El fantasma del ex: solo la mitad de los directivos de PyMEs tienen la certeza de que sus exempleados no tienen acceso a archivos corporativos
Estudio de Kaspersky revela cómo la reducción de personal puede ser un factor de riesgo para la seguridad de los datos y el sustento de las empresas
Un reciente estudio de Kaspersky sobre el comportamiento de las pequeñas y medianas empresas durante tiempos de crisis muestra que los cambios o recortes de personal pueden causar riesgos adicionales de ciberseguridad. De hecho, solo el 51% de los líderes de PyMEs confía en que sus exempleados no tienen acceso a información de la empresa almacenada en la nube.
Si bien la retención del personal fue la prioridad para casi la mitad de las organizaciones durante la pandemia, es posible que gran parte de estas aun tengan que recurrir a recortes de empleo para disminuir costos durante tiempos difíciles. En general, el 31% de los encuestados considera las reducciones de empleo como una posible medida para reducir costos en caso de crisis.
Dado que la mitad de los directivos no podía afirmar con certeza que sus exempleados no cuentan con acceso a los activos digitales de su empresa, la reducción de personal se considera como un factor de riesgo para la seguridad de los datos y el sustento de la empresa. En este contexto, el mal uso de los datos por parte de los exempleados en sus nuevos trabajos (63%) o el uso de bases de datos corporativas, como listas de clientes, para impulsar oportunidades de negocio para sí mismos (60%) son las principales preocupaciones de los directivos.
Entre otras medidas populares que las PyMEs han considerado para minimizar costos se encuentran una disminución en el gasto en publicidad y promoción (36%), así como en vehículos (34%). La ciberseguridad, por otro lado, no parece ser un área del negocio en que los líderes prefieran ahorrar presupuesto.
¿Dónde recortarían costos los empresarios de PyMEs en caso de crisis?
“El acceso no autorizado de terceros puede convertirse en un gran problema para cualquier empresa, ya que afecta a su competitividad cuando los datos corporativos se comparten con un competidor, se venden o se eliminan”, explica Alexey Vovk, jefe de seguridad de la información en Kaspersky. “Este problema se vuelve más complicado cuando los empleados utilizan activamente servicios no corporativos o de Shadow IT que no son implementados ni controlados por los departamentos de TI. Si el uso de estos servicios no se gestiona después de despedir a un empleado, hay pocas posibilidades de impedirle el acceso a la información compartida a través de dichas aplicaciones”.
Para asegurarse de que los accesos no controlados y servicios de Shadow IT no afecten la eficiencia y la seguridad de su empresa, Kaspersky recomienda:
- Mantener el control del número de colaboradores con acceso a datos corporativos para minimizar el riesgo de que se produzcan infracciones con los datos de la empresa.
- Establecer una política para el acceso a los activos corporativos, incluidos los buzones de correo electrónico, carpetas compartidas y documentos que se encuentran en línea. Manténgala actualizada y elimine el acceso si un empleado deja la empresa. Use un software intermediario de seguridad de acceso a la nube que ayuda a administrar y monitorear la actividad de los empleados en este tipo de servicios y haga cumplir las políticas de seguridad.
- Realizar copias de seguridad de los datos esenciales periódicamente para garantizar que la información corporativa se mantenga segura en caso de alguna emergencia.
- Proporcionar indicaciones claras sobre el uso de servicios y recursos externos. Es importante que los empleados sepan qué herramientas deben o no deben usar y por qué. Al incorporar cualquier software nuevo para el trabajo, debe haber un procedimiento claro de aprobación con TI y otros roles responsables.
- Invitar a los empleados a que tengan contraseñas seguras para todos los servicios digitales que utilizan y a que las cambien regularmente.
- Recordar constantemente a los colaboradores la importancia de seguir las normas básicas de ciberseguridad relacionadas con la gestión segura de cuentas y contraseñas, del correo electrónico y la navegación web. Un programa de formación integral permitirá a sus trabajadores no sólo adquirir los conocimientos necesarios sino también aplicarlos en la práctica.
- Emplear servicios de ciberseguridad dedicados, como Kaspersky Endpoint Security Cloud, que ofrezcan visibilidad sobre los servicios en la nube.
El informe completo e información adicional sobre la respuesta de las pequeñas y medianas empresas ante una crisis, así como las tácticas que emplean para combatirla están disponibles a través de este enlace.