Pasan las empresas, pasan los CISOs, pasan las coyunturas pero a medida que todo se digitaliza más, siempre se señalan los RRHH como el factor más débil de la cadena, por el que casi siempre entran las amenazas.
Desde hace unos años, y cada vez más, los ciberdelincuentes atacan a los departamentos de Recursos Humanos de las compañías por la cantidad de datos sensibles que manejan. Con acceso a información sobre Seguridad Social, fechas de nacimiento, historial de trabajo o números de las cuentas bancarias de los empleados y de la empresa, los ciberdelincuentes pueden hacer mucho daño, además de ganar grandes cantidades de dinero.
Teniendo en cuenta la cantidad de datos que manejan, los departamentos de Recursos Humanos son un blanco apetecible, pero también están en la posición perfecta para ser una barrera de entrada y prevenir posibles ciberataques.
Según datos del último informe de Verizon Data Breach Investigations Report, el 85% de las brechas de datos ocurren por el error humano, así que es de suma importancia que este departamento esté preparado para eliminar los riesgos de ciberataques y asegurarse de proteger los datos.
El robo de identidad es una de las tácticas más comunes para conseguir bajar la guardia de los departamentos encargados del personal. The Society for Human Resource Management (SHRM), una asociación profesional de recursos humanos, establece que el porcentaje de los robos de identidad que se originan en el trabajo están entre el 30% y el 50%.
Dentro de los ataques más comunes que encontramos hacia dicho departamento podemos encontrar podemos encontrar viejos conocidos como Malware y Phishing. Sin embargo, a estos ataques hay que sumar el fraude en las nóminas. Esta nueva estafa se centra específicamente en los departamentos de recursos humanos, ya que el atacante, a través de la ingeniería social, consigue que la empresa desvíe la nómina de algún empleado a una cuenta de su propiedad. Suele tener como objetivo a organizaciones de gran tamaño en las que no exista demasiada comunicación entre sus departamentos.
Recomendaciones para prevenir estos incidentes
- Desde el departamento de recursos humanos deben estar muy alerta a la hora de gestionar una contratación, así como al momento de recibir documentos de proveedores. Es importante estar seguros de la legitimidad del remitente y del documento antes de abrir cualquier archivo adjunto que reciban.
- Utilizar soluciones avanzadas de gestión de identidades que eviten el acceso no autorizado a sistemas y recursos, así como el robo de datos empresariales o protegidos.
- Asegurarse de que las políticas y los procedimientos de la empresa están actualizados, incluyendo los procedimientos para el teletrabajo. Todos los empleados deben conocer sus funciones y responsabilidades.
- Revisar y revocar el acceso de los empleados asegurando que solo tengan acceso a lo que necesitan para hacer su trabajo. Esto dificulta que los piratas informáticos campen a sus anchas por los sistemas de una organización.