Cuatro buenas razones para que Seguridad hable con Recursos Humanos

Ni los directores de seguridad ni los de tecnologías de la información contratan gente en la mayoría de las organizaciones. Son tareas que dependen del departamento de Recursos Humanos, pero ¿qué hacer si un empleado deshabilita el antivirus o utiliza recursos sin licencia? Quizá para los responsables de la información corporativa esto sería motivo para sancionar a un empleado o, incluso, despedirlo. Pero, ¿piensan igual en Recursos Humanos?

Con bastante frecuencia, el responsable de seguridad se sorprende y enfada cuando el empleado irresponsable sólo se lleva un tirón de orejas o se deja pasar el incidente sin reprimenda alguna. ¿Por qué esta división? Porque TI no está coordinado con recursos humanos y porque no hay claridad en cuanto a la severidad o el riesgo del comportamiento. La solución es hablar con Recursos Humanos mucho antes del incidente y así evitar la frustración y el sufrimiento.

Identidad y autenticación

El establecimiento inicial de la identidad de un nuevo empleado –en definitiva, obtener su documentación- es una tarea de gestión específica de RR.HH. Una vez se ha establecido la identidad y se ratifica que la persona contratada es verídica, se ha completado el primer paso. Nunca es una tarea automatizada ni tampoco del departamento TI.

Si una persona llega al departamento de tecnología pidiendo una cuenta y no hay ningún tipo de aviso de Recursos Humanos sobre el proceso de autenticación e identificación completo, deberían dispararse todo tipo de alarmas. Salvo excepciones –como la concesión de un ID temporal a proveedores cuyo contrato sirve como documento de identificación y autenticación-, TI nunca debería implicarse en el proceso de determinar si una personas existe o no. 

Es uno de los errores más comunes, pero la identificación y autenticación iniciales no deben confundirse con la implantación de roles y derechos. Sólo una vez que la decisión de contratar a alguien ha sido procesada por Recursos Humanos, el nuevo empleado podrá vincularse a un conjunto de tareas, roles específicos y otra parafernalia laboral. Confundir estos dos pasos significa pisar a RR.HH. y el conflicto, la confusión y la seguridad debilitada serán inevitables.

Comportamiento aceptable

El departamento de TI debe actuar como guardián, pero no es el árbitro de todas las cuestiones éticas. De nuevo, ese es trabajo del área de RR.HH, incluso si un director de TI o responsable de seguridad autorizó un “uso aceptable” de una política bajo el paraguas de las políticas de TI. A menudo, el departamento de Tecnologías de la Información agacha las orejas intentando definir comportamientos éticos de una organización en el contexto del uso de sistemas y recursos informáticos. Al confundir esta cuestión se crean lagunas: la gente podría entonces reclamar que sólo se proscriban comportamientos específicos o que no había una clara conexión entre el mal uso de la tecnología y una violación ética por la que debiera ser despedido. La confusión crea incertidumbre y la incertidumbre permite que los empleados con mal comportamiento sobrepasen las faltas, incluso cuando las violaciones son atroces.

Es importante trabajar junto a RR.HH. para entender los estándares éticos de la organización, y para asegurarse de que tienen en cuenta cuestiones que podrían suceder. Por ejemplo, una política ética no de TI debería centrarse en el rendimiento del trabajo e ignorar los recursos y los comportamientos comunes permitidos por la presencia de tecnología de la información.

Al revisar juntos las políticas, RR.HH. puede optar por añadir tópicos específicos sobre el manejo de información confidencial o comportamientos mientras los empleados están conectado a los recursos de la compañía. Con muy poca atención, puede ser posible ejercer una fuerte presión sobre las políticas éticas de RR.HH. y fijar una Política de Uso Aceptable que se centre en un uso real y en potenciales riesgos, en lugar de intentar replantear la justificación ética que sustenta la política.

Formación vs concienciación

La mayoría de los que trabajan en seguridad TI no tienen suficientes horas al día y sin embargo, con frecuencia, tienen que impartir sesiones de formación en seguridad de la información dirigidas a toda la empresa a la que suelen acudir los voluntarios y no aquellos que realmente deberían.

Tanto si venden artículos en eBay como si cierran

TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper