Vídeo: Cómo prevenir un ciberataque (De novembre 2024)
Quan els pirates informàtics ataquen, els recursos humans (RRHH) són un dels primers llocs en què es troben. L’HR és un objectiu popular a causa de l’accés del personal de recursos humans a les dades que es poden comercialitzar a la web fosca, inclosos els noms dels empleats, les dates de naixement, les adreces, els números de la Seguretat Social i els formularis W2. Per obtenir informació sobre aquest tipus d’informació, els pirates informàtics utilitzen tot, des del phishing fins a presentar-se com a executius de la companyia que demanen documents interns –una forma de phishing que anomenen "balena" - per explotar vulnerabilitats en serveis de tecnologia de nòmines i recursos humans basats en núvol.
Per lluitar contra, les empreses han de seguir protocols informàtics segurs. Inclou la formació de persones en recursos humans i altres empleats per mantenir estafes, adoptar pràctiques que protegeixen les dades i controlar els proveïdors de tecnologia de recursos humans basats en núvols. En un futur no gaire llunyà, també es pot ajudar la biomètrica i la intel·ligència artificial (IA).
Els ciberataques no se'n van; per si fos alguna cosa, empitjoraran. Les empreses de totes les mides són susceptibles de ciberataques. Tanmateix, les petites empreses poden tenir un major risc, ja que generalment tenen menys persones amb personal que té com a única tasca vigilar la ciberdicriminació. Pot ser que les organitzacions més grans puguin absorbir els costos relacionats amb un atac, inclòs el pagament de report de crèdit per un parell d'anys als empleats de les quals s'hagin robat identitats. Per a les empreses més petites, les conseqüències de la publicació digital poden ser devastadores.
No és difícil trobar exemples d’incompliments de dades de recursos humans. Al maig, els pirates informàtics van utilitzar l'enginyeria social i les pràctiques de seguretat pobres als clients d'ADP per robar els números de la Seguretat Social dels seus empleats i altres dades de personal. El 2014, els pirates informàtics van explotar les credencials d’inici de sessió en un nombre indeterminat de clients de la suite de nòmines i administració d’UlttiPro d’Ultimate Software per robar les dades dels empleats i arxivar declaracions d’impostos fraudulents, segons Krebs sobre Seguretat.
En els darrers mesos, els departaments de RRHH de nombroses empreses han rebut el final de la recepció de les estafes de caça de la modalitat d'impostos W-2. En diversos casos ben notificats, el departament de nòmines i altres empleats van donar informació fiscal W-2 als pirates informàtics després de rebre una carta de falsificació que semblava una legítima sol·licitud de documents d'un executiu de l'empresa. Al març, Seagate Technology va dir que involuntàriament compartia informació de forma d'impostos W-2 per a "diversos milers" de treballadors actuals i antics a través d'aquest atac. Un mes abans d'això, SnapChat va dir que un empleat del seu departament de nòmines compartia dades de nòmines per a "diversos" empleats actuals i antics a un estafador que posava com a conseller delegat Evan Spiegel. Segons el Wall Street Journal, Weight Watchers International, PerkinElmer Inc., Bill Casper Golf i Sprouts Farmers Market Inc., també han estat víctimes de similituds.
Empleats de tren
Fer consciència dels empleats dels possibles perills és la primera línia de defensa. Capacitar els empleats per reconèixer elements que incloguessin o no inclosos en els correus electrònics dels executius de la companyia, com ara com signen el seu nom. Fixeu-vos en el que demana el correu electrònic. No hi ha cap raó perquè un CFO demani dades financeres, per exemple, perquè les possibilitats ho tenen, ja ho tenen.
Un investigador de la conferència de ciberseguretat de Black Hat a Las Vegas aquesta setmana va suggerir que les empreses diguessin als seus empleats que sospiten de tots els missatges de correu electrònic, fins i tot si coneixen l’emissor o si el missatge s’ajusta a les seves expectatives. Aquest mateix investigador va admetre la formació de sensibilització sobre phishing es pot produir un error en contra si els empleats passen tant de temps comprovant per assegurar-se que els missatges de correu electrònic individuals són legítims que disminueixi la seva productivitat.
L’entrenament de sensibilització pot ser eficaç, si l’empresa de formació en ciberseguretat que treballa KnowBe4 ha realitzat és una indicació. Al llarg d’un any, KnowBe4 va enviar correus electrònics simulats d’atac de phishing a 300.000 empleats a 300 empreses clients de forma regular; ho van fer per entrenar-los sobre com detectar banderes vermelles que podrien indicar un problema. Abans de la formació, el 16 per cent dels empleats feien clic als enllaços dels correus electrònics simulats de phishing. Només dotze mesos després, aquest nombre va caure fins a l'1 per cent, segons Stu Sjouwerman, fundador i conseller delegat de KnowBe4.
Emmagatzema dades al núvol
Una altra manera de fer un atac final sobre atacs de pesca o caça de balena és mantenint la informació de l'empresa de forma xifrada al núvol en lloc de documents o carpetes en ordinadors de sobretaula o ordinadors portàtils. Si els documents es troben al núvol, fins i tot si un empleat no sol·licita una sol·licitud de phishing, només enviaria un enllaç a un fitxer al qual un hacker no hi podria accedir (perquè no tindria la informació addicional que necessitava obriu-lo o desxifreu-lo). OneLogin, una empresa de San Francisco que ven sistemes de gestió d’identitats, ha prohibit l’ús d’arxius a la seva oficina, segons ha informat un conseller delegat OneLogin, Thomas Pedersen.
"És per raons de seguretat i de productivitat", va dir David Meyer, cofundador de OneLogin i vicepresident de Desenvolupament de Productes. "Si es roba el portàtil d'un empleat, no importa perquè no hi ha res".
Meyer aconsella a les empreses que utilitzin plataformes de tecnologia de RRHH que estiguin considerant per comprendre quins protocols de seguretat ofereixen els venedors. ADP no comentaria les últimes novetats que afectaven els seus clients. Tot i això, un portaveu de l’ADP va dir que l’empresa proporciona educació, formació de sensibilització i informació a clients i consumidors sobre les bones pràctiques per prevenir problemes habituals de ciberseguretat, com ara el phishing i el malware. Segons un portaveu, un equip de control de delictes financers ADP i grups de suport al client notifiquen als clients quan la companyia detecta fraus o intentava accedir fraudulentament. Ultimate Software també va posar en marxa precaucions similars després d’atacs contra usuaris d’UltiPro el 2014, incloent l’institució d’autenticació de múltiples factors per als seus clients, segons Krebs on Security.
Segons quin lloc es troba la vostra empresa, és possible que tingueu l’obligació legal d’informar informacions digitals a les autoritats competents. A Califòrnia, per exemple, les empreses tenen l’obligació d’informar quan s’han robat més de 500 noms d’empleats. Segons Sjouwerman, convé consultar un advocat per saber quins són els vostres deures.
"Hi ha un concepte legal que requereix que prenguis mesures raonables per protegir el teu entorn i, si no ho fas, ets essencialment responsable", va dir.
Utilitzeu programari de gestió de la identitat
Les empreses poden protegir els sistemes de recursos humans mitjançant programes de gestió de la identitat per controlar registres i contrasenyes. Penseu en els sistemes de gestió de la identitat com a gestors de contrasenyes per a l'empresa. En lloc de confiar en el personal i els empleats de RRHH per recordar-los-protegir-los noms d’usuari i contrasenyes de cada plataforma que utilitzen per a nòmines, beneficis, contractació, programació, etc., poden utilitzar un sol registre per accedir a tot. Posar tot sota un registre d’entrada pot facilitar als empleats que poden oblidar les contrasenyes als sistemes de recursos humans que només s’inicien una sessió algunes vegades a l’any (fent-los més propensos a anotar-los en algun lloc o emmagatzemar-los en línia on els puguin robar).
Les empreses poden utilitzar un sistema de gestió d’identificacions per configurar la identificació de dos factors per als administradors del sistema de recursos humans o utilitzar geofencing per restringir els registres d’inici, de manera que els administradors només poden iniciar la sessió des d’una determinada ubicació, com ara l’oficina.
"Tots aquests nivells de tolerància al risc de seguretat per a persones diferents i rols diferents no són característiques dels sistemes de recursos humans", va dir OneLogin Meyer.
Els venedors de tecnologia de RRHH i les empreses de ciberseguretat treballen en altres tècniques per prevenir els ciberataques. Finalment, més empleats es connectaran als sistemes de treball de RRHH i altres mitjançant la utilització de biomètriques, com ara anàlisis d’empremtes dactilars o de retina, que resulten més difícils de fer que els pirates informàtics es vulguin. En el futur, les plataformes de ciberseguretat poden incloure aprenentatge automàtic que permet al programari formar-se per detectar programes maliciosos i altres activitats sospitoses en ordinadors o xarxes, segons una presentació a la conferència de Black Hat.
Fins que no estiguin més àmpliament disponibles, els departaments de recursos humans hauran de confiar en la seva pròpia consciència, la formació dels empleats, les mesures de seguretat disponibles i els proveïdors de tecnologia de recursos humans amb què treballen per evitar problemes.