¿En qué consiste el texto cifrado?
El texto cifrado se refiere a los datos cifrados e ilegibles. La única forma de leer los datos cifrados es descifrándolos utilizando una clave de cifrado. Dado que el texto cifrado no se puede leer sin...
Cada vez se responsabiliza más a las organizaciones por las violaciones de los datos de los empleados. Pero los empleadores pueden tomar medidas para mitigar las probabilidades de que se produzcan violaciones y su impacto.
Cualquier organización que utilice un sistema electrónico de nóminas y beneficios almacena y procesa datos confidenciales de los empleados, lo que afecta prácticamente a todas las organizaciones en funcionamiento hoy en día. Hay muchos riesgos relacionados con los ataques cibernéticos que comprometen los datos de los empleados, como la responsabilidad legal, la interrupción de la actividad empresarial y los daños a la reputación.
La responsabilidad del empleador es la responsabilidad legal de una organización de cumplir con las leyes y las normativas. La responsabilidad de los empleadores se ha aplicado normalmente a cuestiones como los salarios, los impuestos a la renta, el acoso y la discriminación.
Por ejemplo, los empleados pueden demandar a su empleador si la organización fomenta un entorno de trabajo inseguro u hostil. La empresa tendría que pagar una indemnización por daños y perjuicios si el tribunal fallara a favor de los empleados.
En lo que respecta a la seguridad cibernética, la responsabilidad de los empleadores obliga a las organizaciones a proteger la información de identificación personal (IIP) de los empleados. Lo que se entiende exactamente por IIP varía de una jurisdicción a otra. Por lo general, es útil pensar que la IPP de los empleados abarca los datos que gestionan los equipos de recursos humanos y contabilidad.
Estos son los tipos de IIP de los empleados más comunes:
Gran parte de lo que se considera IIP de los empleados es lo que se entiende por IIP de los clientes. Hasta hace poco, muchas de las demandas judiciales presentadas contra las organizaciones tras una violación de datos se centraban en la divulgación de datos de los clientes.
Sin embargo, las demandas judiciales colectivas en las que se alega que los empleadores fueron negligentes, incumplieron un contrato o participaron en prácticas comerciales desleales con sus empleados se están volviendo cada vez más populares en los tribunales, lo que pone a los empleadores en el punto de mira. Desde que el Tribunal Supremo de Pensilvania dictaminó en noviembre de 2018 que los empleadores tienen el deber de proteger la IIP de los empleados, los tribunales federales, estatales y locales han seguido su ejemplo.
Es importante destacar que los empleadores son responsables cuando se produce una violación de los datos de los empleados, no de terceros.
En una demanda presentada por un exempleado de una empresa biofarmacéutica, el Tribunal de Apelación del Tercer Circuito de los Estados Unidos concluyó que una violación de datos solo tenía que representar un daño potencial para que un empleador fuera declarado responsable. Cuando se filtraron datos del software de nóminas de la empresa Biofarma debido a una violación, el empleador fue responsable de la publicación de los datos de los empleados en la Dark Web, no la empresa de software.
Las normativas de privacidad de datos de referencia, como la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos de la Unión Europea (RGPD), también tienen disposiciones que requieren que los empleadores protejan la privacidad de los datos de los empleados de forma tan estricta como los datos de los clientes.
Según el RGPD, las organizaciones deben obtener un consentimiento voluntario y claro para recopilar, almacenar y utilizar datos de los empleados. Por ejemplo, deben indicar cómo se utilizarán los datos de RR.HH.
CommonSpirit Health, uno de los principales sistemas de salud de los Estados Unidos, sufrió un ataque de ransomware en octubre de 2022 que afectó a más de 623 000 personas. La cadena de hospitales apagó el sistema afectado para evitar daños adicionales a su entorno de TI, como el sistema electrónico de control de horario y nóminas. La empresa perdió 150 millones de dólares en ingresos por la interrupción.
Después de que la empresa finalmente restaurara el servicio de sus sistemas, las enfermeras de algunos de los sitios de la empresa en Oregón informaron que habían recibido un pago inferior en los períodos de pago posteriores al ataque. En una demanda en curso, el sindicato que representa a los empleados de algunos de los centros de la cadena en Oregón reclama 1500 millones de dólares en daños y perjuicios para más de 600 empleados en relación con salarios impagos y multas por pagos atrasados, entre otros daños.
Si bien en esta demanda se busca una compensación por los salarios impagos, en otras demandas de empleados se han reclamado daños y perjuicios relacionados con el aumento del riesgo o la existencia de robos de identidad de los empleados cuyos datos se violaron en un ataque.
Estas son algunas de las demandas recientes más destacadas en las que se ha alegado la responsabilidad del empleador tras un ataque cibernético:
Como indica el caso de la violación de datos de CommonSpirit, los ataques cibernéticos afectan a empresas de distintos ámbitos.
La responsabilidad de los empleadores y el cumplimiento de las regulaciones de privacidad aumentan el riesgo y el costo al gasto de por sí elevado de responder a un ataque cibernético.
Según el censo de seguridad cibernética de 2022 de Keeper en Estados Unidos, la empresa media estadounidense se enfrenta a unos tres ataques cibernéticos exitosos cada año. El costo medio supera los 75 000 dólares, y el 37 % de las organizaciones pagan 100 000 dólares o más por cada ataque cibernético. Para las pequeñas y medianas empresas, el costo puede ser devastador.
Los empleadores pueden reducir su responsabilidad por un ataque cibernético que afecte a los datos de los empleados asegurándose de que estén cubiertos de las siguientes maneras:
Los empleadores pueden mitigar la responsabilidad y el riesgo mediante el control y el seguimiento del acceso a las cuentas y la información confidencial.
Keeper Privileged Access Manager (KeeperPAM) se creó para proteger los entornos de nubes múltiples y sin perímetro de ataques cibernéticos. Al proporcionar contraseñas de grado empresarial, secretos y gestión de conexiones privilegiadas en una plataforma sencilla, KeeperPAM permite a las organizaciones reducir de forma rentable su superficie de ataque y proteger a los empleados y los dispositivos.