¿Se dedica a la gestión de Recursos Humanos? ¿Ha pensado alguna vez en la seguridad de la información de su empresa? Si la respuesta es afirmativa a ambas preguntas, seguramente el presente artículo le va a resultar de interés. En cambio, si sólo es afirmativa la primera respuesta, probablemente el presente artículo no sólo le interesa, sino que le sorprenderá saber que usted juega un papel fundamental en la seguridad de la información corporativa.
¿Qué es seguridad de la información?
La seguridad de la información consiste en proteger uno de los principales activos de cualquier empresa: la información.
La seguridad de la información es requisito previo para la existencia a largo plazo de cualquier negocio o entidad. La información es usada en cada uno de los ámbitos empresariales, los cuales dependen de su almacenamiento, procesado y presentación.
Los tres fundamentos básicos de la seguridad en la información son:
- Confidencialidad. La información debe ser accedida sólo por las personas autorizadas a recibirla.
- Integridad. La información debe ser correcta y completa.
- Disponibilidad. La información debe estar disponible siempre que sea necesario.
¿Qué tiene que ver la seguridad con los Recursos Humanos?
La gestión de la seguridad de la información, al igual que la mayoría de los ámbitos de la gestión empresarial, depende principalmente de las personas que componen la Organización. La información sólo tiene sentido cuando es utilizada por las personas y son estas, quienes en último término, deben gestionar adecuadamente este importante recurso de la empresa. Por tanto, no se puede proteger adecuadamente la información sin una correcta gestión de los Recursos Humanos.
¿No debe ser el departamento de Seguridad quien se encargue de estos temas?
Proteger los activos de información con los que cuenta una empresa es una tarea que no sólo debe implicar al Director de Seguridad, sino que debe ser compartida por toda la Organización. Cada área de Negocio juega su papel: el área de Marketing se centra en la protección de la imagen corporativa, el área Comercial está más relacionado con la protección de los datos de los clientes, IT se ocupa de la correcta protección de sus Sistemas de Información, etc. Pero sin duda, una de las áreas que más importancia tiene en la seguridad de la información es el departamento encargado de gestionar los Recursos Humanos. Aspectos como la formación de los empleados, la captación y selección de nuevos miembros de la plantilla, la gestión de empleados que abandonan la Organización o la implementación de la normativa interna, son fundamentales en el tema que nos ocupa.
Todas las claves que se van a desarrollar en el presente artículo, se podrían resumir en una sola frase: conseguir que los criterios de seguridad estén presentes en la gestión de los Recursos Humanos. Un magnífico punto de partida podría ser que los responsables de Seguridad y Recursos Humanos se sienten juntos y compartan impresiones. Seguro que inmediatamente encontrarían preocupaciones comunes y puntos de colaboración. Entre tanto, podemos anticipar algunos aspectos fundamentales a tener en cuenta.
Reclutamiento y salida de empleados
Existen dos puntos fundamentales en el ciclo de vida de todo empleado en una Organización: El inicio de su actividad profesional y la finalización de la misma.
Reclutamiento
Cada nuevo empleado de la Organización es una apuesta de futuro. La empresa asigna una serie de tareas y responsabilidades al nuevo empleado, y le proporciona los medios materiales y la información necesaria para que pueda llevarlas a cabo. Debe existir un procedimiento de reclutamiento que tenga en cuenta los siguientes aspectos relativos a la seguridad:
- Definición del puesto: Para cada nueva vacante se debe definir la criticidad del puesto a cubrir según su responsabilidad y la información que maneja. Cada empresa debe definir su criterio propio. Algunos puestos críticos pueden ser directivos, personal de seguridad, personal de contabilidad, etc.
- Selección: En la selección de candidatos a puestos críticos se deben comprobar los antecedentes penales y las referencias profesionales.
- Contrato: El contrato laboral debe incluir los correspondientes acuerdos de confidencialidad, propiedad intelectual y protección de datos.
- Comienzo: Durante los primeros días de trabajo, es recomendable que el empleado:
- Asista a unas sesiones de formación donde se le introduzca en la normativa interna y de seguridad de la empresa. De este modo todo empleado conoce sus obligaciones de seguridad tales como la protección de sus claves de acceso, uso adecuado del email e internet, clasificación de la información, etc.
- Reciba el manual de normativa interna y firme el compromiso de cumplimiento del mismo. Este trámite establece formalmente las normas internas y garantiza que el empleado conoce la normativa existente.
- Accesos: Los accesos a la información y sistemas informáticos deben ser solicitados siempre por el responsable directo del empleado al departamento de IT o HelpDesk. Dichos accesos deben ser siempre justificables por la labor que se va a realizar, y en caso de ser privilegiados, el Departamento de Seguridad debe aprobar su concesión.
Salida de empleados
La salida de un empleado es un punto crítico de riesgo para la Organización. En casos de problemas laborales y despidos, un empleado modelo hasta la fecha, puede convertirse en una seria amenaza. La historia reciente está plagada de casos de sabotaje o substracción de información por parte de empleados “disgustados”.
Lamentablemente, es bastante común que no se gestionen coordinadamente las bajas de los empleados. En muchas ocasiones, Recursos Humanos se encarga de realizar los trámites legales de la baja, mientras que el responsable del empleado es quien trata directamente con él y planifica el traspaso de su trabajo. Por otro lado, IT se ocupa de dar de baja sus accesos (en el momento en que perciben su ausencia). Este escenario acaba degenerando en problemas tales como que los accesos de los ex empleados siguen vigentes durante meses, o que tras la marcha del empleado no es posible recuperar cierta información vital que poseía. Para evitar todo esto, debe existir un procedimiento de bajas que tenga en cuenta los siguientes aspectos de seguridad:
- Clasificación de las bajas: El responsable del empleado junto con Recursos Humanos deben clasificar la baja según las circunstancias que la rodean. Un ejemplo de posibles categorías sería:
- Baja normal, si se produce en circunstancias normales y sin conflictos.
- Baja cautelar, si se produce en circunstancias normales, pero con la que hay que tener una vigilancia especial en los accesos y documentación que obra en poder del empleado: personal con acceso a información sensible, administradores de sistemas, etc.
- Baja crítica si se produce en circunstancias especiales: despidos, problemas con el empleado, etc.
- Comunicación de las bajas: Tan pronto como se conozca la baja de un empleado, Recursos Humanos debe comunicar las bajas de personal a Seguridad. En la comunicación se debe indicar el nombre, la fecha efectiva de la baja, su clasificación y cualquier medida o control especial que sea necesario realizar.
- Gestión de las bajas: Seguridad debe coordinar que la baja se produzca en el plazo adecuado dependiendo de la clasificación (por ejemplo, una baja crítica debe realizarse de forma inmediata). Debe efectuarse la retirada de:
- accesos físicos (llaves, cajas fuertes, llaves electrónicas)
- accesos lógicos (email, acceso a la red y servidores, etc)
- material de la empresa (portátil, móvil, etc)
La gestión de la baja también puede incluir otras medidas dependiendo de la clasificación de la misma:
- realización de copias de seguridad de la información sensible
- supervisión de los accesos hasta el día de la baja
- cancelación preventiva de los accesos más críticos
Escrito por hc
El presente Blog pretende compartir diferentes temas de interés, le sugerimos que nos deje su correo al pie de la página para que reciba las noticias.
0 comentarios:
Publicar un comentario