El papel de RR.HH. en los programas de concienciación en ciberseguridad
En muchas organizaciones, la iniciativa de llevar a cabo un programa de concienciación sobre ciberseguridad proviene del departamento de tecnología de la información (TI) o del equipo responsable por la seguridad corporativa. Sin embargo, enseñar buenas prácticas sobre seguridad y mantener a los colaboradores informados sobre las amenazas es, en última instancia, una cuestión humana, lo que significa que el área de Recursos Humanos tiene mucho para aportar.
Las investigaciones sugieren que más del 90 % de los ataques cibernéticos son facilitados por un error humano, como un clic o una interacción inapropiada con un atacante. A pesar de la preponderancia del factor humano en el riesgo cibernético, hay algunas cuestiones que dificultan la comprensión del problema.
Una de ellas es que los riesgos que plantea la tecnología rara vez son tan intuitivos, como otros riesgos laborales. La mayoría de las personas comprenden el riesgo de una caída, un ruido muy elevado, o una instalación eléctrica deficiente. Sin embargo, no siempre existe la misma percepción sobre el riesgo intangible de abrir un archivo adjunto o hacer clic en un enlace. Como muchos riesgos en el mundo en línea son causados por los ciberdelincuentes, el peligro solo se hace evidente cuando conocemos la mentalidad del invasor.
Cuanto mayor sea la comprensión de los ataques, más visible será la relevancia del factor humano en la ciberseguridad y el valor de las contribuciones del departamento de RR.HH., que acompaña toda la trayectoria del colaborador.
¿Cómo puede contribuir RR.HH.?
Uno de los principales objetivos del programa de concienciación en seguridad es influir en la cultura de la empresa. Cuando el colaborador entiende que será valorado por actuar de manera responsable durante su trabajo, es más probable que se preocupe por los riesgos o daños que sus acciones pueden desencadenar.
Cultura
Recursos Humanos es el primer punto de contacto de un colaborador con la empresa y, por lo general, también el último. Por lo tanto, la postura de RR.HH. en la comunicación con los candidatos y los nuevos empleados, ya presenta aspectos de la cultura de la organización.
Es importante recordar que RR.HH. también almacena los datos personales de los colaboradores. Demostrar conciencia sobre esta responsabilidad, es una forma de expresar el valor de la seguridad y de la privacidad.
Los beneficios otorgados por la empresa – seguros de salud, clubes, vales de comida, entre otros – a menudo están vinculados a plataformas digitales y son blanco de estafadores, lo que significa que los colaboradores deben ser instruidos para utilizarlos de manera segura. La situación inversa ocurre cuando el colaborador abandona la empresa – en este caso, es necesario asegurarse de que no esté llevándose datos sensibles.
La regulación requiere precauciones de seguridad. La Ley General de Protección de Datos (LGPD) y otras normas brasileñas e internacionales prevén sanciones para las empresas que violen los datos personales. Si la función del colaborador involucra datos protegidos, es importante que conozca las reglas aplicables, como el código de ética, desde el primer día de trabajo.
Si la empresa aún no ha adaptado sus códigos de conducta, es importante que RR.HH. contribuya a la actualización de estos documentos y colabore con el departamento de seguridad para garantizar que todos sean conscientes de sus responsabilidades.
Alcance e integración
RR.HH. puede fortalecer la continuidad de la concienciación en seguridad. Para que el programa de concientización no quede aislado y restringido a un solo momento o iniciativa, el departamento de RR.HH. puede cooperar con el departamento de TI para incluir capacitación, actividades o discusiones sobre seguridad dentro de otras reuniones y campañas de RR.HH.
RR.HH. tiene más experiencia que el departamento de TI para llegar a las personas. Hay colaboradores que trabajan de forma remota o que a menudo están fuera de la oficina y no tienen acceso frecuente al canal utilizado por el programa de concienciación. RR.HH. ya ha establecido formas de mantenerse en contacto con estos colaboradores muchas veces y puede compartir esta experiencia para ampliar el alcance de la iniciativa.
La visión humana en ciberseguridad
Cada empresa u organización tiene sus propios desafíos. Es importante que se establezca un canal de cooperación constante entre el área de recursos humanos y seguridad digital o TI, para que ambos entiendan las necesidades del otro.
Así como los profesionales de RR.HH. poco a poco van tomando conciencia del factor humano en la ciberseguridad, los departamentos de TI y seguridad tampoco tienen todas las respuestas, sobre todo cuando las particularidades de cada empresa entran en la ecuación.
Siempre y cuando entendamos la importancia de mirar al colaborador como un aliado en la tarea de proteger a la empresa, RR.HH. tiene mucho que aportar para que los programas de concienciación sean más humanos.