El débil eslabon (El cinturón de seguridad II)

(N.d.E. Nada más volver del pasado verano hicimos una analogía entre la función de la norma ISO 27001 en seguridad de la información y el cinturón de seguridad en seguridad del automóvil. En ella «prometíamos» hacer un repaso a los «anclajes» de ISO 27001, en especial al Anexo A de ISO 27002. Recuperamos dicha serie con esta primera entrada de Antonio Huerta, que habla del Dominio de Control 8: Seguridad relacionada con Recursos Humanos)

Estimados lectores, muy frecuentemente el primer pensamiento por parte de las empresas a la hora de afrontar la seguridad viene marcado por fuertes inversiones, como pueden ser costosas soluciones en infraestructura de red (IDS, Firewall), la compra de antivirus centralizados, suites de ServiceDesk, o laboriosos proyectos de consultoría. Si bien acometer dichas proyectos o compras de este tipo es un requisito para la consecución de cierto grado de seguridad empresarial, no resulta ser la panacea a la totalidad de los problemas de seguridad.

Cuántas veces han visto ustedes o incluso han empleado en presentaciones la frase: la cadena es tan fuerte como su eslabón más débil. Todos a estas alturas sabemos cuál es el activo que genera mayor riesgos a una empresa y que a menudo no contemplamos en nuestros análisis de riesgos: el empleado. De poco sirve que tengamos las medidas más sofisticadas, si mediante un simple correo electrónico cualquier empleado puede enviar informes clínicos a cualquier persona, no es consciente del problema de tirar los curricula de los candidatos descartados a un contenedor de basura cualquiera o se instala un programa P2P y comparte por descuido el contenido total del equipo. Dejando de lado problemas más graves que involucran a personal responsable o con privilegios de administración a los equipos.

Deliberado o no, estas cosas suceden y estos riesgos deben ser contemplados y tratados por las empresas. Aunque existen medidas técnicas mediante las que podemos limitar el riesgo asociado a estos eventos, es aconsejable establecer otro tipo de medidas para minimizar estos riesgos, ya que como hemos comentado alguna vez, las medidas técnicas no lo solucionan todo.

Tal y como cita ISO 27002, diferenciaríamos básicamente tres estadios para enfocar la seguridad respecto a la contratación: el previo la contratación, durante la contratación, y tras la contratación.

Previo a la contratación, lo más relevante es aclarar los términos contractuales a los que se someterá al empleado, destacando las cláusulas de confidencialidad que deberán ir mas allá de los datos personales con el fin de proteger el know-how de la entidad. Más allá de la mera firma, deberán recogerse las consecuencias derivadas del incumpliendo de tal clausula. Adicionalmente, en determinados cargos es aconsejable que el contrato incluya además de las cláusulas de confidencialidad, cláusulas de no competencia que durante un tiempo limitado restringen el cargo y funciones que el empleado puede realizar en otra organización una vez finalizada la relación contractual. Este tipo de cláusulas son más propias de multinacionales y conllevan una compensación económica.

Durante la contratación, una de las principales medidas es la concienciación de los empleados, algo que a menudo no va más allá de una pequeña charla de 30 minutos cada 2 años a una muestra “significativa” de la plantilla, que en general sirve de poco y no traslada de manera adecuada la importancia de la seguridad (la propia periodicidad y voluntariedad de estos cursos no ayudan). En este sentido es necesario cambiar la perspectiva del empleado, y que en lugar de un sujeto pasivo pase a ser un sujeto activo, a través de por ejemplo formación online mediante una plataforma estilo Moodle o Sakai que incluya examen, lo cual es económicamente viable tanto si se realiza internamente como si se decide subcontratar. Por otra parte es necesario establecer claramente los perfiles de los empleados y limitar el acceso a la información al mínimo necesario para el desempeño de las labores en el puesto de trabajo, según una filosofía need-to-know.

Una vez finalizada la relación contractual, debe como mínimo bloquearse el usuario de sistema perteneciente al ex empleado al finalizar su último día de trabajo efectivo en la entidad, y en caso de que este empleado fuera administrador, cambiar todas las contraseñas de los sistemas que fueran administrados por él. En cuanto al correo electrónico hay distintas sentencias, si bien el empresario únicamente tendrá acceso legítimamente a él si se cumplen el siguiente supuesto que menciona la Agencia Española de Protección de Datos en el informe 0247/2008, en el que concluye:

El artículo 20.3 del Estatuto de los Trabajadores habilita al Empresario a controlar el correo electrónico que él otorga a los trabajadores para el desarrollo de sus funciones, pero siempre que previamente haya informado sobre dicho extremo y cumpla de ese modo el deber de informar previsto en el artículo 5.1 de la Ley Orgánica 15/1999.

En última instancia y a pesar de que no se recoja en ninguna norma, cabe remarcar la posibilidad de mejorar la seguridad de este eslabón, cambiando el arraigado paradigma que considera al empleado según la teoría X en lugar de la teoría Y, ambas postuladas por Douglas Mcgregor. En este sentido la fidelización del empleado ayuda a que el empleado no se vea como un eslabón sino como parte de la cadena, fortaleciendo sin duda la seguridad de la organización.

(Imagen de sciain en Flickr)