La ciberseguridad no es sólo una cuestión tecnológica, sino jurídica y de comunicación.
Hace unas semanas un pirateo colapsó los sistemas tecnológicos del Servicio Público de Empleo Estatal, con los consabidos problemas para la gestión de los subsidios por desempleo y la sensación de inseguridad entre los potenciales afectados. También recientemente el incendio de unos servidores en Francia puso en jaque a algunas empresas. Las que habían tenido la previsión de tener una copia de seguridad soslayaron los problemas que podrían haber sufrido.
Cuando una organización sufre un hackeo de sus sistemas las consecuencias van mucho más allá de la pérdida de información o de los daños difíciles de evaluar que sufra el negocio. También tiene un gran impacto reputacional porque genera en clientes, usuarios y empleados una sensación de vulnerabilidad e indefensión. Es decir, el pirateo no es sólo un problema tecnológico sino una cuestión estratégica y de negocio. Pero, en el mundo de hoy, ¿qué no es una cuestión de negocio? Julio Collado, Director de Seguridad de la Información del Grupo Prisa, en un evento organizado recientemente por Estudio de Comunicación en colaboración con el despacho especializado Écija, aseguraba que «la seguridad y la ciberseguridad son un problema de negocio porque hoy todo es tecnológico».
En efecto muchas veces pensamos que los problemas de seguridad de los sistemas de información se reducen al impacto en el negocio y no afecta al resto de la organización. ¡Error! La complejidad y envergadura de los sistemas de información superan la capacidad de cualquier organización y todas tienen que contar con proveedores externos que no pueden controlar totalmente. Prácticamente todas las empresas trabajan con servicios en la nube lo que redunda en un incremento del riesgo y abunda en la dificultad para asegurar el control. De ahí que Collado asegure que «como los riesgos no se pueden eliminar hay que reducirlos al máximo y valorar cuál es el grado de riesgo que la organización puede asumir».
Además, la falta de control repercute sobre la responsabilidad civil y penal, sobre todo desde que se promulgó la LOPD. Según la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, las empresas también están sujetas a obligaciones legales que, al margen de su responsabilidad directa, pueden suponer importantes multas económicas.
La clave está en los Manuales de Crisis y la Formación
¿Y todo esto qué tiene que ver con la comunicación? La respuesta es evidente: todo. La mayoría de los portales del empleado, por citar sólo una herramienta, están desarrollados y soportados en la nube por proveedores externos, que deben ofrecer todas las garantías de confidencialidad y seguridad a sus clientes. Esos portales en la mayoría de los casos dependen de los Departamentos de RR.HH., por lo menos eso revelan los estudios llevados a cabo sobre el particular, y se utilizan para facilitar herramientas de gestión (laboral, conciliación, permisos, formación) a los empleados, por tanto, reúnen una información muy sensible.
Alonso Hurtado, abogado del Despacho Écija asevera que «la ciberseguridad no es una cuestión tecnológica, sino jurídica y de comunicación». Estamos de acuerdo con él. Por ello entre las herramientas que deben utilizarse para prevenir los ciberataques están dos fundamentales, los Manuales de Crisis y la Formación. Los primeros no evitan las crisis, pero ayudan a ganar tiempo para reaccionar cuando llegan. La segunda ayuda a dotar a las personas de recursos para saber cómo prevenirlas o actuar ante esas crisis. Julio Collado también llamaba la atención sobre un hecho evidente: «El eslabón más débil de la cadena siempre es la persona». De ahí la necesidad de utilizar la formación, concienciación y comunicación interna como agente de ciberseguridad. En la medida que una empresa cuente con una cultura corporativa fuerte, con sistemas y protocolos claros y una formación adecuada contará con personas con menos posibilidad de actuar de forma incorrecta o inadecuada, aunque no sea por negligencia ni por mala fe.
La ciberseguridad es una cuestión estratégica en la que nos jugamos mucho. Las empresas tienen que tomar todas las medidas para garantizarla, hasta el límite de lo posible, y eso pasa por las personas. Y una de las medidas es transmitir, comunicar, que esas medidas están tomadas y que la responsabilidad es de todos.
¿Y qué sucede con la seguridad de nuestros canales de comunicación internos? Pues algo similar a lo ya comentado. No nos podemos permitir en caso de necesidad que nuestros canales de comunicación entre empresa y empleado caigan. Por ello también es imprescindible contar con aplicaciones y plataformas de comunicación interna con una seguridad avalada y que implementen estándares reconocidos en el ámbito de la gestión de la seguridad de la información, como puede ser la normativa ISO 27001, para asegurarnos que en cualquier caso nuestros canales de comunicación interna estarán disponibles en un escenario de crisis.
Descubre todas las prestaciones con las que mejorar en la comunicación interna de tu empresa. Una gestión sencilla, rápida y eficaz con la que conectar con tus empleados.
Utilizamos cookies para poder entender mejor el uso que se hace del sitio web y así mejorar nuestro servicio.
Al continuar navegando aceptas esta política.
Funcional Siempre activo
El almacenamiento o acceso técnico es estrictamente necesario para el propósito legítimo de permitir el uso de un servicio específico explícitamente solicitado por el abonado o usuario, o con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Estadísticas
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos.El almacenamiento o acceso técnico que se utiliza exclusivamente con fines estadísticos anónimos. Sin un requerimiento, el cumplimiento voluntario por parte de tu Proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarte.
Marketing
El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en una web o en varias web con fines de marketing similares.
Deja un comentario