La semana pasada, durante una amena sesión de formación ISO 9001, me tacharon de “paranoico”, “fundamentalista”, y similares por defender los procedimientos duros de verificación (corrección y completitud) de Curriculum Vitae para las personas que van a entrar a formar parte de una organización, lo que se viene a llamar CV Screening; más en concreto, por defender la necesidad de asegurarnos de la completitud de un curriculum.
Mientras que las verificaciones destinadas a comprobar que una persona es lo que dice ser (si yo afirmo ser Ingeniero en Informática, debo aportar “algo” —un título original en este caso— que lo confirme) son comúnmente aceptadas, las que tienen por objeto comprobar que alguien es lo que no dice ser parece que chocan de frente con el derecho a la privacidad de las personas. Un ejemplo: si a un candidato a puesto de mantenimiento —quizás, a priori, no relacionado directamente con la seguridad— le solicito el título de técnico electricista, sin ningún problema lo aportará junto a su Curriculum y podrá ser cotejado por el departamento de Seguridad; si a ese mismo candidato se le pregunta a qué se debe un llamativo “hueco” en su historial, pongamos por ejemplo de tres años y un día, se llevará las manos a la cabeza alegando su derecho a la privacidad, los ataques a su intimidad y no sé cuántas cosas más.
Por supuesto, todos podemos ser engañados; pero si una norma como ISO 27002 incluye un control ad hoc para la revisión curricular de los aspirantes al puesto de trabajo, por algo será, y debemos al menos evaluar la conveniencia de implantarlo en nuestras organizaciones. Los que tenemos un perfil técnico nos centramos con frecuencia en cortafuegos, detectores de intrusos, permisos de ficheros o analizadores de puertos, olvidándonos muchas veces de aspectos tan críticos para la seguridad global como el CV Screening o la ingeniería social. Y al final, la cadena se rompe por su eslabón más débil, volviendo a lo que solemos decir los del “mundillo”: un atacante nos hará daño de la forma que le sea más fácil. ¿Para qué perder el tiempo aprovechando vulnerabilidades, si le puedo preguntar a un empleado las claves de los servidores?
Todos tenemos un pasado; quizás ese pasado no sea determinante para el acceso a un puesto dentro de la organización, pero bajo ciertas circunstancias puede serlo. El hecho que entre las aficiones de una persona se encuentren los deportes de aventura, que haya estado en la cárcel por un delito concreto, que haya trabajado para nuestra competencia más directa, o que haya sido un pirata informático, puede introducir niveles de riesgo en la organización que, para que sean mitigados o asumidos, deben ser al menos conocidos. Si nos limitamos a creernos a pies juntillas lo que pone en un curriculum y no vamos más allá, tarde o temprano nos encontraremos con aquello de que las personas son el eslabón más débil de nuestra seguridad.
