\u00bfQu\u00e9 consecuencias tienen las filtraciones de datos para los empleados? Para responder a esta pregunta, comencemos por analizar las causas de la mayor\u00eda de estos incidentes, que, seg\u00fan mi experiencia, suelen deberse con frecuencia a la torpeza o la irresponsabilidad del empleado o a una administraci\u00f3n poco eficaz. Es decir, no importa c\u00f3mo lo mires, el factor humano siempre es el n\u00facleo del problema.<\/p>\n
Prueba a preguntar a tus empleados acerca de qu\u00e9 cambios en su flujo de trabajo les ayudar\u00edan a mejorar su productividad y su nivel de satisfacci\u00f3n profesional. Por lo general, la gente desea trabajar de la forma que mejor les convenga y sin interrupciones. Por ejemplo, quieren derechos de administrador en su ordenador, con el fin de poder instalar cualquier software<\/em> y concederle a su equipo acceso a los datos que ellos deseen. Tambi\u00e9n les gustar\u00eda poder recibir invitados en la oficina. Este tipo de cosas.<\/p>\n A su vez, en realidad casi nadie est\u00e1 preparado para asumir la responsabilidad de lo que quiere o considera c\u00f3modo. Muchos empleados (y a veces sus directores) son complacientes y piensan que de alguna manera est\u00e1n protegidos, sin importar lo que hagan, pues existen magos que esperan para aparecer y poder salvar la situaci\u00f3n. Por supuesto, los expertos en ciberseguridad corporativa ponemos siempre todo lo que podemos de nuestra parte para proteger a los usuarios, pero no somos todopoderosos.<\/p>\n La segunda causa de los incidentes m\u00e1s graves es, en t\u00e9rminos generales, una administraci\u00f3n deficiente del proceso empresarial, lo que tambi\u00e9n engloba las acciones u omisiones del personal de seguridad de la informaci\u00f3n y del departamento inform\u00e1tico. Una empresa que se tome en serio la ciberseguridad no experimenta graves da\u00f1os cuando uno de sus empleados inserta una unidad USB con un archivo infectado o abre un correo electr\u00f3nico con un archivo adjunto malicioso o una URL peligrosa. En todos los casos, tienen que darse una serie de errores en una combinaci\u00f3n correcta:<\/p>\n Cada uno de estos factores es producto de una decisi\u00f3n. Sin embargo, la causa global del incidente es una combinaci\u00f3n de estos factores. La forma en la que afecta el incidente a la motivaci\u00f3n del empleado depende en gran medida de la respuesta de la administraci\u00f3n; en ocasiones, las medidas que una empresa adopta para evitar la repetici\u00f3n de dichos incidentes pueden provocar m\u00e1s da\u00f1os que el propio incidente.<\/p>\n He aqu\u00ed un ejemplo del mundo real. Un banco experiment\u00f3 en varias ocasiones incidentes que eran producto de ataques externos y de errores de los empleados. En consecuencia, los sistemas del banco quedaron inhabilitados durante un tiempo. La administraci\u00f3n, en un intento por motivar al personal responsable, as\u00ed como castigar a los culpables, realiz\u00f3 varios despidos entre el personal inform\u00e1tico y de seguridad de la informaci\u00f3n. A su vez, a pesar de estar al tanto de que el sistema bancario automatizado presentaba vulnerabilidades en su arquitectura, la administraci\u00f3n no asign\u00f3 ning\u00fan presupuesto para crear un nuevo sistema o para arreglar el antiguo. Los empleados con experiencia se dieron cuenta de que cualquier persona podr\u00eda cometer un error alg\u00fan d\u00eda, y la empresa hab\u00eda optado por contratar nuevo personal en lugar de reparar el problema subyacente, as\u00ed que r\u00e1pidamente encontraron trabajo en otra parte. Los nuevos empleados no conoc\u00edan por completo el sistema de la empresa, que hab\u00eda sido desarrollado de modo interno, y, en consecuencia, cometieron m\u00e1s errores e invirtieron m\u00e1s tiempo en el mantenimiento de los sistemas, ya que carec\u00edan de una serie de conocimientos b\u00e1sicos. Por lo tanto, los clientes abandonaron el banco, que pas\u00f3 de estar entre los 50 mejores al puesto 200\u00ba.<\/p>\n En mi opini\u00f3n, es importante no desalentar a tus empleados. En su lugar, ay\u00fadales a entender sus responsabilidades, los valores de la empresa y la importancia de la colaboraci\u00f3n con sus compa\u00f1eros de trabajo. Puedes demostrar todo esto con apoyo de material, respeto mutuo y reglas claras.<\/p>\n Las reglas de la seguridad de la informaci\u00f3n corporativa deben explicar de una forma clara y concisa qu\u00e9 est\u00e1 permitido y qu\u00e9 no, y lo que debe hacer el personal en caso de que suceda un ciberincidente, tanto en t\u00e9rminos de la privacidad como de la confidencialidad. El director del equipo debe comunicar claramente la informaci\u00f3n al resto de los empleados y explicar el problema y sus consecuencias durante y despu\u00e9s de un ciberincidente (que podr\u00eda llegar a incluir amonestaciones). Esto ayuda a mantener una atm\u00f3sfera saludable y puede evitar que la empresa repita los mismos errores.<\/p>\n Puedes utilizar este plan de acci\u00f3n para concentrarte en motivar al equipo y mitigar el impacto del ciberincidente:<\/p>\nMalas decisiones de la administraci\u00f3n<\/h2>\n
\n
\u00bfQu\u00e9 se puede hacer?<\/h2>\n
\n