Los recursos humanos son quizá el componente más crítico al momento de garantizar las tres características de la seguridad de la información: integridad, confidencialidad y disponibilidad, por lo tanto deben adoptarse controles y prácticas de gestión que ayuden a mitigar el impacto de los riesgos que por este factor se pudieran materializar.
Particularmente uno de los 10 pilares básicos de la norma ISO 27001 hace referencia a la seguridad de ligada a los recursos humanos, que debería enfocarse desde la definición de las funciones y los recursos hasta la finalización de la relación laboral, incluyendo la seguridad en el desarrollo de las funciones de los empleados. Con la definición clara de las funciones se asegura que todo el recurso humano (empleados, contratistas y terceros) vinculados con la empresa entiendan sus responsabilidades y estén en las condiciones para desarrollarlos; de esta forma se pueden reducir riesgos de fraude y uso inadecuado de los activos de información de la empresa. Esto se puede lograr en gran medida con una adecuada verificación de antecedentes que esté de acuerdo al tipo de información al que va a acceder el empleado. Es claro que en una entidad financiera, por ejemplo, el proceso de integración de un administrador de bases de datos debería ser diferente del de un analista de cuentas.
Además es muy importante que todos los empleados y terceros que manipulan información sensible de la compañía conozcan las amenazas para la seguridad y que tengan disponibles los medios necesarios para cumplir con las políticas de seguridad, de forma tal que se optimice el cumplimiento de las labores diarias y se reduzca el riesgo de relacionado con los errores humanos. En Internet existen recursos gratuitos que pueden ayudar con esta tarea, incluso en nuestro Centro de Amenazas se puede encontrar la Guía del Empleado Seguro, que contiene consejos y buenas prácticas y en nuestra Plataforma Educativa está, entre otros, el curso Seguridad para PyMEs orientado específicamente a la mediana empresa: gerentes, directores, gerentes de sistemas, administradores de red, soporte técnico, responsables de Recursos Humanos y otros integrantes relacionados con la seguridad de la información en la empresa.
Finalmente se deben establecer los procedimientos para garantizar que el retiro de la empresa por parte del recurso humano sea controlado garantizando la devolución de todo el equipamiento y la eliminación de las credenciales de acceso a los sistemas. Lo más recomendable es revocar, en primer lugar aquellos accesos a los sistemas más críticos o vulnerables, y además hacer un monitoreo del uso de las cuentas de correo electrónico para garantizar que no se sustraiga información confidencial, respetando las consideraciones de privacidad que apliquen. Todo lo relacionado con la finalización de contrato debería estar formalizado para incluir el retorno previo de los software, documentos corporativos, equipos, dispositivos móviles, tarjetas de crédito, tarjetas de acceso e información guardada en medios electrónicos.
Cabe recodar que la seguridad de la información se logra con la adopción de buenas prácticas de gestión, políticas claras de educación y concientización a lo largo de la empresa y con una adecuada implementación tecnológica. El balance entre estas tres características es lo que va a maximizar los niveles de seguridad.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research