Corresponde a Recursos Humanos recordar al personal las políticas a aplicar cuando se trabaja fuera de la oficina, con el fin de coordinar las actividades de los empleados, asegurar que dispongan del equipo necesario para trabajar cómodamente y con seguridad, y garantizar que todos los datos de contacto estén actualizados.
Hay mucho que hacer para RR.HH.: ¡todo es urgente, todo es crucial!
Durante este período intenso y frenético, imagínate ser un responsable de RR.HH. que recibes un correo electrónico de un empleado comunicando que ha cambiado de banco y solicitando, por lo tanto, la actualización de su IBAN. Sabes que se acerca el día de pago, así que debe resolver el problema lo más rápido posible. ¿Qué haces? Llamas por teléfono al empleado para confirmar la solicitud contenida en su correo, solo para descubrir que nunca hizo tal petición. Reporta el correo falso a la función de TI y continúa con tu día. Desafortunadamente, no siempre sucede así…
Según Agari, un proveedor especializado en soluciones avanzadas de seguridad de correo electrónico, los ataques de phishing centrados en las nóminas están en fuerte aumento. Y, en el actual período tumultuoso, es probable que veamos un incremento de ciberdelincuentes que tienen como objetivo los departamentos de RR.HH. para robar dinero o adquirir información confidencial.
¿Qué es el phishing y cómo se puede evitar?
El phishing consiste en invitar a alguien a hacer clic en un enlace malicioso en un correo electrónico, o a responder a una solicitud aparentemente legítima, generalmente con el fin de obtener información financiera o personal. Es cada vez más popular entre los ciberdelincuentes, ya que es mucho más fácil inducir a alguien a proporcionar información confidencial por correo electrónico que intentar superar los múltiples niveles de seguridad que protegen la mayoría de los sistemas tecnológicos modernos.
Estos correos electrónicos parecen provenir de un empleado o de una organización de confianza, como el proveedor de servicios de gestión de nóminas. O bien, podrías recibir un correo electrónico que parece provenir de un gerente de tu organización, con una solicitud urgente de información.
Aquí hay cinco maneras de ayudarte a ti y a tu equipo de RR.HH. a evitar caer en estos fraudes:
1. Concienciación y Formación Continua
Asegúrese de que el personal que gestiona información confidencial o sensible conozca sus responsabilidades en materia de seguridad de la información, pero sobre todo los riesgos asociados a una gestión incorrecta. Con el GDPR, las violaciones de datos personales, incluso si son involuntarias, pueden acarrear multas significativas, sin mencionar el riesgo reputacional.
Si no se ha realizado formación sobre seguridad de datos, es necesario iniciarla de inmediato y asegurarte de que se actualice regularmente a partir de ahora. Cada vez hay más información disponible en línea para ayudar a las empresas a protegerse de las amenazas cibernéticas y los fraudes online.
2. Verifica siempre la procedencia de los correos electrónicos
Si recibes un correo electrónico proporcionando información relativa a los empleados, verifica siempre que sea válido. Asegúrate de comprobar la dirección de correo electrónico de la que proviene; algunos ciberdelincuentes aún pueden ser poco cuidadosos al camuflar sus correos.
Sin embargo, sabemos que los correos electrónicos de phishing también pueden ser muy sofisticados, con direcciones manipuladas mediante técnicas de ‘spoofing’ y un estilo de escritura, con logotipos y marcas imitados a la perfección hasta el último detalle. En este caso, nunca es una pérdida de tiempo contactar al remitente del correo electrónico, utilizando una dirección de correo electrónico segura y validada de forma independiente, o contactándolo a un número de teléfono del que esté seguro. Nunca hagas clic en «Responder» a los correos electrónicos de phishing, a pesar de que a veces la simplicidad o la urgencia nos tienten a hacerlo.
Consejos para RR.HH. para protegerse de los fraudes de coordenadas bancarias falsas:
- Nunca cambies las coordenadas bancarias (IBAN) porque alguien lo solicite por correo electrónico.
- Comprueba siempre la dirección de correo electrónico de la que proviene la solicitud (algunos hackers no son demasiado cuidadosos al camuflarla).
- Pide siempre una confirmación enviando al supuesto remitente un correo electrónico a su dirección de trabajo válida, nunca uses el botón de respuesta presente en el correo recibido. ¡Y si tienes la más mínima duda, contacte telefónicamente a la persona que supuestamente le envió el correo!
- Aplica las mismas reglas a cada solicitud similar que concierna a datos bancarios o personales.
- Utiliza una plataforma de RR.HH. y nóminas online segura.
3. Reporta todo a la función de TI
Si crees que está siendo objeto de phishing u otro fraude cibernético, informa rápidamente a tu equipo de TI. Ellos pueden verificar si el correo electrónico es auténtico y, si no lo es, bloquear el dominio del que proviene, además de estar atentos a cualquier otra actividad sospechosa conectada de alguna manera. Avisa a tu equipo, a otros colegas en RR.HH. o administración y finanzas y, si son pertinentes, a los proveedores externos como su asesor laboral o outsourcer de nóminas.
Si el fraude parece provenir de uno de los partners o de una entidad, repórtalo también a ellos. La mayoría de las entidades tienen secciones en su sitio web con consejos sobre qué hacer en estos casos.
4. Gestiona y conserva la información de forma segura
Si necesitas compartir información confidencial o sensible, asegúrate de que esté protegida en cada punto de su «viaje». Las hojas de cálculo son notoriamente fáciles de hackear, incluso cuando están protegidas con contraseña, por lo que no debes enviar hojas de cálculo (u otros documentos) que contengan información sensible. Siempre debes utilizar un servicio de cifrado de extremo a extremo para los correos electrónicos y no debes almacenar datos de RR.HH. en ordenadores portátiles no cifrados u otros dispositivos que podrían perderse o ser robados.
5. Utiliza sistemas de RR.HH. y nóminas seguros
El intercambio de datos a través de una plataforma de RR.HH. segura evita la necesidad de enviar información sensible por correo electrónico. La seguridad de un sistema digital de Recursos Humanos permite decidir quién puede visualizar y/o modificar diferentes tipos de información (como información de contacto, datos bancarios o salarios) y los datos en tránsito están siempre protegidos por cifrado y otras medidas de seguridad.
Si el autoservicio (self-service) está habilitado para los empleados, se puede enviar un mensaje de correo electrónico separado para informarles que pueden actualizar los detalles directamente en el sistema. Además, la seguridad puede definirse para el acceso de terceros a la plataforma de RR.HH. para, por ejemplo, el asesor laboral, de modo que puedan acceder a los datos relevantes directamente en el sistema. No solo se evita el riesgo de compartir información por correo electrónico, sino también que los datos no estén actualizados.
Por lo tanto, utilizar un software de gestión de Recursos Humanos y procesamiento de nóminas seguro se vuelve fundamental en este período para asegurarte de que el intercambio de información entre empleados, gerentes, RR.HH. y asesores, se realice de forma segura y esté trazado, de modo que los datos con los que todos trabajan estén siempre actualizados y libres de errores.
Descubra cómo Wospee puede ayudarle a gestionar y proteger sus datos de RR.HH. haciendo clic aquí.
