Seguridad en los RRHH - Procedimientos estandarizados en la contratación

La incorporación del personal a una organización es una actividad que debe ser sistematizada mediante procedimientos específicos o procesos de contratación bien definidos. En las organizaciones existen frecuentes rotaciones de personal, sobre todo en las de gran tamaño, y que deben ser gestionadas de forma correcta, tanto por incorporación o abandono de la compañía o bien la asunción de nuevas responsabilidades (y también en algunos casos, la degradación en sus funciones, aspecto delicado donde los haya).

Eso no implica que esta situación indicada no se de en las pymes, si bien su probabilidad de ocurrencia es menor dado el tamaño de la misma, la gestión o los pasos a seguir para un correcto control deberían ser idénticos o similares según los recursos que se disponga al alcance.

Un aspecto que puede pasar desapercibido o no se trate con la profundidad deseable es la gestión de la seguridad de la información en estos procesos. En el día de hoy nos vamos a ocupar de la seguridad en la incorporación del personal a una organización.

Independientemente del puesto a optar, el proceso de contratación ya debe incorporar medidas de seguridad desde el inicio, para evitar la fuga de información incluso desde la ronda de búsqueda de candidatos y entrevistas.

Por una parte, si las entrevistas se hacen vía telefónica para efectuar la primera criba, el personal de RRHH que va a llevar a cabo deben estar capacitados y concienciados en cuanto a los aspectos básicos de seguridad de la información se refieren, almacenando los datos en lugares seguros con aplicativos protegidos bajo contraseña y control de accesos, así como la existencia de campos abiertos en los que únicamente se incluya información del candidato incorporando información objetiva, sin juicios de valor u ofensivos ya que nunca se sabe a ciencia cierta dónde puede acabar esa información.

Una vez pasada la primera criba, en las entrevistas presenciales, si son en la propia organización, deberá existir un control de acceso validado por documento oficial y previa citación de fecha y hora.

Dependiendo de la organización, criticidad de la ubicación o envergadura de la posición solicitada, pudiera ser recomendable a la entrada del candidato que en recepción o en la ubicación que se haya ubicado el control de acceso se depositen todos los objetos que pudieran tomar imágenes o recopilar datos de la organización, aunque es valorable por la organización. Personalmente prefiero que no sea grabada la conversación / entrevista que se desarrolla. En casos de infraestructuras críticas u organizaciones de mayor seguridad, otra opción es la de solicitar al candidato subirse a una báscula de precisión para evitar que pueda dejar o sustraer elementos dentro de la organización al descuido.

Si el candidato se incorpora a la organización finalmente al superar la entrevista y llegar a un acuerdo, deberán comprobarse de forma fiable y eficaz que toda la información / datos suministrados por el candidato son ciertos, a saber:

• Identidad: Solicitar como mínimo dos documentos oficiales que puedan acreditar su identidad (DNI, pasaporte, carnet de conducir, etc.)
• Currículum: En el propio trabajo del entrevistador, muchos aspectos pueden ser descubiertos en caso de falsear dicha documentación. No obstante, de forma complementaria las actividades de solicitar referencias a anteriores organizaciones / personas que hayan trabajado con él, tanto responsables directos como compañeros de trabajo o solicitar físicamente las titulaciones y en caso de dudar, ponerse en contacto con el centro impartidor para verificar su finalización completa pueden ayudar a aclarar situaciones dudosas.
• Redes sociales: Investigar antecedentes y comprobar que lo indicado en los perfiles corresponde y encaja con lo que el candidato indica tanto en su CV como en las entrevistas personales desarrolladas.
• En algunos casos, podrían solicitarse información a entidades bancarias o antecedentes penales según la tarea a desarrollar (vigilancia de seguridad, ...).

En caso de que además, el candidato debiera asumir responsabilidades organizativas, técnicas o de gestión en cuanto a la seguridad de la información se refieren, deberían de añadirse otras comprobaciones adicionales:

• Existencia de experiencia y/o cualificaciones adecuadas para el correcto desempeño de sus funciones.
• Asegurarse de que el candidato es el idóneo para responsabilidades y tareas críticas en la organización en cuanto a seguridad de la información se refiere. Con eso indicamos que debe poseer una sólida experiencia en estos campos y en compañías relevantes, en las que se puede y debe solicitar referencias sobre todo en sistemas SCADA (compañías petrolíferas, nucleares, aeroportuarias, etc.).

Una vez efectuada la contratación, deben controlarse los derechos de acceso tanto por departamento como individuales a las que la persona o grupo tiene acceso, efectuándose un control pormenorizado e inventariando los accesos asignados a cada individuo y la criticidad de la información a la que puede acceder derivada de dicha asignación de accesos (clasificación de la información).

Estos derechos de accesos deberían asignarse en la definición de puestos, incluso antes de la contratación, siendo aprobados por dirección. Como medida adicional, estos derechos de acceso deberían ser periódicamente revisados y monitorizados para evitar cambios no deseados o manipulaciones efectuadas de forma no autorizada por dirección o por el Responsable de Seguridad.

De forma general todos los empleados que se incorporen a la organización deberían someterse a las políticas de seguridad de la organización, en las que se indique de forma pormenorizada sus derechos y obligaciones en cuanto a seguridad de la información, protección de datos y terceras partes. Esto se materializa mediante una formación / información pormenorizada y por escrito a los empleados, con acuse de recibo en el que se den por enterados de sus responsabilidades respecto de la seguridad de la información al acceder a su puesto de trabajo, independientemente de la categoría que ocupen.

No obstante, cargos específicos y que accedan a información confidencial (como la financiera, accionarial o de adquisiciones y ventas de la compañía) podrían tener cláusulas adicionales. Aún así, en el contrato o en la información sobre protección de datos, todos los empleados deben mantener confidencialidad y deber de secreto incluso tras extinguirse la relación laboral. Si además estuvieran sometidos a legislación adicional, también deberían ser informados y declarar bajo acuse de recibo la comprensión de dichas cláusulas.

Dentro de las cláusulas que firman estos empleados respecto de la protección de datos y que al efecto funcionan como un contrato, se pueden incluir las siguientes, incluyendo en todas ellas aspectos relacionados con la seguridad de la información:

• Derechos de acceso consecuencia del acceso a esa posición.
• Información confidencial a manejar.
• Consecuencias del incumplimiento del contrato / cláusulas de protección de datos o seguridad de la información.
• Prohibición de revelar datos de la compañía o personales a externos de la organización.
• Deber de secreto.
• Categoría ocupada y nivel de acceso a datos (clasificación de la información).
• Responsabilidades de uso de los datos y relaciones con externos (clientes).
• Activos asignados y responsabilidades sobre los mismos. Estas incluyen activos de todo tipo, incluso con los recursos materiales y personales de la organización.
• Obligaciones del puesto de trabajo y responsabilidades.
• Periodicidad durante la cual se extienden estas obligaciones, incluso tras la finalización de la relación laboral.

Estos son algunos de los ejemplos que suelen incluirse, pese a que puedan existir otros adicionales. En muchos casos, se suelen incluir dentro del código de conducta de las organizaciones, y que son entregados a la firma del contrato, indicando su conformidad con el contenido del mismo mediante firma o acuse de recibo. Si no fuera así, debería anexarse al contrato algún documento que contenga dichas cláusulas.

Según el tipo de organización, pueden ser más exhaustivas dichas medidas, si bien pueden ser un punto de partida para la inclusión de la seguridad de la información en los procesos de selección y antes de incorporar una persona a la organización.

Espero que les haya servido.