Llegamos a ustedes gracias a:



Reportajes y análisis

Cuatro buenas razones para que Seguridad hable con Recursos Humanos

[22/03/2010] Ni los directores de seguridad ni los de tecnologías de la información contratan gente en la mayoría de las organizaciones. Son tareas que dependen del departamento de Recursos Humanos, pero ¿qué hacer si un empleado deshabilita el antivirus o utiliza recursos sin licencia? Quizá para los responsables de la información corporativa esto sería motivo para sancionar a un empleado o, incluso, despedirlo. Pero, ¿piensan igual en Recursos Humanos?

Con bastante frecuencia, el responsable de seguridad se sorprende y enfada cuando el empleado irresponsable solo se lleva un tirón de orejas, o se deja pasar el incidente sin reprimenda alguna. ¿Por qué esta división? Porque TI no está coordinado con recursos humanos y porque no hay claridad en cuanto a la severidad o el riesgo del comportamiento. La solución es hablar con Recursos Humanos mucho antes del incidente y así evitar la frustración y el sufrimiento.
Identidad y autenticación
El establecimiento inicial de la identidad de un nuevo empleado -en definitiva, obtener su documentación- es una tarea de gestión específica de RR.HH. Una vez se ha establecido la identidad y se ratifica que la persona contratada es verídica, se ha completado el primer paso. Nunca es una tarea automatizada ni tampoco del departamento TI.
Si una persona llega al departamento de tecnología pidiendo una cuenta y no hay ningún tipo de aviso de Recursos Humanos sobre el proceso de autenticación e identificación completo, deberían dispararse todo tipo de alarmas. Salvo excepciones -como la concesión de un ID temporal a proveedores cuyo contrato sirve como documento de identificación y autenticación-, TI nunca debería implicarse en el proceso de determinar si una personas existe o no.
Es uno de los errores más comunes, pero la identificación y autenticación iniciales no deben confundirse con la implantación de roles y derechos. Solo una vez que la decisión de contratar a alguien ha sido procesada por Recursos Humanos, el nuevo empleado podrá vincularse a un conjunto de tareas, roles específicos y otra parafernalia laboral. Confundir estos dos pasos significa pisar a RR.HH. y el conflicto, la confusión y la seguridad debilitada serán inevitables.
Comportamiento aceptable
El departamento de TI debe actuar como guardián, pero no es el árbitro de todas las cuestiones éticas. De nuevo, ese es trabajo del área de RR.HH, incluso si un director de TI o responsable de seguridad autorizó un uso aceptable de una política bajo el paraguas de las políticas de TI. A menudo, el departamento de Tecnologías de la Información agacha las orejas intentando definir comportamientos éticos de una organización en el contexto del uso de sistemas y recursos informáticos. Al confundir esta cuestión se crean lagunas: la gente podría entonces reclamar que solo se proscriban comportamientos específicos o que no había una clara conexión entre el mal uso de la tecnología y una violación ética por la que debiera ser despedido. La confusión crea incertidumbre y la incertidumbre permite que los empleados con mal comportamiento sobrepasen las faltas, incluso cuando las violaciones son atroces.
Es importante trabajar junto a RR.HH. para entender los estándares éticos de la organización, y para asegurarse de que tienen en cuenta cuestiones que podrían suceder. Por ejemplo, una política ética no de TI debería centrarse en el rendimiento del trabajo, e ignorar los recursos y los comportamientos comunes permitidos por la presencia de tecnología de la información.
Al revisar juntos las políticas, RR.HH. puede optar por añadir tópicos específicos sobre el manejo de información confidencial o comportamientos, mientras los empleados están conectado a los recursos de la compañía. Con muy poca atención, puede ser posible ejercer una fuerte presión sobre las políticas éticas de RR.HH. y fijar una Política de Uso Aceptable que se centre en un uso real y en potenciales riesgos, en lugar de intentar replantear la justificación ética que sustenta la política.
Formación vs concienciación
La mayoría de los que trabajan en seguridad TI no tienen suficientes horas al día y sin embargo, con frecuencia, tienen que impartir sesiones de formación en seguridad de la información dirigidas a toda la empresa a la que suelen acudir los voluntarios y no aquellos que realmente deberían.
Tanto si venden artículos en eBay como si cierran negocios desde sus puestos de trabajo, los comportamientos, prohibiciones, políticas y formación deberían ser los mismos para todos. ¿Llaves puestas en la puerta o contraseñas de portátiles escritas en la tapa a rotulador? ¿Armarios de archivos sin cerrar? ¿Intercambio de tarjetas de identificación? En estos casos, la tecnología no es la cuestión.
Como la mayoría de los controles en seguridad de la información, los más efectivos son indistinguibles de los procesos de negocio bien realizados, por lo que no se deberían combinar los cursos sobre seguridad con los cursos periódicos que Recursos Humanos imparte sobre políticas de la organización. En su lugar, y como primer paso, los formadores en seguridad TI deberían repasar la lista de formación de RR.HH., y ver dónde pueden introducir su información en los cursos en marcha.
La concientización, por otra parte, se refiere normalmente a continuos recordatorios sobre acciones correctas y comportamientos adecuados. El programa de concientización sobre seguridad es un buen vehículo para asegurarnos de que se van manteniendo buenos comportamientos mediante mensajes, posters, campañas periódicas u otras formas de publicar mensajes cortos sobre este tema. Sin embargo, no siempre es muy fiable para comunicar importantes cambios o eventos.
Si Recursos Humanos tiene un programa de recordatorios regulares sobre políticas empresariales, boletines u otros mensajes, podría ser eficiente y efectivo sumarse a su lista para comunicar cuestiones de seguridad. De otro modo, el personal de seguridad debería llevar a cabo su propia campaña de concienciación.
Despidos
Los coordinadores de seguridad de la información y los de TI no despiden, por regla general, a personal de otros departamentos. Para ello, Recursos Humanos tiene diferentes procedimientos en los que están involucrados los gerentes. Puede que existan criterios documentados sobre lo que constituye una seria ofensa o un motivo de despido; algunas veces toma forma de política de tolerancia cero y, en otras ocasiones, es simplemente un histórico de las cosas que hizo la gente para hacer que los gerentes o la policía les hiciera salir del edificio forzosamente. Pero el papel del CISO o del CIO es documentar eventos, no juzgarlos.
Comprensiblemente, cuando el ISO (Information Security Officer) solicita que se despida a alguien por cometer una falta, la respuesta de RR.HH. es, con frecuencia, ¿por qué?. Si la respuesta es técnica e ininteligible, habrá pocas o ninguna consecuencia. Si esto sucede en repetidas ocasiones, lo único que se conseguirá será una actitud condescendiente de Recursos Humanos y no un escarnio rotundo.
En primer lugar, pregunte a RR.HH. si tienen una política de tolerancia cero documentada u otra lista de acciones que ellos piensen que debería tener como resultado un despido inmediato. Solicite una segunda lista de cosas que ellos quieran que se les diga inmediatamente -su lista de cuestiones problemáticas que garantizan una alerta. Lea con cuidado ambas listas. Quienquiera que sea responsable de la política de seguridad y del cumplimiento normativo (normalmente el coordinador de seguridad) debería cruzar referencias y consolidar la lista de forma que los eventos de seguridad TI puedan ser comunicados en términos no-técnicos a Recursos Humanos.
Por ejemplo, navegar por páginas web marcadas por los filtros inteligentes y reenviar las imágenes por email a una lista de distribución puede expresarse en términos de recursos humanos como violar la política ética viendo pornografía en horario de trabajo y utilizando recursos de la empresas y violar la política anti-acoso enviando materiales obscenos a múltiples empleados. El objetivo no es más que normalizar las políticas y el lenguaje, y explicar de una manera más clara las consecuencias de un mal comportamiento.
Mantenga la puerta abierta
En definitiva, trate de conservar un continuo diálogo entre TI y RR.HH. En lugar de intentar enumerar todas las cosas que no deberían hacerse, TI puede abrir totalmente las puertas a la tecnología si RR.HH. ha delimitado previamente los comportamientos inaceptables. Cuanta más comunicación haya, más simple y fácil será el trabajo de monitorizar y aplicar las normas.
Con suerte, esto dejará más tiempo para mantener conversaciones más interesantes entre RR.HH. y TI, en las que se traten, por ejemplo, las dificultades con las auditorías, el acceso interno de TI a datos sensibles de recursos humanos y otros muchos temas.
Jon Espenschied, Computerworld.com