Recursos Humanos: un aliado en la nueva normalidad Recursos Humanos: un aliado en la nueva normalidad

 

Por: Christian Andreani

 

La necesidad de contar con una estrategia de digitalización del negocio ha estado presente en la agenda de la Alta Dirección en los últimos años. Las organizaciones se han estado adaptando a un nuevo orden, orillándose a ser más dinámicas, sin embargo, la pandemia de COVID-19 aceleró esta obligada transformación.

A raíz de esta crisis se han incrementado las conexiones remotas. Aunque ya se perfilaban como una tendencia creciente en el mundo laboral, su uso ha aumentado los riesgos relacionados con el control de acceso.

En ocasiones las empresas no pueden automatizar ciertos procesos remotos por lo que un grupo de personas deben realizarlo de forma manual en sus casas, lo cual puede incrementar el riesgo de fraude. Es importante tener bien identificados todos aquellos procesos manuales -mismos que son un riesgo potencial-, para poder minimizarlos.

De cara al mercado, así como al interior de la empresa, es cada vez es más relevante contar con aplicaciones interactivas y de uso remoto en los procesos de negocio. Sin embargo, esta exigencia añade presión al personal en su actividad y lo vuelve más vulnerable en cuestiones de seguridad de la información. Es por ello que el área de Recursos Humanos (RR.HH.) desempeña un papel fundamental en la transformación organizacional hacia la digitalización.

Con el fin de garantizar la confiabilidad, disponibilidad e integridad de la información de la empresa, RR.HH. debe colaborar estrechamente con el área de Seguridad de la Información para revisar conjuntamente las necesidades del personal y los riesgos a los que puede estar expuesto. El objetivo es dar al talento las herramientas necesarias para que mejore su desempeño en la nueva forma de operar, recibiendo la capacitación adecuada para identificar diversas amenazas, entre ellas el phishing.

 

Derivado de lo anterior y con el fin de resguardar la información, resulta útil revisar los siguientes aspectos:

1. Inventarios críticos: es fundamental contar con un inventario de la información considerada crítica, identificando si se encuentra en equipos remotos; localmente en las computadoras del personal, o en la nube

2. Usuarios privilegiados: es necesario saber quiénes poseen privilegios para acceder a la información considerada crítica, incluyendo proveedores o terceros

3. Acceso otorgado: a medida que se relajan los controles para facilitar la operación remota, se debe identificar qué usuarios han cambiado sus permisos de acceso para tal fin

4. Resguardos: resulta crucial contar con medidas de resguardo o back up de los equipos remotos, ya que mucha de la información procesada se guarda de forma local en dichos equipos

5. Monitoreos: conviene revisar continuamente a los usuarios con mayores privilegios y monitorear la actualización de sus accesos, así como sus actividades en línea, incluyendo los intentos fallidos de ingreso a cierta información, programas o aplicaciones. En caso de que existan procesos manuales no cubiertos por los sistemas, se requieren mecanismos adicionales de monitoreo mediante indicadores clave de riesgo (KRI, key risk indicators) para anticipar de manera más predictiva posibles desvíos de cumplimiento del control monitoreado. Para ello se establece un umbral de tolerancia de incumplimiento; por ejemplo, recibir una alerta si se incurre en más de diez controles de accesos fallidos

6. Concientización: es importante capacitar continuamente al talento en temas de ciberseguridad, como las nuevas tendencias en el robo de información y el reemplazo de identidades, los mecanismos de protección de la información y la seguridad informática

 

A fin de proteger a la empresa, RR.HH. tiene la responsabilidad de asegurar que, al momento de ser contratado, el personal firme la aceptación y conformidad con las políticas corporativas en materia de seguridad de la información y otras relacionadas. Además, el área debe contar con una bitácora de las capacitaciones en la materia, ya que estos cursos favorecen que el talento desempeñe con éxito sus funciones, mitigando los riesgos que pudiera enfrentar.

Hay que tener presente que las áreas más sensibles son aquellas con mayor exposición a terceros, así como las más relacionadas con los aspectos financieros, y las que gestionan información altamente confidencial, crítica para la operación.

Por todo lo anterior, resulta útil repasar las acciones para proteger la información de la empresa, especialmente en una nueva normalidad, cuidando que el talento (el activo más valioso de un negocio) conozca todas las medidas para permanecer alerta y protegerse de posibles ciberataques y otros riesgos relacionados con la seguridad de los datos.