Seguridad de Recursos Humanos

en TI
La Seguridad de la Informacin en los Recursos
Humanos

Qu es seguridad de la informacin?

La seguridad de la informacin consiste en proteger uno de los
principales activos de cualquier empresa: la informacin.
La seguridad de la informacin es requisito previo para la
existencia a largo plazo de cualquier negocio o entidad. La
informacin es usada en cada uno de los mbitos empresariales,
los cuales dependen de su almacenamiento, procesado y
presentacin.

La Seguridad de la Informacin en los Recursos
Humanos

Los tres fundamentos bsicos de la seguridad en la informacin
son:

Confidencialidad. La informacin debe ser accedida slo por las
personas autorizadas a recibirla.

Integridad. La informacin debe ser correcta y completa.

Disponibilidad. La informacin debe estar disponible siempre
que sea necesario.

Qu tiene que ver la seguridad con los Recursos Humanos?

La gestin de la seguridad de la informacin, al igual que la mayora de los
mbitos de la gestin empresarial, depende principalmente de las personas
que componen la Organizacin. La informacin slo tiene sentido cuando es
utilizada por las personas y son estas, quienes en ltimo trmino, deben
gestionar adecuadamente este importante recurso de la empresa.

Reclutamiento



Reclutamiento y salida de empleados

Existen dos puntos fundamentales en el ciclo de vida de todo empleado en
una Organizacin:

El inicio de su actividad profesional y la finalizacin de la misma.

1.1.1 Roles y responsabilidades

Se debieran definir y documentar los roles y responsabilidades de la seguridad de los
empleados, contratistas y terceros en concordancia con la poltica de seguridad de la
informacin de la organizacin.
1
Implementar y actuar en concordancia con las polticas de
seguridad de la informacin de la organizacin.
2
Proteger los activos contra el acceso, divulgacin,
modificacin, destruccin o interferencia no autorizada.
3
Ejecutar procesos o actividades de seguridad particulares.
4
Asegurar que se asigne a la persona la responsabilidad por las
acciones tomadas.
5
Reportar eventos de seguridad o eventos potenciales u otros
riesgos de seguridad para la organizacin.
1.1.1 Roles y responsabilidades
Los roles y responsabilidades debieran incluir requerimientos para:



1.1.2 Investigacin de antecedentes


Los chequeos de verificacin de antecedentes de todos los candidatos para empleo,
contratistas y terceros debieran llevarse a cabo en concordancia con las leyes,
regulaciones y tica relevantes; y debieran ser proporcionales a los requerimientos
comerciales, la clasificacin de la informacin a la cual se va a tener acceso y los
riesgos percibidos.
1
Disponibilidad de referencias de carcter satisfactorias; por ejemplo,
una comercial y una personal.
2
Un chequeo del currculum vitae del postulante (buscando integridad
y exactitud).
3
Confirmacin de las calificaciones acadmicas y profesionales
mencionadas.
4
Chequeo de identidad independiente (pasaporte o documento
similar).
5
Chequeos ms detallados, como chequeos de crdito o chequeos de
rcords criminales.
1.1.2 Investigacin de antecedentes
Los chequeos de verificacin debieran tomar en cuenta la legislacin
relevante con relacin a la privacidad de la data personal y/o empleo; y
cuando sea permitido, debiera incluir lo siguiente:
1.1 Antes del empleo

Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades, y sean idneos para los roles para los cuales son
considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.

Las responsabilidades de seguridad debieran ser tratadas antes del empleo en
descripciones de trabajo adecuadas y en los trminos y condiciones del
empleo.

Los antecedentes de todos los candidatos al empleo, contratistas y terceros
debieran ser adecuadamente investigados, especialmente para los trabajos
confidenciales.

Los empleados, contratistas y terceros usuarios de los medios de
procesamiento de la informacin debieran firmar un acuerdo sobre sus roles y
responsabilidades con relacin a la seguridad.


1.1.3 Trminos y condiciones del empleo

Como parte de su obligacin contractual; los usuarios empleados, contratistas y
terceros debieran aceptar y firmar un contrato con los trminos y condiciones de su
empleo, el cual debiera establecer sus responsabilidades y las de la organizacin para
la seguridad de la informacin.
1
Que todos los usuarios empleados, contratistas y terceros que tienen acceso a
informacin sensible debieran firmar un acuerdo de confidencialidad o no
divulgacin antes de otorgarles acceso a los medios de procesamiento de la
Informacin.
2
Las responsabilidades y derechos de los empleados, contratistas y cualquier
otro usuario; por ejemplo, con relacin a las leyes de derecho de autora y
legislacin de proteccin de data.
3
Las responsabilidades para la clasificacin de la informacin y la gestin de los
activos organizacionales asociadas con los sistemas y servicios de informacin
manejados por el empleado, contratista o tercera persona.
1.1.3 Trminos y condiciones del empleo

Los trminos y condiciones de empleo debieran reflejar la poltica de
seguridad de la organizacin, adems de aclarar y establecer:
1
Responsabilidades del usuario empleado, contratista o tercera persona con
relacin al manejo de la informacin recibida de otras compaas o partes
externas.
2
Las responsabilidades de la organizacin por el manejo de la informacin
personal, incluyendo la informacin personal creada como resultado de, o en el
curso de, el empleo con la organizacin.
3
Las responsabilidades que se extienden fuera del local de la organizacin y fuera
del horario normal de trabajo; por ejemplo, en el caso del trabajo en casa.
4
Las acciones a tomarse si el usuario empleado, contratista o tercera persona no
cumple los requerimientos de seguridad de la organizacin.
1.1.3 Trminos y condiciones del empleo


1.2 Durante el empleo

Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas estn al
tanto de las amenazas e inquietudes de la seguridad de la informacin, sus
responsabilidades y obligaciones, y estn equipadas para apoyar la poltica de seguridad
organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano.

Se debieran definir las responsabilidades de la gerencia para asegurar que se aplique la
seguridad a lo largo de todo el tiempo del empleo de la persona dentro de la
organizacin.

Se debiera proporcionar a todos los usuarios empleados, contratistas y terceras personas
un nivel adecuado de conocimiento, educacin y capacitacin en procedimientos de
seguridad y uso correcto de los medios de procesamiento de informacin para minimizar
los posibles riesgos de seguridad. Se debiera establecer un proceso disciplinario normal
para manejar las fallas en la seguridad.


1.2.1 Responsabilidades de la gerencia


La gerencia debiera requerir a los usuarios empleados, contratistas y terceras
personas que apliquen la seguridad en concordancia con polticas y procedimientos
bien establecidos por la organizacin.


Estn apropiadamente informados sobre sus roles y responsabilidades de seguridad
antes de otorgarles acceso a informacin confidencial o a los sistemas de informacin
1
Reciban lineamientos para establecer las expectativas de seguridad de su rol dentro de la
organizacin
3
Estn motivados para cumplir con las polticas de seguridad de la organizacin
2
Lograr un nivel de conciencia sobre seguridad relevante para sus roles y
responsabilidades dentro de la organizacin.
4
cumplan con los trminos y condiciones de empleo, los cuales incluyen la poltica de
seguridad de la informacin de la organizacin y los mtodos de trabajo apropiados;
5
Lineamiento de implementacin
Las responsabilidades de la gerencia debieran incluir asegurar que los usuarios empleados,
contratistas y terceras personas:



1.2.2 Conocimiento, educacin y capacitacin en seguridad de la informacin

Todos los empleados de la organizacin y, cuando sea relevante, los contratistas y
terceras personas debieran recibir una adecuada capacitacin en seguridad y
actualizaciones regulares sobre las polticas y procedimientos organizacionales
conforme sea relevante para su funcin laboral.


Lineamiento de implementacin

La capacitacin y el conocimiento debieran comenzar con un proceso de induccin
formal diseado para introducir las polticas y expectativas de seguridad de la
organizacin antes de otorgar acceso a la informacin o servicios.
La capacitacin constante debiera incluir los requerimientos de seguridad,
responsabilidades legales y controles comerciales, as como la capacitacin en el
uso correcto de los medios de procesamiento de informacin; por ejemplo,
procedimiento de registro, uso de paquetes de software e informacin sobre los
procesos disciplinarios.



1.2.3 Proceso disciplinario

Debiera existir un proceso disciplinario para los empleados que han cometido un
incumplimiento de la seguridad.


Lineamiento de implementacin

El proceso disciplinario no debiera iniciarse sin una verificacin previa de la ocurrencia
del incumplimiento de la seguridad.

El proceso disciplinario formal debiera asegurar el tratamiento correcto y justo para los
empleados sospechosos de cometer incumplimientos de la seguridad. El proceso
disciplinario debiera proporcionar una respuesta equilibrada que tome en
consideracin factores como la naturaleza y gravedad del incumplimiento y su impacto
en el negocio, si esta es la primera ofensa, si el culpable fue apropiadamente
capacitado, la legislacin relevante, contratos comerciales y otros factores que se
puedan requerir.



1.3 Terminacin o cambio de empleo

Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas
salgan de la organizacin o cambien de empleo de una manera ordenada.

Se debieran establecer las responsabilidades para asegurar que la salida de la
organizacin del usuario empleado, contratista o tercera persona sea manejada y se
complete la devolucin de todo el equipo y se eliminen todos los derechos de
acceso.

Los cambios en las responsabilidades y empleos dentro de la organizacin se pueden
manejar como la terminacin de la responsabilidad o empleo respectivo en
concordancia con esta seccin, y cualquier empleo nuevo debiera ser manejado.


1.3.1 Responsabilidades de terminacin

Se debieran definir y asignar claramente las responsabilidades de realizar la
terminacin del empleo o el cambio de empleo.


Lineamiento de implementacin

La comunicacin de las responsabilidades de terminacin debieran incluir
requerimientos de seguridad constantes y responsabilidades legales y, cuando sea
apropiado, las responsabilidades contenidas dentro de cualquier acuerdo de
confidencialidad y los trminos y condiciones de empleo continuando durante un
perodo despus de terminado el empleo del usuario empleado, contratista o
tercera persona.

Las responsabilidades y deberes an vlidos despus de la terminacin del empleo
debieran estar contenidos en los contratos del empleado, contratista o tercera
persona.


1.3.2 Devolucin de los activos

Todos los usuarios empleados, contratistas y terceras personas debieran devolver
todos los activos de la organizacin que tengan en su posesin a la terminacin de su
empleo, contrato o acuerdo.


Lineamiento de implementacin

El proceso de terminacin debiera ser formalizado para incluir la devolucin de todo
el software, documentos corporativos y equipo entregado previamente. Tambin se
debieran devolver otros activos organizacionales como dispositivos de cmputo
mviles, tarjetas de crdito, tarjetas de acceso, software, manuales e informacin
almacenada en medios electrnicos.
En los casos donde el usuario empleado, contratista o tercera persona compra el
equipo de la organizacin o utiliza su propio equipo, se debieran seguir
procedimientos para asegurar que toda la informacin relevante sea transferida a la
organizacin y sea adecuadamente borrada del equipo.




1.3.3 Retiro de los derechos de acceso

Los derechos de acceso de todos los usuarios empleados, contratistas y terceras
personas a la informacin y los medios de procesamiento de informacin debieran
ser retirados a la terminacin de su empleo, contrato o acuerdo, o debieran ser
reajustados de acuerdo al cambio.


Lineamiento de implementacin

A la terminacin, se debieran reconsiderar los derechos de acceso de una persona a
los activos asociados con los sistemas y servicios de informacin. Esto determinar
si es necesario retirar los derechos de acceso. Los cambios de un empleo se
debieran reflejar en el retiro de todos los derechos de acceso que no fueron
aprobados para el empleo nuevo. Los derechos de acceso que se debieran retirar o
adaptar incluyen el acceso fsico y lgico, llaves, tarjetas de identificacin, medios
de procesamiento de informacin suscripciones; y el retiro de cualquier
documentacin que identifique a la persona como miembro actual de la
organizacin.



1.3.3 Retiro de los derechos de acceso

Los derechos de acceso para los activos de informacin y los medios de procesamiento
de informacin se debieran reducir o retirar antes de la terminacin o cambio del
empleo, dependiendo de la evaluacin de los factores de riesgo como:

a) Si la terminacin o cambio es iniciado por el usuario empleado, contratista o tercera
persona, o por la gerencia y la razn de la terminacin;

b) Las responsabilidades actuales del usuario empleado, contratista o cualquier otro
usuario;

c) El valor de los activos actualmente disponibles.
Salida de empleados

La salida de un empleado es un punto crtico de riesgo para la Organizacin. En casos
de problemas laborales y despidos, un empleado modelo hasta la fecha, puede
convertirse en una seria amenaza. La historia reciente est plagada de casos de
sabotaje o substraccin de informacin por parte de empleados disgustados.

Lamentablemente, es bastante comn que no se gestionen coordinadamente las
bajas de los empleados. En muchas ocasiones, Recursos Humanos se encarga de
realizar los trmites legales de la baja, mientras que el responsable del empleado es
quien trata directamente con l y planifica el traspaso de su trabajo. Por otro lado, IT
se ocupa de dar de baja sus accesos (en el momento en que perciben su ausencia).
Este escenario acaba degenerando en problemas tales como que los accesos de los
ex empleados siguen vigentes durante meses, o que tras la marcha del empleado no
es posible recuperar cierta informacin vital que posea. Para evitar todo esto, debe
existir un procedimiento de bajas que tenga en cuenta los siguientes aspectos de
seguridad:
Salida de empleados

Clasificacin de las bajas: El responsable del empleado junto con Recursos Humanos
deben clasificar la baja segn las circunstancias que la rodean. Un ejemplo de
posibles categoras sera:

1.) Baja normal, si se produce en circunstancias normales y sin conflictos.

2.) Baja cautelar, si se produce en circunstancias normales, pero con la que hay
que tener una vigilancia especial en los accesos y documentacin que obra en
poder del empleado: personal con acceso a informacin sensible,
administradores de sistemas, etc.

3.) Baja crtica si se produce en circunstancias especiales: despidos, problemas
con el empleado, etc.
Salida de empleados

Comunicacin de las bajas: Tan pronto como se conozca la baja de un empleado,
Recursos Humanos debe comunicar las bajas de personal a Seguridad. En la
comunicacin se debe indicar el nombre, la fecha efectiva de la baja, su clasificacin y
cualquier medida o control especial que sea necesario realizar.

Gestin de las bajas: Seguridad debe coordinar que la baja se produzca en el plazo
adecuado dependiendo de la clasificacin (por ejemplo, una baja crtica debe
realizarse de forma inmediata). Debe efectuarse la retirada de:

A.) accesos fsicos (llaves, cajas fuertes, llaves electrnicas)
B.) accesos lgicos (email, acceso a la red y servidores, etc)
C.) material de la empresa (porttil, mvil, etc)
Salida de empleados

La gestin de la baja tambin puede incluir otras medidas dependiendo de la
clasificacin de la misma:

a.) Realizacin de copias de seguridad de la informacin sensible
b.) Supervisin de los accesos hasta el da de la baja
c. ) Cancelacin preventiva de los accesos ms crticos
Salida de empleados