Algunas de las estafas más habituales en Facebook Messenger incluyen las solicitudes de códigos de autenticación, las páginas benéficas falsas que piden donaciones, los mensajes que
Cada vez se responsabiliza más a las organizaciones por las violaciones de los datos de los empleados. Pero los empleadores pueden tomar medidas para mitigar las probabilidades de que se produzcan violaciones y su impacto.
Cualquier organización que utilice un sistema electrónico de nóminas y beneficios almacena y procesa datos confidenciales de los empleados, lo que afecta prácticamente a todas las organizaciones en funcionamiento hoy en día. Hay muchos riesgos relacionados con los ataques cibernéticos que comprometen los datos de los empleados, como la responsabilidad legal, la interrupción de la actividad empresarial y los daños a la reputación.
¿Qué es la responsabilidad del empleador?
La responsabilidad del empleador es la responsabilidad legal de una organización de cumplir con las leyes y las normativas. La responsabilidad de los empleadores se ha aplicado normalmente a cuestiones como los salarios, los impuestos a la renta, el acoso y la discriminación.
Por ejemplo, los empleados pueden demandar a su empleador si la organización fomenta un entorno de trabajo inseguro u hostil. La empresa tendría que pagar una indemnización por daños y perjuicios si el tribunal fallara a favor de los empleados.
¿Cuál es la responsabilidad de los empleadores en materia de seguridad cibernética?
En lo que respecta a la seguridad cibernética, la responsabilidad de los empleadores obliga a las organizaciones a proteger la información de identificación personal (IIP) de los empleados. Lo que se entiende exactamente por IIP varía de una jurisdicción a otra. Por lo general, es útil pensar que la IPP de los empleados abarca los datos que gestionan los equipos de recursos humanos y contabilidad.
Estos son los tipos de IIP de los empleados más comunes:
- Números de Seguridad Social (SSN)
- Licencias de conducir
- Pasaportes
- Números de identificación de contribuyente (TIN)
- Domicilio
- Información financiera personal (como salario o patrimonio), cuentas bancarias y tarjetas de crédito/débito
- Historial médico
- Direcciones de correo electrónico y números de teléfono
La responsabilidad de los empleadores es cada vez mayor
Gran parte de lo que se considera IIP de los empleados es lo que se entiende por IIP de los clientes. Hasta hace poco, muchas de las demandas judiciales presentadas contra las organizaciones tras una violación de datos se centraban en la divulgación de datos de los clientes.
Sin embargo, las demandas judiciales colectivas en las que se alega que los empleadores fueron negligentes, incumplieron un contrato o participaron en prácticas comerciales desleales con sus empleados se están volviendo cada vez más populares en los tribunales, lo que pone a los empleadores en el punto de mira. Desde que el Tribunal Supremo de Pensilvania dictaminó en noviembre de 2018 que los empleadores tienen el deber de proteger la IIP de los empleados, los tribunales federales, estatales y locales han seguido su ejemplo.
Es importante destacar que los empleadores son responsables cuando se produce una violación de los datos de los empleados, no de terceros.
En una demanda presentada por un exempleado de una empresa biofarmacéutica, el Tribunal de Apelación del Tercer Circuito de los Estados Unidos concluyó que una violación de datos solo tenía que representar un daño potencial para que un empleador fuera declarado responsable. Cuando se filtraron datos del software de nóminas de la empresa Biofarma debido a una violación, el empleador fue responsable de la publicación de los datos de los empleados en la Dark Web, no la empresa de software.
Privacidad de los datos de los empleados
Las normativas de privacidad de datos de referencia, como la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos de la Unión Europea (RGPD), también tienen disposiciones que requieren que los empleadores protejan la privacidad de los datos de los empleados de forma tan estricta como los datos de los clientes.
Según el RGPD, las organizaciones deben obtener un consentimiento voluntario y claro para recopilar, almacenar y utilizar datos de los empleados. Por ejemplo, deben indicar cómo se utilizarán los datos de RR.HH.
¿Cómo es la responsabilidad de los empleadores después de un ataque cibernético?
CommonSpirit Health, uno de los principales sistemas de salud de los Estados Unidos, sufrió un ataque de ransomware en octubre de 2022 que afectó a más de 623 000 personas. La cadena de hospitales apagó el sistema afectado para evitar daños adicionales a su entorno de TI, como el sistema electrónico de control de horario y nóminas. La empresa perdió 150 millones de dólares en ingresos por la interrupción.
Después de que la empresa finalmente restaurara el servicio de sus sistemas, las enfermeras de algunos de los sitios de la empresa en Oregón informaron que habían recibido un pago inferior en los períodos de pago posteriores al ataque. En una demanda en curso, el sindicato que representa a los empleados de algunos de los centros de la cadena en Oregón reclama 1500 millones de dólares en daños y perjuicios para más de 600 empleados en relación con salarios impagos y multas por pagos atrasados, entre otros daños.
Si bien en esta demanda se busca una compensación por los salarios impagos, en otras demandas de empleados se han reclamado daños y perjuicios relacionados con el aumento del riesgo o la existencia de robos de identidad de los empleados cuyos datos se violaron en un ataque.
Estas son algunas de las demandas recientes más destacadas en las que se ha alegado la responsabilidad del empleador tras un ataque cibernético:
- Five Guys: divulgación de los números de Seguridad Social y las licencias de conducir de solicitantes de empleo
- San Francisco 49ers: robo de nombres, fechas de nacimiento y números de Seguridad Social de los empleados
- Macmillan: un ataque de ransomware resultó en la publicación de datos de los empleados en la Dark Web y robos de identidad
El impacto empresarial de un ataque cibernético
Como indica el caso de la violación de datos de CommonSpirit, los ataques cibernéticos afectan a empresas de distintos ámbitos.
- Responsabilidad legal: las empresas pueden ser responsables de los daños y perjuicios tras una violación de los datos de los empleados. Estos daños pueden incluir cuestiones como el costo de sustituir las tarjetas de crédito o débito y de supervisar los informes u otros costos relacionados con la angustia emocional por el riesgo de robo de identidad.
- Sanciones regulatorias: las empresas pueden enfrentarse a sanciones regulatorias, incluidas multas por la violación o por no divulgar la violación a las partes afectadas.
- Repercusiones sobre la reputación: la pérdida de reputación puede perturbar gravemente la confianza de los clientes y el rendimiento empresarial. El deterioro de la imagen pública, incluso ante posibles futuros empleados, puede poner en peligro la solidez de la empresa a largo plazo.
- Interrupciones, restauración y revisión de los sistemas de TI: aunque el FBI lo desaconseja, las organizaciones pueden optar por pagar un rescate para restaurar el acceso a su entorno. En cualquier caso, como parte del costo forense y de recuperación de cualquier violación, las empresas probablemente tengan que cambiar, sustituir o actualizar los sistemas de TI que procesan datos de los empleados y otros datos sensibles.
Cómo se puede reducir la responsabilidad de los empleadores en caso de un ataque cibernético
La responsabilidad de los empleadores y el cumplimiento de las regulaciones de privacidad aumentan el riesgo y el costo al gasto de por sí elevado de responder a un ataque cibernético.
Según el censo de seguridad cibernética de 2022 de Keeper en Estados Unidos, la empresa media estadounidense se enfrenta a unos tres ataques cibernéticos exitosos cada año. El costo medio supera los 75 000 dólares, y el 37 % de las organizaciones pagan 100 000 dólares o más por cada ataque cibernético. Para las pequeñas y medianas empresas, el costo puede ser devastador.
Los empleadores pueden reducir su responsabilidad por un ataque cibernético que afecte a los datos de los empleados asegurándose de que estén cubiertos de las siguientes maneras:
- Formación en concienciación sobre la seguridad cibernética: cuando los empleados pueden identificar un enlace o archivo adjunto sospechoso, pueden evitar que su empleador tenga problemas. La formación de los empleados sobre los signos más comunes de phishing o ransomware protege a los empleados y las organizaciones de ser víctimas de ataques.
- Política de privacidad de los empleados: en algunas áreas, la ley puede exigir una política de privacidad de los datos de los empleados. Las políticas de privacidad de los datos de los empleados explican cómo se recopilarán, almacenarán y utilizarán los datos de los empleados.
- Configuración de contraseñas seguras: más del 80 % de las violaciones de datos se deben a contraseñas débiles, robadas o reutilizadas. Instaurar una forma de crear y almacenar contraseñas seguras y aleatorias permite a los empleados evitar la causa más común de las violaciones de datos.
- Gestión de privilegios: una solución de gestión de privilegios permite a las organizaciones controlar los permisos y supervisar el uso de cuentas críticas, lo que limita el riesgo de accesos no autorizados a información confidencial.
- Seguridad de los proveedores: es importante tener en cuenta que los empleadores son responsables de las violaciones de datos cuando un proveedor los filtra, no terceros. Garantizar la seguridad de los proveedores es fundamental para crear un entorno de TI sólido.
- Planes de respuesta a incidentes: un plan de respuesta a incidentes, que atribuya la propiedad de actividades críticas, como la investigación forense de sistemas, la recuperación de datos y las comunicaciones estratégicas, debe mitigar la responsabilidad y el impacto general de una violación frente a un empleador.
- Seguro cibernético: este tipo de seguro puede reducir el impacto de una violación de datos, lo que ayuda a las empresas a mitigar el riesgo y a cubrir el costo de su respuesta. Para las organizaciones con baja madurez de TI, que corren un mayor riesgo de sufrir una violación, muchas pólizas de seguro cibernético ofrecen una evaluación de preparación para mejorar las prácticas de seguridad y los programas de formación de los empleados.
Gestión del acceso privilegiado y la responsabilidad del empleador
Los empleadores pueden mitigar la responsabilidad y el riesgo mediante el control y el seguimiento del acceso a las cuentas y la información confidencial.
Keeper Privileged Access Manager (KeeperPAM) se creó para proteger los entornos de nubes múltiples y sin perímetro de ataques cibernéticos. Al proporcionar contraseñas de grado empresarial, secretos y gestión de conexiones privilegiadas en una plataforma sencilla, KeeperPAM permite a las organizaciones reducir de forma rentable su superficie de ataque y proteger a los empleados y los dispositivos.