La gestión del talento humano debe considerar aspectos elementales, entre ellos los privilegios en el acceso a la información y el resguardo de los equipos de cómputo.
La necesidad de contar con una estrategia de digitalización del negocio ha estado presente en la agenda de la Alta Dirección en los últimos años. Sin embargo, la pandemia de Covid-19 aceleró la obligada transformación. Dentro de este escenario y en general, el área de Recursos Humanos juega un rol crucial para garantizar la ciberseguridad de la organización.
A fin de lograr una exitosa transición digital, las empresas han buscado reorganizarse para ser más dinámicas y gestionar los riesgos derivados del cambio abrupto en la forma de operar, tomando en cuenta que, además, parte del personal está trabajando a distancia.
Te puede interesar: ¿Qué contempla la Alta Dirección en las empresas como parte de su recuperación ante el Covid-19?
De cara al mercado, así como al interior de la empresa, cada vez es más relevante contar con aplicaciones interactivas y de uso remoto en los procesos de negocio. Sin embargo, esta exigencia añade presión al personal en su actividad y lo vuelve más vulnerable en cuestiones de seguridad de la información.
Ante dicho escenario, el área de Recursos Humanos desempeña un papel fundamental en la transformación hacia la digitalización y en garantizar la ciberseguridad de la organización.
Con el fin de asegurar confiabilidad, disponibilidad e integridad de la información de la empresa, RR.HH. debe colaborar estrechamente con el área de Seguridad de la Información para revisar conjuntamente las necesidades del personal y los riesgos a los que puede estar expuesto.
El objetivo es dar al talento las herramientas necesarias para que mejore su desempeño en la nueva forma de operar, recibiendo la capacitación adecuada para identificar diversas amenazas, entre ellas el phishing.
Mayor énfasis en la seguridad de la información
A raíz de la pandemia se han incrementado las conexiones remotas, aun cuando ya se perfilaban como una tendencia creciente en el mundo laboral. Su uso ha aumentado los riesgos relacionados con el control de acceso.
Derivado de lo anterior y con el fin de resguardar la información, resulta útil revisar los siguientes aspectos:
- Inventarios críticos: es fundamental contar con un registro de la información considerada crítica, identificando si se encuentra en equipos remotos; localmente, en las computadoras del personal, o en la nube.
- Usuarios privilegiados: es necesario saber quiénes poseen permisos especiales para acceder a la información considerada crítica, incluyendo proveedores o terceros.
- Acceso otorgado: a medida que se relajan los controles para facilitar la operación remota, se debe identificar qué colaboradores han cambiado sus permisos de acceso para tal fin.
- Resguardos: resulta crucial contar con medidas de resguardo o back up de los equipos remotos, ya que mucha de la información procesada se guarda de forma local en estos.
- Monitoreos: conviene revisar continuamente a los usuarios con mayores privilegios y monitorear la actualización de sus accesos, así como sus actividades en línea, incluyendo los intentos fallidos de ingreso a cierta información, programas o aplicaciones.
En caso de que existan procesos manuales no cubiertos por los sistemas, se requieren mecanismos adicionales de monitoreo mediante indicadores clave de riesgo (KRI, por sus siglas en inglés) para anticipar de manera más predictiva posibles desvíos de cumplimiento del control monitoreado.
- Concientización: es importante capacitar continuamente al talento en temas de ciberseguridad, como las nuevas tendencias en el robo de información y el reemplazo de identidades, los mecanismos de protección de la información y la seguridad informática, entre otros.
Un filtro indispensable
A fin de proteger y garantizar la ciberseguridad de la organización, Recursos Humanos tiene la responsabilidad de asegurar que, al momento de ser contratado, el personal firme la aceptación y conformidad con las políticas corporativas en materia de seguridad de la información y otras relacionadas.
Por otro lado, dicho departamento debe contar con una bitácora de las capacitaciones en la materia, ya que estos cursos favorecen que el talento desempeñe con éxito sus funciones, mitigando los riesgos que pudiera enfrentar.
Lee también: Perspectivas de la Alta Dirección en México 2020 de KPMG
Hay que tener presente que las áreas más sensibles son aquellas con mayor exposición a terceros, así como las más relacionadas con los aspectos financieros, y las que gestionan información altamente confidencial, crítica para la operación.
Por todo lo anterior, resulta útil repasar las acciones para proteger la información de la empresa, especialmente en una nueva normalidad, cuidando que el talento (el activo más valioso de un negocio) conozca todas las medidas para permanecer alerta y protegerse de posibles ciberataques y otros riesgos relacionados con la seguridad de la información.
Christian Andreani
Socio de Asesoría en Tecnología y Transformación
de KPMG en México
