InfoSecMan Blog

Casi todos nosotros hemos leído una y otra vez la necesidad de existencia de descripciones formales de los puestos de trabajo, de forma que cada empleado sepa cuáles son sus responsabilidades, a qué está obligado, qué políticas le son de aplicación, qué procedimientos debe utilizar, etc.

Pero creo que igualmente, casi todos nosotros rara vez lo hemos visto aplicado. ¿Tenéis todos una descripción formal de vuesto puesto de trabajo? ¿de qué procesos y tareas sois responsables? … intuyo que no. Esto es muy anglosajón y, aunque muy interesante y necesario, en nuestro ámbito latino suele ser difícil conseguirlo (e implantarlo).

Como ejemplo, hoy leía en un foro internacional al que estoy subscrito (en su mayoría compuesto por gente de nuestro campo de grandes compañías de Estados Unidos) un mensaje de un profesional de nuestro campo que solicitaba ayuda para un tema de mejora en las claves de usuarios, pero lo que me sorpendió no fue el tema técnico sino su última frase en la que indicaba que todo ese tema (de forma muy resumida, creación de una base de datos  de claves de usuarios y sus hashes MD5/SHA1, para comprobar la fortaleza de las mismas, si las repiten, etc. a partir de su LDAP), era parte de su labor como así lo indicaba la descripción de su puesto de trabajo:

“Yes, this is in my job description and I am finalizing password policy that expressly permits me to perform these tests”

¡Impresionante! En serio, ¿habéis visto en vuestras empresas o clientes descripciones avanzadas del puesto de trabajo? … en mi caso, os puedo adelantar que muy pocas y extremadamente generales… otro día hablaremos de las cláusulas relativas a la seguridad de la información que se firman al contratar un nuevo empleado… 😉