Solo el 51% de los líderes de las organizaciones confía en que sus ex empleados no tengan acceso a los datos de la empresa almacenados en los servicios en la nube, y solo el 53% está seguro de que los ex trabajadores no pueden utilizar las cuentas corporativas. Estas son dos de las principales conclusiones de un nuevo estudio realizado por Kaspersky sobre el comportamiento de las pequeñas y medianas empresas durante la pasada pandemia de Covid-19, el cual muestra que las reducciones de personal pueden causar riesgos adicionales de ciberseguridad.
Para el estudio, la empresa de ciberseguridad encuestó a más de 1.300 líderes empresariales de pequeñas y medianas organizaciones para saber qué tácticas elegían para mantener su negocio a flote, y qué riesgos de ciberseguridad podrían conllevar las medias anticrisis. Huelga decir que aunque muchas empresas pudieron evitar despidos, la mayor parte de las organizaciones tuvieron que reducir sus plantillas como consecuencia de la pandemia.
El uso indebido de los datos por parte de los exempleados en sus nuevos trabajos o para hacer negocio por su cuenta fue una de las principales preocupaciones de los jefes. Los resultados de la encuesta sugieren que a la mayoría de los líderes empresariales les preocupa que los antiguos empleados compartan los datos internos de la empresa con nuevos empleadores (63%) o que utilicen los datos corporativos, como las bases de datos de clientes anteriores, para lanzar su propio negocio (60%). En general, el 31% de los encuestados considera las reducciones de plantilla como una posible medida para recortar costes en caso de crisis.
Otras medidas populares de reducción de costes son la disminución del gasto en publicidad y promoción (36%) y en vehículos (34%). La ciberseguridad, en cambio, no parece ser un área de la empresa en la que los líderes prefieran ahorrar presupuesto.
"El acceso no autorizado puede convertirse en un gran problema para cualquier negocio, afectando a la competitividad de una empresa cuando los datos corporativos se transfieren a un competidor, se venden o se eliminan", explica Alexey Vovk, jefe de Seguridad de la Información de Kaspersky. "Este problema se complica cuando los empleados utilizan activamente servicios no corporativos o de "TI en la sombra" que no están implantados o controlados por los departamentos de TI corporativos. Si el uso de estos servicios no se gestiona tras el despido de un empleado, hay pocas posibilidades de que se cierre el acceso a la información compartida a través de estas aplicaciones para un antiguo trabajador".
Desde la compañía de ciberseguridad recomiendan seguir los siguientes pasos para asegurarse de que los accesos no controlados y la TI en la sombra no afecten a la eficiencia y la seguridad de su empresa:
- Mantener el control del número de personas con acceso a datos corporativos cruciales, reduciendo la cantidad de datos disponibles para todos los empleados. Es más probable que se produzcan infracciones en las organizaciones en las que demasiados empleados trabajan con información valiosa y confidencial que puede ser vendida o utilizada de algún modo.
- Establecer una política de acceso a los activos corporativos, incluidos los buzones de correo electrónico, las carpetas compartidas y los documentos online. Hay que mantenerla actualizada y eliminar el acceso si un empleado deja la empresa. Utilizar un software de agente de seguridad de acceso a la nube que ayude a gestionar y supervisar la actividad de los empleados dentro de los servicios en la nube y aplique las políticas de seguridad. Adoptar un programa de gestión de vulnerabilidades para recibir regularmente los datos más relevantes sobre las vulnerabilidades de los Controladores Lógicos Programables (PLC), los equipos y el firmware, así como aplicar parches o utilizar cualquier solución de protección.
- Realizar copias de seguridad periódicas de los datos esenciales para garantizar que la información corporativa permanezca segura en caso de emergencia.
- Proporcionar directrices claras sobre el uso de servicios y recursos externos. Los empleados deben saber qué herramientas deben o no deben utilizar y por qué. Cuando se cambie a un nuevo software para el trabajo, debe haber un procedimiento claro de aprobación con el departamento de TI y otras funciones responsables.
- Animar a los empleados a poner contraseñas seguras para todos los servicios digitales que utilicen y a cambiarlas regularmente.
- Recordar periódicamente al personal la importancia de seguir las normas básicas de ciberseguridad relacionadas con la gestión segura de cuentas y contraseñas, la seguridad del correo electrónico y la navegación por Internet.
- Emplear servicios de ciberseguridad específicos que proporcionen visibilidad sobre los servicios en la nube.