Seguridad de la información en RRHH - Durante el empleo

Segunda entrega referida a la aplicación de la seguridad de la información en la gestión de los recursos humanos según la ISO 27001:2013.

¡Estupendo! Ya tenemos al candidato ideal y procedemos a su contratación, pero ¿qué debemos tener en cuenta a la hora de garantizar la seguridad de la organización?

Un empleado en una organización es un riesgo más para la seguridad, de tal modo que si se gestiona correctamente no debería causar un impacto relevante en el equilibrio de seguridad. Está claro que las organizaciones no pueden gestionar todos los riesgos asociados a todos los activos, pero sí que deben responsabilizarse de efectuar una apreciación de riesgos que le permita conocer cómo puede afectar un nuevo activo (como las personas) dentro de los procesos existentes, y si así fuera, modificarlos o mejorarlos para reducir la probabilidad de ocurrencia.

“Las organizaciones no controlan todas las acciones de las personas, pero pueden guiarlas en la consecución de sus objetivos”. Concretamente el nuestro es garantizar la seguridad de la información en la organización, y en el artículo de hoy se centra en la aplicación de medidas tras el proceso de contratación.

En primer lugar, en la firma del contrato es una obligatoriedad el garantizar la seguridad de la información a la que accederá el contratado para el desarrollo de su posición. Por ello las firmas de acuerdos de confidencialidad y cláusulas de protección de datos son una referencia para garantizar la seguridad de la información durante el periodo en el que desarrolle sus funciones y también que incluyan cláusulas que extiendan su compromiso del deber de secreto más allá de la finalización del contrato.

Además de garantizar la seguridad mediante estas cláusulas que el candidato debe comprender, firmar y aceptar (para lo cual se recomienda guardar acuse de recibo), la organización debe incorporar medidas adicionales para completar los niveles de seguridad aplicables.

Por una parte, informar y formar al candidato sobre las aplicaciones, sistemas y desempeño de su puesto de trabajo en la organización, bien suministrando un manual de bienvenida que incluya todos los preceptos y buenas prácticas de actuación, tanto de seguridad de la información como otras que pudieran afectarle. Es fundamental que el candidato no se enfrente a un entorno hostil en el que no sepa cómo desarrollar sus actividades, bien por desconocimiento de las aplicaciones o por falta de información y formación acerca de ellas. La concienciación en el uso de datos, sistemas, activos e información empresarial y cómo efectuar el tratamiento de las mismas es una obligación para evitar fugas de información.

Por parte de la organización, un minucioso análisis de perfiles, puestos y privilegios asociados a los roles y puestos desempeñados, de tal forma que estén definidos y controlados para cada uno de estos puestos:

 

• Activos generales: Teléfonos, vehículos, portátiles y otros elementos para el desempeño de sus funciones. Debe recordarse que los activos son propiedad de la organización y no de la persona (incluidas cuentas de correo y otras asignaciones que puedan parecer "personales" o "exclusivas")

• Privilegios de acceso: Llaves, contraseñas, tarjetas magnéticas y cualquier otro elemento o dispositivo que permita el acceso a la organización o a recintos y/o ubicaciones de la misma

• Permisos efectivos: Dependiendo del nivel del puesto, determinar los permisos a información o recursos de la organización. Debería inventariarse las unidades de información a las que accede y el nivel de privilegios relacionado para cada uno de los recursos que pudiera acceder.

• Auditorías y registro de accesos: Todos los logins y acciones realizadas sobre los sistemas de información deberían estar controlados e inventariados, manteniendo un sistema de alertas que notifique cuando un usuario ha intentado acceder a un recurso de información no autorizado.

• Segmentación y segregación de tareas: Independizar las tareas de tal forma que un único trabajador no pueda efectuar acciones que puedan suponer un riesgo para la organización. Especial importancia toman puestos como los Directores Financieros, Responsables de Compras, Responsables de Departamentos o incluso los Administradores de Sistemas, por la cantidad de acciones que pueden efectuar de forma independiente y autónoma. Debería existir como mínimo dos roles para que las acciones de importancia que puedan entrañar riesgos deban ser autorizadas por otra persona o rol dentro de la organización. Este aspecto también puede ser extensible a otros puestos de menor importancia a priori, como por ejemplo en los Departamentos de Desarrollo de Software, para que una persona no conozca todo el entramado del código de una aplicación crítica o confidencial, de tal forma que los módulos se desarrollen de forma independiente y luego se efectúe la integración y pruebas funcionales de los mismos con la finalidad de evitar fugas en el desarrollo o apropiación indebida del código.

 

Por supuesto, según los puestos no será tan fácil efectuar este tipo de controles, ya que el trato recibido por un trabajador de producción o un operario, no va a ser el mismo que puede necesitar el CEO o algún directivo o accionista relevante, en cuanto a accesos y control de la información a la que puede acceder, pudiendo tratarse como usuarios VIP con unas condiciones especiales (eso no quiere decir que no se blinden con cláusulas firmadas estableciendo sus responsabilidades respecto de la información confidencial accesible).

En muchas organizaciones se tiene en cuenta estas restricciones con el personal interno, pero en algunas situaciones con el personal externo no se suele ser tan minucioso. Recordemos que se pueden aplicar las mismas condiciones a personal laboral como a subcontratado o colaboradores que puntualmente acceden a la organización para servicios puntuales (y que también deberían firmar cláusulas referentes a su confidencialidad o información accedida en el desarrollo de los proyectos o servicios prestados).

Una vez definidos los puestos, sus responsabilidades y modos de actuación, viene la fase de formación y concienciación específica para cada puesto tras el estudio de los riesgos que pudieran originarse en el día a día de la organización.

Especial importancia tienen la concienciación y formación efectuada en puestos de acceso a información confidencial, y más aún en aquéllos que pueda no estar tan clara la criticidad que tienen para la organización el mantener la información a buen recaudo.

En puestos directivos y mandos intermedios con accesos relevantes a datos de la organización suelen estar relativamente bien blindados y suelen ser conscientes de la importancia de mantener las medidas de seguridad, pero en otros casos como pueden administrativos con accesos a un ERP que controle la facturación, en caso de solicitud de un superior de toda la facturación del año en curso o de un responsable de departamento, ¿cómo debería proceder? En este caso no está tan claro y pueden entrar dudas a la persona, por lo que es vital la formación y en caso de tener dudas en el modo de actuación consultar con su responsable directo (aun así, los roles y permisos asignados en el ERP deberían restringir los accesos a tal información o a sacar datos históricos de la organización).

Por otra parte, en el día a día existen muchos dispositivos que pueden suponer riesgos importantes para la fuga de información, principalmente los de almacenamiento externo, cloud, conexiones remotas y conectividad USB, o incluso, los propios dispositivos de los empleados o “BYOD” que grabar una reunión, una conversación confidencial o tomar fotos de planos y otros accesos está al alcance de casi todos.

En este caso, los acuerdos de confidencialidad deberían además establecer qué dispositivos está autorizado a utilizar el usuario, generando las correspondientes políticas de uso de dispositivos BYOD, móviles o portables, en las que los usuarios declaren ser conocedores de las mismas y acuerden el cumplimiento de dichas políticas y restricciones.

Como siempre, la organización también debería incluir controles para evitar la materialización de dichas amenazas. Algunos de ellos pueden ser:

• Autorización para el uso y conexión de puertos USB: Puede establecerse un token de uso tras solicitud a los administradores de sistemas, y establecer una restricción en el peso de los adjuntos o en el número de los ficheros transferidos. Pasado el tiempo el puerto USB vuelve a inhabilitarse.
• Políticas de móviles: Los dispositivos particulares pueden utilizarse en diferentes estancias de acceso público. En caso de acceso a la organización o ubicaciones restringidas, deberían solicitarse o dejarse en taquilla o entrada y recuperarse tras abandonar dichas ubicaciones críticas.

• Control remoto: Las conexiones externas, además de ir cifradas o con conexión VPN debería restringirse y monitorizarse para conocer las operaciones o tráfico de red existente, así como los recursos accedidos.
• Acceso a internet y cloud: Uno de los puntos más conflictivos y peligrosos por los riesgos y facilidad de materialización que entrañan la fuga de información a cuentas externas de la organización desde recursos críticos. En este caso, una monitorización de toda la red, así como a servidores de correo externos o sistemas cloud sería una solución (o restricción total o parcial a dichos servicios), aunque requeriría de muchos recursos para una adecuada gestión y control, que además podría tener problemas legales si previamente no se ha informado al personal que se efectúa dicha monitorización (es una obligación de la organización informar al personal de estas prácticas – siendo completamente legal previo aviso).

Con esto tenemos unas pequeñas pinceladas de la seguridad de la información en las relaciones laborales que espero les ayude a mejorar y garantizar la seguridad en su organización.

Ahora faltan las cautelas en la finalización de la relación laboral, pero esto lo abordaremos en próximas entregas.

Espero que les haya servido.

Saludos.