Cómo las filtraciones y violaciones de datos pueden afectar a sus empleados: CloudSavvy IT

Tecnología junio 12, 2021
mujer de negocios estresada
Shutterstock / KieferPix

Cuando se trata de filtraciones y filtraciones de datos, las empresas tienden a ser conscientes de los daños que pueden infligir a su base de usuarios. Pero mientras las empresas no afectadas analizan la situación para asegurarse de que no sean las próximas, a menudo pasan por alto los daños que ya han causado sus empleados.

Las violaciones de datos van en aumento

El aumento no solo se limita a la frecuencia de los incidentes reportados, sino también al volumen de datos, registros y archivos comprometidos, porque si bien el número de infracciones se redujo drásticamente entre 2019 y 2020, el volumen de registros expuestos más del doble.

Pero en un mundo donde las filtraciones y filtraciones de datos son un hecho cotidiano, cada empresa está por su cuenta. Y dado que la prevención ya no es una opción viable, las empresas ahora se centran en la respuesta y el control de daños. Aún así, la mayoría de los esfuerzos están dirigidos a un grupo demográfico de consumidores promedio y su necesidad de privacidad y seguridad, no a personas que trabajan en empresas con bases de datos confidenciales propias.

La motivación número uno para los piratas informáticos es la ganancia financiera, pero eso no siempre se refleja en el tipo de datos a los que se dirigen en una infracción, incluso si es indirectamente. Los piratas informáticos que roban datos para venderlos en la web oscura rara vez obtienen grandes beneficios de la información financiera, especialmente si se trata de tarjetas de pago prepagas.

Este tipo de información no se vende muy bien en la web oscura porque estas tarjetas rara vez tienen fondos suficientes. Y los bancos y los proveedores de servicios financieros tienden a tener estrictos requisitos de verificación de identidad y seguridad. Tomemos, por ejemplo, el último incidente de las 600.000 tarjetas de pago que se filtraron en la web oscura. Apenas contenían fondos y cada tarjeta tenía un promedio de menos de $ 50.

Es información personal que podría usarse para infligir el mayor daño. Cualquier cosa, desde el nombre completo, número de teléfono y dirección de correo electrónico de una persona hasta su número de seguro social e información y archivos personales.

Las tarjetas de pago son para piratas informáticos que buscan una ganancia relativamente segura y rápida. La información personal es utilizada por personas malintencionadas que buscan objetivos más importantes.

Consecuencias para los empleados

Todos los empleados de cualquier industria o empresa son consumidores de otra. Las filtraciones y filtraciones de datos de dichas empresas pueden afectar a sus empleados y a su negocio de múltiples formas.

Mayor estrés y menor productividad

No se puede negar el impacto emocional que enfrentan las personas cuando se dan cuenta de que su privacidad ha sido violada. Y dependiendo del tipo de datos personales que se incluyeron en la infracción, sus vidas y relaciones personales también podrían haberse visto afectadas, todo lo cual puede afectar su entorno de trabajo, lo que lleva a una menor productividad y calidad del trabajo.

Los datos comprometidos y la información personal requieren mucho trabajo para protegerlos y cambiarlos. Los empleados podrían estar sobrecargados de trabajo al tener que visitar sus bancos para asegurar sus cuentas y tener que trabajar para reemplazar todos sus correos electrónicos y contraseñas anteriores por esas cuentas, que son nada menos que una bomba de tiempo.

Contaminación cruzada

Los efectos mentales de una violación de datos se centran en los empleados y podrían afectar su trabajo. Aún así, siempre existe la amenaza más directa de contaminación cruzada.

Dependiendo del tipo de violación en la que se incluyó a uno o más de sus empleados, el tipo de datos expuestos difiere. Si la ciberseguridad y la conciencia del distanciamiento digital no son importantes en su empresa, la filtración de la información de un empleado también podría poner en peligro la seguridad de sus activos digitales.

Si usan la misma dirección de correo electrónico, número de teléfono o incluso contraseñas en sus cuentas personales que para sus cuentas relacionadas con el trabajo, entonces quien haya obtenido acceso a su información y credenciales ahora puede infiltrarse en la empresa. Las consecuencias podrían ser aún más graves si almacenan archivos relacionados con el trabajo en dispositivos personales y almacenamiento en la nube.

Objetivos más fáciles para esquemas de phishing

Los ataques de phishing se basan principalmente en cuánto sabe el perpetrador sobre su objetivo. Entonces, mientras que las estafas de phishing para ganar una lotería automática, la herencia de un pariente lejano o las tarifas de entrega de paquetes rara vez funcionan hoy en día, las altamente personalizadas son más difíciles de evitar. El atacante puede incluir información confidencial y clasificada sobre su objetivo, como su número de seguro social y fecha y lugar de nacimiento, para parecer más legítimo.

Es poco probable que un ataque de phishing motivado por una violación de datos persiga a la propia persona. Después de todo, es posible que sepan dónde trabaja la persona, junto con su posición y jerarquía en la empresa. Podrían usar a uno de sus empleados como puerta de entrada a su empresa en su conjunto, similar a los esquemas de phishing que se dirigen directamente a las empresas, pero con una tasa de éxito mucho mayor.

Soluciones

No hay mucho que pueda hacer cuando se trata de proteger a otras empresas de las filtraciones y filtraciones de datos. Pero eso no significa que no pueda reaccionar adecuadamente y prepararse para la posibilidad de ser incluido indirectamente en uno.

Hacer cumplir el distanciamiento digital

El distanciamiento digital en un entorno laboral es la práctica de limitar o eliminar la conexión entre los dispositivos y cuentas personales y laborales de los empleados. Este enfoque puede ser más difícil de implementar en empresas más pequeñas que no tienen el presupuesto para proporcionar al personal dispositivos de trabajo y en empresas que dependen en gran medida de trabajadores remotos que usan sus ordenadores portátiles y cuentas personales para trabajar en proyectos de la empresa, como correo electrónico para iniciar sesión en una plataforma solo de trabajo.

Incluso si la separación de dispositivos no está incluida, aún debe hacer cumplir la separación de cuentas. Enfatice que todos los empleados deben tener cuentas de trabajo y contraseñas seguras que nunca se utilicen en cuentas personales, además de imponer un tipo de verificación de identidad como 2FA o inicios de sesión sin contraseña.

Fomentar la comunicación abierta

Nadie cree que alguna vez puedan caer en un esquema de phishing, pero eso sigue sucediendo. Además de la formación periódica e intensiva sobre los últimos ataques de phishing, no debe dejar solos a los empleados cuando se trata de ataques de phishing complejos.

Promueva la comunicación abierta entre sus empleados y los departamentos de seguridad y TI de la empresa. Anime a los empleados a que se comuniquen con ellos con respecto a cualquier correo electrónico o mensaje que consideren sospechoso. También debe evitar culpar a los empleados por incumplimiento. De esa forma, si un empleado cae en un ataque de phishing, se pondrá en contacto de inmediato con el departamento de TI en lugar de entrar en pánico y trabajar para encubrir el problema ellos mismos.

Ofrecer apoyo moral

Cuando se trata de gestionar el estrés de los empleados y el impacto emocional que sufren tras una filtración de datos, lo único que puede ofrecer es comprensión y apoyo moral. Además, cuanto antes vuelvan a poner su vida en orden, antes podrán volver a funcionar correctamente.

Considere ofrecer a las víctimas de violaciones y filtraciones de datos el tiempo libre y el horario flexible que podrían necesitar para reunirse con sus bancos y visitar las oficinas gubernamentales para cambiar y proteger su información personal.