Cómo almacenar información de tus empleados de forma segura y sencilla

 Archivo de empleados protegido con contraseña

Como empleador, tienes la obligación tanto moral como legal de apuntalar la información sensible de tus empleados. La información sensible incluye datos genéticos y biométricos, registros médicos, SNN (números de seguridad social) y registros de antecedentes penales, por nombrar algunos.

Si no lo haces, te expondrá a muchos riesgos. Los piratas informáticos están constantemente a la caza de datos de solicitantes y empleados que pueden vender en la web oscura o utilizar para cometer fraudes.

Numerosas instituciones y empresas de todo el mundo (UPMC, Navistar, Kroger) se han enfrentado a demandas judiciales por no almacenar y proteger los datos de tus empleados de forma responsable. Así, algunas han pagado varios millones de dólares para resolver estas demandas.

A continuación se explica cómo almacenar los datos de los empleados de forma segura y evitar grandes consecuencias:

Crear una política de protección de datos

La ley no exige tener una política de protección de datos, por lo que la mayoría de las empresas carecen de ella. Sin embargo, debería considerar seriamente la posibilidad de crear una política de seguridad empresarial sólida. Una política de protección de datos adecuada establece el tipo de datos que tu empresa recogerá, las partes que tienen acceso a ellos y la forma en que se almacenan y procesan los datos.

La mayoría de las veces, los documentos de la política de protección de datos también establecen claramente que el sujeto que utilice o copie información sensible sin autorización será declarado responsable y sancionado.

Tomar medidas proactivas

La Comisión Federal de Comercio informó de un espectacular aumento del 2.920% en los casos de robo de identidad en el último año.

Al mismo tiempo, el robo de información de identidad sigue constituyendo el mayor porcentaje de todas las estafas y fraudes en línea denunciados en los últimos años. Más del 60% de las empresas se han enfrentado al menos a un ciberataque y han dejado de funcionar por ese motivo.

Sabiendo todo esto, los equipos de RRHH y TI deben hacer todo lo posible para prepararse para una posible violación de datos y proteger los datos de los empleados evaluando los posibles defectos de seguridad, realizando controles de seguridad de los datos y defendiendo el sitio web de su empresa de las distintas ciberamenazas.

Formar y educar a los empleados

El error humano suele ser una de las principales causas de las violaciones de datos. Es más, el elemento humano estuvo implicado en el 82% de las violaciones de datos, según el Informe de Investigación de Violaciones de Datos de 2022.

Cuando decimos error humano, nos referimos a:

  • Hacer clic en todo tipo de enlaces en mensajes, correos electrónicos y DMs procedentes de fuentes desconocidas
  • Ser víctima de estafas de smishing y phishing
  • El uso de wifi público

Precisamente por eso, tu empresa debe concienciar sobre el robo de credenciales dentro de tu organización e impartir formación sobre ciberseguridad a tus empleados y futuras contrataciones a medida que se incorporan. Lo que puede parecer una actividad online típica puede acabar convirtiéndose en una pesadilla y permitir a los hackers acceder a datos sensibles de la empresa y de los empleados.

Como regla general, las mejores pautas para prevenir las violaciones de datos incluyen:

  • Utilizar 2FA o MFA en todas las cuentas de la empresa
  • Crear contraseñas fuertes que contengan letras, números, así como minúsculas y mayúsculas
  • No utilizar el wifi público para acceder a los recursos de la empresa
  • Establecer conexiones de red seguras utilizando herramientas como una VPN
Internxt es una nube de almacenamiento disponible para Linux

Utilizar herramientas y software de seguridad robustos

En primer lugar, actualiza todo el software en cuanto haya nuevas actualizaciones. A continuación, actualiza todos los dispositivos propiedad de la empresa, especialmente si el fabricante ya no da soporte al software que está utilizando.

Esta es la lista de herramientas y software que puede utilizar para proteger los datos de los empleados:

  • Software antimalware y antivirus
  • Cortafuegos
  • Herramientas de detección automática de amenazas
  • Comprobadores de contraseñas
  • Herramientas de cifrado
  • Herramientas de supervisión de la seguridad de la red
  • Herramientas de mapeo de flujos de datos

Por ejemplo, las herramientas de mapeo de flujo de datos pueden ayudar significativamente a rastrear los datos y analizar los niveles de seguridad actuales.

Estas herramientas muestran visualmente el flujo de datos a través de tu organización y facilitan la evaluación de los puntos débiles o de si tus defensas son adecuadas o no.

Se selectivo con la información que recopilas

Recoge y almacena sólo los datos que sean relevantes y necesarios para tomar decisiones de contratación. Por ejemplo, evita recopilar el número de seguro social siempre que sea posible. Es cierto que puede necesitar una comprobación de antecedentes, pero no la almacene.

En lugar de utilizar el SSN, asigna números únicos a cada empleado y te protegerás drásticamente contra el robo de identidad.

Algunos estados, como Nueva York, incluso restringen el uso y la impresión de los SSN o el uso de cualquier número derivado de los SSN para mitigar la exposición a los ciberataques. Haz como Nueva York ;)

Limite el acceso a los datos

No todo el mundo de tu empresa debe tener acceso a toda la información de los empleados. Por ejemplo, el equipo de RRHH es el único que debería poder acceder a información como las evaluaciones de rendimiento o los registros de asistencia.

Además, no es necesario conceder a casi nadie el acceso a los historiales médicos de los empleados. El historial médico o el estado de cada empleado debe almacenarse y guardarse por separado de la información relacionada con el rendimiento.

¿Otro ejemplo? Sin duda hay que restringir el acceso de los representantes de ventas a los informes de rendimiento o a los documentos financieros confidenciales. Los empleados pueden causar enormes daños, ya sea de forma accidental o deliberada, pero la determinación de los permisos de acceso limita al máximo las posibilidades de resultados negativos.

Es aconsejable revisar todos los permisos de acceso de vez en cuando, ya que algunos usuarios ya no necesitarán los privilegios que solían tener dentro de tu organización. Esto ocurre con frecuencia cuando los gestores de cuentas cambian de función o cuando los ingenieros de soporte técnico cambian de base de datos.

Seguimiento de los registros de acceso

Si almacena los registros de los empleados en línea, probablemente podrá mantener un registro de quién accede a estos registros, cuándo y por qué. Puede tratarse de ejecutivos, socios, contratistas y administradores.

Utiliza un software que facilite el seguimiento exhaustivo del acceso e investiga cualquier incidente o intento de acceso a los registros de los empleados sin autorización. Estos productos pueden ayudar a determinar si debes tomar alguna medida disciplinaria o realizar mejoras para proteger los documentos de forma más eficiente.

Utiliza el software de gestión de documentos de los empleados

Ya es hora de deshacerse de ese anticuado software de gestión de archivos que ha utilizado durante años. Necesitas algo más avanzado para organizar varios tipos de datos, especialmente cuando contratas a gente nueva y almacenas todos tus datos de forma segura. Implementar un generador de documentos o un software de gestión de documentos para empleados es una medida inteligente.

Con este tipo de software, puede generar documentos legales sin errores y acceder a ellos desde una única ubicación donde se guardan de forma segura. Cuando uses un software de gestión de registros de RRHH o las opciones de generación de documentos, busca las siguientes características:

Internxt es una nube de almacenamiento disponible para Linux
  • Permisos de acceso, visualización y edición personalizables
  • La posibilidad de elegir documentos específicos para los empleados
  • Cumplimiento de los más altos estándares de seguridad y protección
  • Integración con otros sistemas de RRHH y de gestión de empleados que esté utilizando
  • Los empresarios deben proteger los datos de los empleados

Al adquirir datos personales y sensibles, es tu responsabilidad almacenar esta información de la forma más segura posible. Para ello, debes formar a tus empleados, desarrollar controles de seguridad y utilizar siempre las mejores prácticas de almacenamiento de datos para evitar que tu empresa (y tus maravillosos empleados) sean presa de los ciberdelincuentes.