La ciberseguridad se ha convertido, en la actualidad, en un tema prioritario para las empresas debido al creciente número de ataques que amenazan la integridad de sus datos y sistemas. Las técnicas utilizadas por los ciberdelincuentes se sofisticaron y una de las estrategias más efectivas para comprometer la seguridad de las organizaciones es la ingeniería social.
Esta técnica consiste en la manipulación psicológica a los usuarios para obtener acceso sin autorización a los sistemas. Esto también puso en evidencia la importancia de capacitar a los trabajadores sobre buenas prácticas de ciberseguridad. Sin embargo, surgen diversas preguntas en este panorama. Una es si los trabajadores son responsables si, de forma involuntaria, permite el hackeo a la empresa.
En primer lugar, debe considerarse que los ataques de ingeniería social son cada vez más comunes y pueden involucrar varios métodos, entre ellos, el phishing. Esto es cuando un ciberdelincuente se hace pasar por una entidad confiable para engañar al trabajador.
Mediante el envío de correos electrónicos o mensajes fraudulentos, los atacantes buscan que los usuarios compartan información confidencial o descarguen archivos que permiten el acceso al sistema interno de la empresa. Este tipo de ataques se basa en la confianza y la inexperiencia del trabajador.
¿UN TRABAJADOR PUEDE CONSIDERARSE RESPONSABLE?
César Puntriano, socio principal del Estudio Muñiz, explicó que la responsabilidad de un trabajador en un incidente de ciberseguridad depende de su diligencia al seguir los protocolos de la empresa.
Si el empleado, de manera negligente, omite activar ciertos protocolos o no reporta vulnerabilidades conocidas, podría considerarse responsable, ya que estaría incumpliendo sus obligaciones. En este caso, la empresa podría atribuirle una falta o amonestación, dependiendo de las consecuencias de la negligencia.
Sin embargo, si el trabajador siguió rigurosamente todas las políticas de seguridad, activando firewalls y cumpliendo con cada medida preventiva, pero aún así ocurre un ataque, Puntriano precisó que no se le debería atribuir responsabilidad. En estos casos, el problema radicaría en la infraestructura tecnológica de la empresa, que podría no ser suficientemente robusta para enfrentar ataques sofisticados.
Para determinar la responsabilidad, Puntriano subrayó la importancia de realizar una investigación forense que revele si el trabajador cumplió con sus obligaciones.
De esta manera, al demostrarse que el empleado actuó con diligencia y el ataque fue producto de una falla en los sistemas de seguridad de la empresa, entonces, la solución debería enfocarse en mejorar la infraestructura de protección y capacitar continuamente al personal. La medida correctiva es que la empresa invierta en sistemas más avanzados y refuerce la formación de sus empleados. En un entorno digital en constante cambio, la seguridad es un desafío continuo que requiere adaptación constante.
RESPONSABILIDAD AGRAVADA
Ana Sofía Apaza, asociada senior del Estudio Olaechea, señaló que la situación es diferente cuando el trabajador actúa con mala fe, es decir, de forma deliberada para vulnerar la seguridad de la empresa.
En este escenario, determinada la responsabilidad, la situación del trabajador se agrava considerablemente, ya que sus acciones no serían un simple descuido o negligencia, sino un intento consciente de dañar o exponer la empresa a riesgos cibernéticos.
Apaza explicó que este tipo de comportamiento constituye una falta grave, pues el trabajador, con pleno conocimiento de las políticas de seguridad, actuó en perjuicio de la empresa.
Algunos ejemplos de estas acciones malintencionadas pueden incluir el uso de los equipos de la empresa para descargar archivos no autorizados, películas u otro contenido de sitios que podrían infectar los sistemas de la empresa con virus.
Estas conductas no solo infringen las normas de seguridad, sino también las disposiciones de uso exclusivo de los equipos para fines laborales. En estos casos, Apaza indicó que es posible aplicar sanciones severas, debido a la naturaleza del acto, y que se debe evaluar individualmente para determinar la gravedad de la sanción.
Ambos voceros explicaron que las empresas tienen la responsabilidad de implementar medidas de seguridad efectivas que protejan su infraestructura digital, Según los expertos, la creación de un entorno seguro para el trabajador puede reducir significativamente la posibilidad de errores humanos.
En este sentido, la mayoría de los protocolos de seguridad sugieren que la empresa debe asumir un enfoque preventivo. Esto implica no solo la adopción de tecnologías avanzadas, sino también la creación de una cultura organizacional de seguridad, donde cada empleado comprenda los riesgos y sea consciente de las implicaciones de sus acciones en el entorno digital corporativo.
Fuente : Diario Gestión