “espía” para llegar hasta datos confidenciales sin darnos cuenta? Habitualmente, utilizamos un gran número de aplicaciones y programas en nuestro trabajo y existe un importante riesgo de perder información si no sabemos qué herramientas pueden utilizarse para espiarnos. Desde el director de la empresa hasta los miembros de los grupos de trabajo tienen que estar atentos para no tener improvisados detectives en la oficina; aunque cerremos las puertas y guardemos los informes pueden estar accediendo a nuestra información.
En este caso, hablamos de programas de captura de pantalla o de uso compartido remoto, como el chat, cada vez más utilizados en la gestión empresarial. Los chats son una herramienta de comunicación rápida y simultánea pero se puede convertir en una puerta de acceso a nuestra oficina, a nuestro ordenador, sin nuestro consentimiento. Por eso recibimos advertencias para no poner datos de cuentas bancarias o personales mientras charlamos en Internet. Lo mismo ocurre con los programas de captura de pantalla; un contrato puede dejar de ser confidencial en cuestión de segundos si consiguen un pantallazo de nuestro ordenador. Para evitarlo, los empleados deben jugar un papel fundamental, aunque todavía desconocen cómo hacerlo.
La mejor forma de minimizar estos riesgos es prevenir, formando a cada uno de los miembros del equipo y estableciendo una cultura empresarial de seguridad. El problema es que tanto en las pymes como en las grandes corporaciones la plantilla no asume la seguridad como un elemento más de la cultura corporativa.
Un plan de seguridad
¿Qué hacemos entonces para no tener espías en la red? En primer lugar, el equipo humano debe conocer la normativa vigente y la política de intercambio de información de la empresa. No sólo hablamos de estar familiarizados con el funcionamiento de los programas y bloquear las herramientas que puedan utilizarse para acceder a datos confidenciales sino de saber las consecuencias de violar -al difundir de forma incontrolada información de la compañía- normativas como la Ley Orgánica de Protección de Datos (LOPD) o la Propiedad Intelectual. Se trata de aunar protección y transparencia cumpliendo las reglas básicas de buen Gobierno Corporativo.
Nuestros empleados deben saber controlar los programas no autorizados, instaurar claves de acceso o cifrar los USB pero deben ir un paso más allá. Hemos comentado que el problema no es tanto el acceso como la difusión de datos. Por eso, cuando enviamos información –desde un ordenador, un PC o un dispositivo móvil- todos los miembros del equipo tienen que saber si están autorizados a mandarla, a quién se la pueden enviar, si va a permitir guardarla, reenviarla, imprimirla o durante cuánto tiempo se va a permitir el acceso al contenido. Todos los empleados tienen que ser capaces de gestionar este proceso para restringir y autorizar los permisos de uso sobre la información de la empresa.
Desde mi experiencia en GigaTrust sabemos que, aunque las empresas de seguridad nos ocupamos de la parte técnica e informática implantando un software que gestione estos permisos de uso en las compañías, hay una parte fundamental que depende en exclusiva de cada empresa: su personal. La seguridad también es cultura corporativa, una cultura que debe estar siempre bajo llave independientemente de la puerta por la que intenten acceder a ella.
Los comentarios están cerrados.