Filtración de datos y motivación de los empleados

Cómo la motivación de los empleados cambia con una pérdida de datos de la empresa.

¿Qué consecuencias tienen las filtraciones de datos  para los empleados? Para responder a esta pregunta, comenzamos explorando las causas de la mayoría de dichos incidentes, que, en mi experiencia, se deben con frecuencia a la torpeza, la irresponsabilidad del empleado o a una administración poco eficaz. Es decir, no importa cómo lo mires, el factor humano  está en el núcleo del problema de la filtración de datos corporativos.

Cuando los empleados no asumen su responsabilidad
Prueba con preguntar a tus empleados acerca de qué cambios a su flujo de trabajo les ayudarían a mejorar su productividad y su nivel de satisfacción profesional. Por lo general, la gente desea trabajar en el mejor modo que les parezca y sin interrupciones. Por ejemplo, desean tener derechos de administrador  en su computadora, con el fin de tener el derecho a instalar cualquier software y concederle a su equipo acceso a los datos a su propio arbitrio. También desea tener invitados en la oficina. Ese tipo de cosas.

Al mismo tiempo, en realidad casi nadie está preparado para asumir la responsabilidad de lo que quieren o encuentran cómodo. Muchos empleados (y a veces sus jefes) son complacientes y piensan que de alguna manera están protegidos contra las ciberamenazas y las vulnerabilidades del hardware,  sin importar lo que hagan, pues existen soluciones mágicas que aparecerán y salvarán la situación. Por supuesto, los expertos en ciberseguridad corporativa hacemos siempre nuestro mejor esfuerzo para proteger a los usuarios, pero no somos todopoderosos.


Malas decisiones de la administración
La segunda causa de los incidentes más graves de filtración de información corporativa es, en términos generales, una administración deficiente del proceso empresarial, lo cual también engloba las acciones u omisiones del personal de seguridad de la información y de TI. Una empresa que se tome en serio la ciberseguridad  no experimenta graves daños cuando uno de sus empleados inserta una unidad USB  con un archivo infectado o abre un correo electrónico con un archivo adjunto malicioso  o una URL peligrosa. En todos los casos, tiene que darse una serie de errores en una combinación correcta:

• El proceso empresarial se organizó de modo que se permitiera este tipo de error;
• Alguien cometió una equivocación o violó las políticas de seguridad de la información de la empresa;
• Los sistemas de información o los servicios de la infraestructura informática contenían vulnerabilidades no identificadas o no parchadas;
• Los sistemas eran muy complicados, lo que provocaba una carencia de recursos necesarios para garantizar la configuración segura y la administración de parches oportuna, así como la adopción de medidas de seguridad.
• El departamento de seguridad de la información no podía (debido a una carencia de conocimientos o de oportunidades) identificar el incidente de ciberseguridad antes de que provocara daños.

Cada uno de esos factores es producto de una decisión. Sin embargo, la causa global del incidente es una combinación de esos factores. De qué manera el incidente afecta la motivación del empleado depende en gran medida de la respuesta de la administración; en ocasiones, las medidas que una empresa adopta para evitar la repetición de dichos incidentes de ciberseguridad pueden provocar más daño que el propio incidente.

He aquí un ejemplo del mundo real. Un banco experimentó en varias ocasiones incidentes de ciberseguridad que eran producto de ataques externos  y de errores de los empleados.  En consecuencia, los sistemas del banco estuvieron inhabilitados por algún tiempo. La administración, en un intento por motivar al personal responsable, así como castigar a los culpables, realizó varios despidos entre el personal de TI y de seguridad de la información. Al mismo tiempo, a pesar de estar al tanto de que el sistema bancario automatizado presentaba vulnerabilidades  en su arquitectura, la administración no asignó ningún presupuesto para crear un nuevo sistema o para arreglar el antiguo. Los empleados con experiencia se dieron cuenta de que cualquier persona podría cometer un error algún día, y la empresa había optado por contratar nuevo personal en lugar de reparar el problema subyacente, así que rápidamente renunciaron y encontraron trabajo en otra parte. Los nuevos empleados tenían una escasa comprensión del sistema de la empresa, que había sido desarrollado de modo interno, y, en consecuencia, cometieron más errores de ciberseguridad e invirtieron más tiempo en darle mantenimiento a los sistemas porque carecían del conocimiento fundamental. Por lo tanto, los clientes abandonaron el banco, que pasó de estar entre los 50 mejores a la posición 200.


¿Qué se puede hacer?
En mi opinión, es importante no desalentar a tus empleados. En su lugar, ayúdales a entender sus responsabilidades, los valores de la empresa y la importancia de la colaboración con sus compañeros de trabajo. Puedes demostrar todo eso con ayuda material, respeto mutuo y reglas claras.
Las reglas de la seguridad de la información corporativa deben explicar de modo claro y específico qué está permitido y qué no, y cómo debe actuar el personal en caso de un ciberincidente, tanto en términos de la privacidad como de la confidencialidad. El líder del equipo debe comunicar claramente la información a sus subordinados, y explicar el problema y sus consecuencias durante y después de un ciberincidente (que puede incluir amonestaciones). Esto ayuda a mantener una atmósfera saludable en el equipo y puede ayudar a evitar que la empresa repita los mismos errores.

Puedes utilizar este plan de acción para concentrarte en motivar al equipo y mitigar el impacto del ciberincidente:

• Realiza una capacitación en ciberseguridad para el personal, no solo para evitar los errores sino también para enseñarle en qué puede consistir un error y cómo responder a un problema de ciberseguridad;
• Motiva a los empleados;
• Establece reglas claras de seguridad de la información en la empresa, así como medidas para supervisarlas en acción;
• Usa la detección de incidentes y las herramientas de respuesta;
• Adopta sistemas de protección contra errores comportamiento poco inteligente o torpe y las acciones maliciosas de algún actor interno, como la cibervenganza de antiguos empleados.
• Revisa periódicamente las medidas anteriores para reducir la probabilidad de que alguien cometa el mismo error dos veces.

Para profundizar más en el aspecto humano de la ciberseguridad, consulta nuestro más reciente informe, “Taking care of corporate security and employee privacy.”