InfoSecMan Blog

“Algo se muere en el alma, cuando un amigo se va…”. Así es como empieza la letra de una conocidísima sevillana, y de forma muy parecida comienza el suplicio de algunas organizaciones cuando sufren la pérdida de un empleado de cierta importancia o visibilidad. Y es que dentro de los procesos de continuidad de negocio o de gestión de la seguridad no siempre se le otorga la suficiente importancia a los procesos de gestión de personal, contratación, etc.

En realidad, en muchas organizaciones no se le presta la atención adecuada al análisis de los riesgos inherentes a los activos humanos de la organización. Una de las primeras tareas en cualquier análisis de riesgos es la identificación de activos, y como activos todos sabemos que no debemos pensar únicamente en “activos físicos” (equipos, aplicaciones, etc.) sino que debe tenerse en cuenta que uno de los activos más importantes de una organización (y a veces el principal) son sus empleados y como tal activo, estos deben ser clasificados por importancia (o más bien impacto) en los procesos de negocio de la compañía.

Es evidente que no tiene el mismo impacto en el negocio un empleado con mucha visibilidad hacia los clientes, proveedores o incluso los medios de comunicación que otro que no la tiene, o por el contrario no tiene el mismo impacto alguien con un conocimiento técnico inconmesurable que es el mayor (sino único) conocedor de los sistemas de la compañía que otro cuya experiencia y conocimiento es muy limitado y su nivel de implicación en los procesos internos es mínimo.

Es por ello que al igual que se realiza un análisis de impacto en el negocio (Business Impact Analysis) dentro del desarrollo del proceso de continuidad de negocio para otros activos, debería incluirse de forma explícita y quizás con una cierta clasificación o tratamiento previo, los activos humanos de la organización de forma que la misma tenga claros los riesgos que está asumiendo ante la situación de ciertos indivíduos y, al igual que se evalúan los mismos de cara a la inversión en otras áreas de la seguridad de la información, se estudie hasta qué nivel la organización debe asumir el riesgo y a partir de cuál debería emplear contramedidas para mitigarlo (contramedidas en este caso no sólo técnicas habitualmente, sino de otra índole quizás más personal o económica).

Huelga decir que todo esto debe ser complementado con las medidas técnicas y organizativas que vienen claramente recomendadas como consecuencia de la aplicación de ISO 27002 u otras guías de referencia de la seguridad de la información como son, entre otras:

– la existencia de un código de ética que comunique cristalinamente cuáles son los principios sobre los que se basa y que pretende seguir la organización.

– la existencia de una política de seguridad que desarrolle ese código ético y sea pública, conocida y clara.

– la segregación de responsabilidades, uno de los puntos más importantes.

– la rotación en los puestos de trabajo, para evitar “nichos de poder o de conocimiento”, entro otros temas.

– las vacaciones obligatorias con desvinculación total de la compañía, favoreciendo así por una parte el descanso del empleado y por otra analizar el comportamiento de la organización en su ausencia total.

– la inclusión de la seguridad de forma explícita en las responsabilidades de los puestos de trabajo (y por tanto le existencia de una definición formal de las funciones y responsabilidades de cada puesto de trabajo)

– la existencia de una selección y política de personal adecuada, corroborando la veracidad de los datos aportados por el empleado, referencias, etc. e informando puntualmente de los distintos aspectos que afecten tanto al empleado como a la organización.

– la obligatoriedad de existencia de acuerdos de confidencialidad o no divulgación de información durante su permanencia en la compañía y tras la marcha de la misma y su revisión cuando la situación, personal o corporativa, cambie.

– la inclusión dentro del contrato del empleado de los términos y condiciones del empleo, incluyendo explícitamente cláusulas relativas a seguridad de la información, responsabilidades y derechos legales del empleado, entre otros puntos.

– la existencia de un plan de formación adecuado, no sólo ocupacional, sino de concienciación de la seguridad y los riesgos asumidos.

– la existencia de un proceso formal, conocido y publicado de comunicación de incidentes y anomalías de seguridad (física y lógica), a traves de canales conocidos, con divulgación total entre los empleados de la organización, etc.

– la existencia de un proceso disciplinario formal para los empleados que violen las políticas o procedimientos de seguridad de la organización o las cláusulas existentes en su contrato (algunas de ellas aplicables con total probabilidad incluso después de la finalización del mismo).

Una organización que no tenga en cuenta estos aspectos estará asumiendo muy probablemente un nivel de riesgo muy alto que se verá acrecentado por la existencia de circunstancias que engrosen los valores de probabilidad de ocurrencia de ciertos pares de amenazas/vulnerabilidades asociadas a la seguridad del personal en este caso, como pueden ser circunstancias sociales o personales adversas, alta rotación del personal por dinamismo en el mercado y otras operaciones corporativas que puedan afectar al activo tratado en este caso: las personas.

Quedaría mucho más que decir aquí, y probablemente personas expertas en la gestión de recursos humanos podrían aportar un punto de vista complementario al que escribe esta nota, más centrado como todos sabéis en temas de seguridad de la información, continuidad de negocio y sus aspectos humanos, pero entonces pasaría de ser una mera reflexión o artículo a un trabajo formal en toda regla, que en estos momentos no puedo abordar por falta de, como persona que soy, tiempo principalmente.

Y finalizo ya, incluyendo un resumen de la letra de la sevillana con que comenzaba esta reflexión. Tras leer todo esto, estoy seguro que interpretaréis la letra (de la que no modifico nada en absoluto), de forma sustancialmente diferente:

Algo se muere en el alma, cuando un amigo se va

cuando un amigo se va algo se muere en el alma.
Cuando un amigo se va 
y va dejando una huella que no se puede borrar.

  Estribillo

No te vayas todavía no te vayas por favor no te vayas todavía, 
que hasta la guitarra mía llora cuando dice adiós.

Estribillo

😉