“Las empresas saben que su nómina es el punto más crítico de información que tienen, porque ahí albergan la dirección, nombre, teléfono, salario, cuentas clave e incidencias de los trabajadores. Pero la nómina también dejó de estar en la oficina, y eso las obliga a optimizar sus procesos y asegurar que los canales alrededor de su red sigan protegidos”, menciona.
Manuel Rivera, CEO y socio fundador de la firma de servicios de ciberseguridad NEKT Group, refiere que el cibercrimen ataca al 97.9% de las empresas a nivel mundial cada año. Pero en 2020, los ataques cibernéticos a las empresas crecieron 400%. Y esto incluye el intento de hackeo a la operación de la nómina.
“Blindar la nómina es algo más complejo que solo proteger las contraseñas del banco. Muchos de los ataques más exitosos han sucedido engañando a personal crítico para liberar pagos masivos”, agrega Daniel Fernández de Córdova, director de tecnología de NEKT Group.
Para gestionar la nómina en tiempos del COVID-19m se requieren perfiles especializados. Dentro del mundo de los ingresos y deducciones, la persona tiene que estar calificada para entender la relación que existe entre el trabajador, el patrón y las autoridades.
“No se pueden entender el riesgo y desarrollar planes de seguridad para un mundo digital, sin entender los componentes de TI que conforman la infraestructura. Se requiere tener conocimientos de programación, de administración de sistemas y de redes”, detalla Rubén Galindo, director general de la financiera regiomontana CapitalTech.
Pero sobre todo, la persona debe contar con una formación ética sólida, ya que manejará información sensible y confidencial. “Y mientras más manual sea la nómina, más gente se requiere para su operación. Sabemos que si la nómina se atrasa un par de minutos, baja la productividad de una empresa”, dice De León.
Para mantener la seguridad de la nómina a distancia, los especialistas consultados aconsejan seguir estos pasos:
Delimitación de funciones
Tiene que quedar muy claro quién tiene acceso a qué información. Que haya flujos de autorización para modificar cualquier dato. Los equipos a cargo requieren de una administración centralizada para garantizar el funcionamiento y políticas de seguridad entre ubicaciones remotas.
Mecanismos de validación
Es importante que existan mecanismos de validación y que los canales de comunicación estén cifrados. Así, en caso de que sea comprometida, la información no podrá ser leída.
Infraestructura preventiva
En una empresa todo puede fallar, por eso hay que revisar que la infraestructura esté cubierta para cualquier ataque que pueda pasar. Hay que correr al menos una vez al año un análisis de vulnerabilidad perimetral y asegurarse de que los puertos estén bien cerrados, que los protocolos estén vigentes y que las versiones de software estén actualizadas.
Cultura de ciberseguridad
Implica romper viejos hábitos y paradigmas en los colaboradores, haciéndoles ver que el riesgo es real y que las acciones del día a día impactan de manera directa en los activos de la empresa.
Confidencialidad
La información contenida en la plataforma solo debe ser conocida por las personas que necesitan conocerla y que han sido autorizadas para ello. Este principio asegura que la información no vaya a ser divulgada de manera intencionada, y por consiguiente evita tener problemas de fuga de información sensible que pudieran derivar en sanciones.
Disponibilidad
Debe estar disponible siempre el servicio para las personas que operan la plataforma, y que en caso de caída del sitio principal, se pueda recuperar de manera rápida en el sitio alterno.