sábado, 30 de mayo de 2015

Seguridad de la Información en RRHH - Cambio o fin de la relación contractual

Finalizamos el ciclo de seguridad de la información en los recursos humanos según ISO 27001:2013 con las pautas, cautelas y recomendaciones de seguridad a tener en cuenta en uno de las fases más delicadas en la gestión de los recursos humanos, los cambios o finalizaciones de contratos.

Este es uno de los puntos más relevantes en las organizaciones, ¿qué ocurre cuando se efectúa un cambio en la organización? Ascensos, traslados, degradaciones o lo que es peor, el abandono de las personas de la compañía debe ser tratado como un proceso controlado y estandarizado que afecte lo mínimo posible a la seguridad de la información de la organización.

En este último caso es en el que más hincapié debe hacerse, ya que además de las operaciones estándar en el cese, existe el componente emocional que surge tanto en la propia persona como en los compañeros, que de forma intencionada o accidental pueden efectuar acciones que comprometan de forma seria la integridad, confidencialidad y disponibilidad de la información. Las reacciones de las personas a este momento son imprevisibles e incluso en casos puntuales totalmente irracionales, por lo que una correcta gestión y control del personal se presenta como factor crítico de éxito a la hora de afrontar una situación de este tipo.

Desde el momento que se toma la decisión por Dirección, tiene que ejecutarse un protocolo perfectamente definido en el que se revisen absolutamente todos los elementos en el que la persona haya intervenido.

Por una parte, acudir al inventario de activos o la CMDB para establecer:
  • Listado de accesos a información a la que el usuario tiene acceso
  • Listado y revisión de las credenciales activas y logins asignados
  • Soportes de datos del usuario (Móviles, portátiles, equipos, pendrives y/o cualquier otro dispositivo que pueda trasladar software).
  • Tarjetas magnéticas, tokens y otros elementos de acceso (biométricos y otros passwords de cualquier índole).
  • Llaves físicas de acceso al edificio y ubicaciones de la organización (CPD, cajas fuertes u otras reservadas)
  • Servicios manejados por el usuario (correo, cloud, acceso a vpn u otras conexiones externas).
Revisión de control de cuentas:
  • Cuentas de correo electrónico.
  • Cuentas ERP, CRM, SAP
  • Cuentas Cloud
En el aspecto de gestión, posibles accesos a información confidencial o crítica dentro de la organización, sobre todo en puestos de relevancia (controllers, directores de área, gerentes o managers por poner un ejemplo)

Con ello ya se tiene un control de los activos tanto físicos como lógicos que tiene el usuario y que la organización ahora debe decidir cuándo limitar, bloquear o cancelar los accesos. Es fundamental evitar una vez que el proceso se ha puesto en marcha que el usuario pueda efectuar cualquier interacción (como la típica escena de película americana en el que el guardia de seguridad acompaña en todo momento al usuario hasta la puerta).

Este pudiera considerarse el momento más crítico, ya que hoy en día esto podría ocurrir, pero más frecuente pudiera ser que mediante algún tipo de aplicación remota, el usuario pudiera obtener la información, publicarla en internet, enviarla a la competencia o a repositorios en la nube, etc. en el momento no que le notifiquen el cambio o despido, sino que por los movimientos detectados en la organización, éste pueda predecir el fatal desenlace.

Es por ello que se presenta fundamental la monitorización e identificación previa de los dispositivos y servicios que el usuario maneje, sobre todo desde que se toma la decisión hasta que se ejecuta, donde se presenta otra fuente de conflicto. El salvaguardado de la información del usuario. En el caso de disponer de sistemas de copias remotas y trabajo en el servidores o en cloud manejado por la empresa este problema se reduce drásticamente, al limitar el posible daño con la deshabilitación del usuario de acceso, pero ¿y si no puede efectuarse de formas remotas debido a la infraestructura de la organización?

En ese caso las personas son las que deben actuar, y por la experiencia vivida no es agradable. ¿Acaso es agradable tener que mirar a un compañero a sabiendas que a la finalización de la jornada has ordenado acceder a su equipo para salvaguardar todos los datos o incluso efectuar esa operación? Situaciones como esta deben ser evitadas en lo posible, ya que las reacciones salvo personal fuertemente comprometido con la seguridad de la información y con la organización pueden ser desastrosas.

De idéntica forma, el acceso a la base de datos de clientes, facturación o su propia agenda debería ser controlada o por lo menos almacenada una copia para seguir manteniendo los contactos de cara a la organización.

Una vez efectuado todo este proceso previo, es cuando se puede comenzar a la ejecución del cambio:
  • Supresión de credenciales lógicas.
  • Retirada de activos físicos (móviles, equipos u otros).
  • Retirada de activos de acceso, tarjetas, llaves y otros que pudieran haberse asignado.
  • Deshabilitado de cuentas.
  • Deshabilitado de acceso físico.
  • Notificación al usuario de la baja o cambio.
  • Notificación al resto del equipo / compañeros del cambio y en caso de que corresponda, recordar los compromisos de confidencialidad con suministrar información a personal externo a la organización, recordando que este último ya no pertenece a la misma.
  • Emisión de nuevos accesos (en caso de que no sea un despido).
  • Ejecución de la salida / cambio.
Con esto se pretende una mejora sustancial en la seguridad de la información en los recursos humanos, más aún con el entorno de cambio continuo existente en las mismas y que gracias a la ISO 27001:2013 nos permite disponer de un enfoque claro para su correcta implementación.

Espero que les haya servido.

Saludos.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)