22 de septiembre de 2021
¿Son responsables los empleadores por el robo de identidad de los empleados?
La respuesta es sí, por eso es importante practicar una buena gestión del riesgo cibernético.
A los ladrones cibernéticos les encantan los registros de personal de los empleados. Con la información que roban de los números de Seguro Social, fechas de nacimiento, historial laboral, información de cuentas bancarias e información médica, pueden hacer mucho daño y “ganar” mucho dinero.
Como empleador, es su responsabilidad proteger esta información. De hecho, las leyes estatales y federales requieren que los empleadores protejan estos datos. Si no lo hace, podría ser considerado responsable cuando se robe la información.
Los empleadores necesitan esta información para las verificaciones de antecedentes y crédito. Por lo tanto, a menudo corresponde a los departamentos de recursos humanos (RR.HH.) determinar los riesgos y descubrir las mejores líneas de defensa.
A qué se dirigen los ladrones
Es útil comprender qué tipo de información buscan los ladrones. Por ejemplo, los ladrones pueden usar información financiera robada para establecer nuevas cuentas y usarlas para robar fondos de las cuentas existentes de la víctima. La información de los empleados también se puede vender a trabajadores indocumentados para proporcionar un historial laboral falso.
Los ladrones a veces usan el correo electrónico para hacerse pasar por un ejecutivo de la empresa y solicitar una copia del formulario W-2 de un empleado. Si el empleado que recibe la solicitud no verifica la legitimidad de la solicitud y envía el W-2, el ladrón puede usarlo para crear y presentar declaraciones de impuestos falsas o abrir líneas de crédito.
Peligros internos
La Society for Human Resource Management (SHRM), una asociación de miembros profesionales de recursos humanos, informa que del 30 al 50 por ciento del robo de identidad comienza en la oficina. Numerosos empleados y administradores tienen acceso a los registros de recursos humanos, lo que dificulta la aplicación de los protocolos de seguridad adecuados. Además, se puede acceder a los datos almacenados en la nube si un empleado usa una red insegura o es víctima de una estafa de phishing. También existe la posibilidad de que un empleado descontento se sienta atraído a vender datos de contraseñas.
Las leyes federales
La Ley de transacciones de crédito justas y precisas y la Ley de informes de crédito justos responsabilizan a los empleadores si sus actos u omisiones conducen al robo de identidad. Además, el hecho de no proteger adecuadamente la información o los registros médicos relacionados con la salud hace que los empleadores sean responsables según la Ley de Estadounidenses con Discapacidades o la Ley de Portabilidad y Responsabilidad del Seguro Médico.
Sin embargo, no existe una ley federal que cubra el robo de identidad. La ley que se aplica depende del tipo de delito cometido.
Leyes estatales
Los estados han tomado la iniciativa en el establecimiento de leyes de responsabilidad del empleador, pero no hay uniformidad o consistencia de un estado a otro. Algunos estados tienen leyes de privacidad de datos, mientras que casi todos los estados tienen leyes de notificación de violaciones de datos. Estas leyes a menudo imponen requisitos y restricciones adicionales sobre cómo los empleadores usan, almacenan y transmiten la información de los empleados.
Mejores prácticas
El primer paso es desarrollar un plan integral de ciberseguridad. Trabajando con su departamento y administración de TI, elabore un documento que describa las mejores políticas para manejar, almacenar y acceder a los datos personales de los empleados. Deberá abordar:
- Cómo cifrará la empresa los archivos que contienen datos confidenciales
- Donde las copias impresas se puedan almacenar de forma segura, preferiblemente en un lugar cerrado
- Cómo y cuándo llevará a cabo evaluaciones internas de riesgos
- Qué información de los empleados debe almacenarse en la red
- Quién podrá ver o editar datos confidenciales de los empleados
- ¿En qué circunstancias se puede compartir la información de los empleados?
- Cómo se deben almacenar y cifrar estos datos
- Quién supervisará el entrenamiento
- Si contratar a un consultor para evaluar las vulnerabilidades de su red
- Quién estará a cargo de supervisar la seguridad y actuará como persona a quien acudir para las preguntas
- Cómo manejará la empresa una infracción si los datos confidenciales se ven comprometidos.
Una vez que tenga un plan, capacite tanto a sus gerentes como a sus empleados sobre los nuevos procedimientos. También es importante que los empleados comprendan las diversas formas en que los ladrones pueden obtener su información o la de la empresa. Por ejemplo, un ciberdelincuente que obtiene el control de la cuenta de redes sociales de una víctima puede difamar y calumniar a un empleador y defraudar a los clientes, socios, proveedores y clientes de una organización.
La formación debe incluir la importancia de:
- Comprender las tácticas que utilizan los ladrones cibernéticos para atacar a los empleados y las empresas, como los correos electrónicos de phishing.
- Usar contraseñas más seguras y proteger la información
- Alertando a un gerente, RR.HH. y TI de inmediato sobre posibles violaciones de datos
- Usar redes más seguras
- No acceder a la información de la empresa desde una red Wi-Fi pública.
Por último, es una excelente idea que su empresa cuente con un seguro de responsabilidad cibernética.