Decálogo para el éxito de la implementación de los programas de compliance

¿Qué son los programas de Compliance? ¿Afecta a mi organización?

Hace poco escuchaba a un pequeño empresario dueño de una Pyme comentar atemorizado “El Compliance está de moda y dicen que puedo tener muchos problemas”, a lo que le contesté: “Bueno, tampoco es cuestión de alarmarse, mientras hagas lo que tienes que hacer no hay de qué preocuparse…”

Es aquí cuando los empresarios y administradores deben tener muy claras sus responsabilidades en cuanto a la legislación que aplica a su organización, más aún tras la reforma del Código Penal (Ley 1/2015) que entró en vigor en 2015, en la que se establece la responsabilidad penal de los empresarios en base al criterio del debido control:  

a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.

b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso. (Art 31 bis))

A este respecto, cabe destacar que el propio Código Penal indica que la persona jurídica quedará exenta de responsabilidad si se cumple:

"el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión" (Fragmento Art 31 bis))

En base a estos principios surgen los programas de “Compliance”, basados en la Norma UNE/ISO 19600 “Sistema de Gestión del Compliance” que ponen de manifiesto la importancia del cumplimiento normativo y su adecuada gestión en la organización, tanto por beneficio en la gestión como en el control y prevención de responsabilidades de los administradores y propietarios.

¿Qué significa todo esto? Muy sencillo. La conclusión fundamental es que las organizaciones bien gestionadas tienen una mayor facilidad a la hora de cumplir con sus obligaciones que las que no lo están, y si esa es su situación actual, la implantación de los sistemas de compliance podrá permitir a su organización el disponer de estos aspectos controlados, además de que en caso de “despiste”, puedan eximirle a usted como empresario de responsabilidad penal.

Es relativamente comprensible que las organizaciones puedan tener algún “talón de Aquiles” en su administración y/o gestión, fundamentalmente por el desconocimiento del amplio espectro de legislación aplicable, que es lo que básicamente los programas de compliance se encargan de prevenir, pero también hacen hincapié en el caso de que determinadas personas quieran delinquir lo tengan más difícil debido a las actuaciones de control y supervisión, manteniendo al margen a los administradores en el caso de aplicar estos programas.

·         Acciones de los programas de compliance

¨       Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos

¨       Establecerán los protocolos o procedimientos (Manual de Compliance) que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas.

¨       Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos.

¨       Impondrán la obligación de informar de posibles riesgos e incumplimientos al Compliance Officer

¨       Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

¨       Realizarán una verificación periódica del modelo.

Estas actuaciones están orientadas a reducir y minimizar las probabilidades de que la organización no haya identificado correctamente dentro de sus procesos alguno que pudiera implicar el cumplimiento de normativa no controlada a priori.

Los programas de Compliance intentan prevenir alguna de las siguientes situaciones:

¨       Realice operaciones de venta a pérdidas o prestaciones de servicio por precio inferior a su coste de adquisición o producción

¨       Lleve doble contabilidad o incumpla en deber legal de llevar la contabilidad

¨       Participe en negocios especulativos contrario al deber de diligencia en la gestión de asuntos económicos

¨       Formule las cuentas anuales o los libros contables de un modo contrario a la normativa reguladora de la contabilidad mercantil

Este cumplimiento, pese a estar orientado a faltas o delitos administrativos, también puede ser extendido a otro tipo de líneas o procesos de la organización, como son los siguientes (aunque se extienden en muchas otras áreas):

¨       Daños Informáticos

¨       Contra la propiedad industrial o intelecual

¨       Blanqueo de capitales

¨       Contra la Hacienda Pública y SS

¨       Delitos medioambientales

·         ¿Cómo se previenen estas circunstancias?

Gracias a la estructura común con el resto de normativas, la UNE ISO 19600:2015 es fácilmente integrable con el resto de normas de sistemas de gestión, como 9001, 14001, etc.

Como decálogo para el éxito en la implementación de los programas de compliance se ofrecen las siguientes pautas:

1.  La identificación de procesos de la organización y los requisitos legales y normativos asociados a las mismas.
2. Identificación de riesgos y oportunidades de dichos procesos, mediante un estudio pormenorizado, efectuando evaluaciones de impacto en caso de ser necesario y proponiendo medidas que puedan gestionar dichos riesgos hasta niveles aceptables en la organización.
3. Estableciendo una cultura de compliance, a nivel de alta dirección y difundiendo y estableciendo las medidas pertinentes para implicar a todos los niveles de la organización.
4. Definiendo una estructura clara de roles y responsabilidades respecto al compliance.
5. Estableciendo unos objetivos realistas y medibles respecto de la Prevención de Delitos.
6. Concienciando y formando al personal, sobre todo al implicado o que pueda ser de relevancia para dichos procesos o con riesgo elevado de poder efectuar acciones no autorizadas (Responsables de Área, Financieros, Sistemas informáticos, etc.).
7. Desarrollando políticas de seguimiento, medición y control de los procesos respecto al Compliance, incluyendo garantías para procesos no controlados in-situ como pueden ser outsourcings, y extender las evaluaciones de riesgos a estos procesos externalizados.
8. Efectuando una correcta clasificación de la información y dotando de un eficaz sistema de autorizaciones y accesos a la información.
9. Revisando periódicamente la eficacia y eficiencia de dichos sistemas, incluyendo las actuaciones de administradores y consejo directivo.
10. Y este pese a no ser específico, sí que facilita la puesta en práctica de los programas de Compliance, el disponer de una herramienta que centralice la información, los mapas de procesos, la información relevante y permita tomar decisiones estratégicas de forma rápida y sencilla basadas en los objetivos e indicadores previamente definidos para conocer en todo momento cuál es el “verdadero” estado del cumplimiento de nuestro sistema de gestión del Compliance.

Reglamento Europeo de Protección de Datos

Tras años de revisiones, por fin la Unión Europea, a través del Parlamento Europeo y el Consejo ha publicado la versión definitiva del Reglamento Europeo de Protección de Datos. Antes de entrar en detalle de qué implica, la pregunta que a muchos de nosotros nos viene a la cabeza es… ¿qué ocurre con la LOPD? ¿Sigue vigente? ¿Queda derogada? ¡¡¿¿Qué hacemos??!!

Afortunadamente, según informaciones publicadas por la AGPD, la LOPD permanecerá vigente hasta la entrada en vigor del Reglamento en mayo de 2018, concretamente el 25. ¿Qué implica esto? Sencillamente que el pistoletazo de salida está dado, es decir, las organizaciones disponen de un plazo aproximado de dos años para poner en práctica las medidas indicadas en el Reglamento. Durante ese periodo convivirán las directrices actuales previstas en la legislación española, es decir, relativo a protección de datos, seguirán vigentes la Ley 15/1999 (LOPD) y el Real Decreto 1720/2007 (RLOPD) en cuanto a la legislación estatal, y en temas de transferencias, se complementará con la directiva europea 95/46. No obstante, siempre hasta mayo de 2018 deberá cumplirse lo indicado en la LOPD preferentemente respecto de lo indicado en el Reglamento.

Respecto a las organizaciones, ¿cómo afecta el Reglamento Europeo de Protección de Datos?

En primer lugar deberá tenerse en cuenta que el Reglamento aplica a las organizaciones establecidas en la Unión Europea o que se presten servicios a ciudadanos de la Unión. ¿Qué quiere decir esto? Que si ya me aplicaba la LOPD, obviamente también será de aplicación el Reglamento Europeo. Para otro tipo de empresas, estilos “Facebook” ahora el Reglamento sí será de aplicación, ya que se prestan servicios en la Unión, y es una de las mejoras que prevé el Reglamento para la protección del ciudadano. 

En referencia a los cambios establecidos, no son pocos, si bien como síntesis se puede indicar que aquellas organizaciones que ya tuvieran claros los principios de la LOPD y las medidas a aplicar, a priori no deberían tener excesivos problemas para su implementación. Como resumen de los aspectos más importantes, se pueden resumir en los siguientes: 

·         Importancia del consentimiento en el tratamiento de datos.

Si con anterioridad ya era un aspecto relevante, con el Reglamento se potencia todavía más, al establecer como no válidos algunos consentimientos que se pudieran clasificar como “tácitos”. Es decir, ya no valdrá con informar únicamente, sino que la recogida del consentimiento deberá ser clara, y además, “activada” por el usuario, bien marcando algún aspecto, firmando o haciendo “click” en un botón de un formulario. Si además, este tratamiento de datos refiere a datos sensibles (salud, creencias, etc.) deberá ser todavía más explícito si cabe y que de forma inequívoca, se tenga el “sí quiero” del afectado.

·         Delegado de protección de datos

El Reglamento establece la obligatoriedad del nombramiento de un delegado de protección de datos en los siguientes casos:

·         Organismo público

·         Tratamientos que requieran un seguimiento continuado de datos de interesados a gran escala

·         Tratamientos de datos especiales a gran escala o de infracciones penales.

Es decir, todas las administraciones públicas y las organizaciones que efectúen tratamientos de datos masivos (como “Facebook” o similares) o bien tratamientos con datos “especialmente protegidos” (hospitales, centros de salud, etc.) deberán nombrar esta figura, cuyas funciones serán las de supervisar que los preceptos del Reglamento se cumplen, así como dar respuesta a los derechos de los ciudadanos y ofrecer consejo a la organización acerca de protección de datos, así como efectuar evaluaciones de impacto y colaborar con la autoridad de control.

·         Autoridad de control y notificación de incidentes

Como método de supervisión, los estados podrán designar autoridades de control (en nuestro caso será la Agencia de Protección de Datos) que se encargarán de velar por el correcto cumplimiento del Reglamento. Esta figura es similar a la que ya ejercía la Agencia, pero con un número mayor de líneas de actuación, como puede ser la gestión de incidentes.

Como novedad, los Responsables del Tratamiento, en caso de sufrir una vulneración de datos personales – indicado en el Reglamento como “violación de seguridad de los datos personales” – tendrá la obligatoriedad de informar de este hecho a la autoridad de control como máximo en un periodo de 72 horas, con el fin de controlar y asesorar a las organizaciones en dichas fugas y poder poner límites a la propagación de dichas violaciones de datos en otras empresas u organizaciones.

·         Derecho al olvido y a la portabilidad de los datos

Nuevos derechos introducidos por el Reglamento. El primero de ellos, protege a los ciudadanos para poder suprimir los datos cuando ya no fueren necesarios, se suprima ese consentimiento o se recaben de forma ilegal. El ejemplo más claro puede ser resumido con “Google” a través del cual se indexan datos que pueden no ser autorizados por el afectado o llevar a informaciones obsoletas y/o erróneas.

La portabilidad de los datos refiere a la posibilidad de trasladar los datos objeto de tratamiento de un responsable a otro (sobre todo orientado a las operadoras de telefonía u organismos similares)

·         Privacidad desde el diseño y calidad de los datos.

La información a recoger debe ser analizada antes de comenzar su recogida, y comprobar que es la información imprescindible para prestar un servicio. Las organizaciones deberían revisar cuando se recopilan datos por ejemplo para suministrar una información, el recoger nombre, apellidos, DNI, dirección, teléfono, etc. siendo que con un correo electrónico para su respuesta, a día de hoy parece suficiente para dicha finalidad.

·         Menores y consentimiento

El Reglamento establece los 16 años como edad en la cual los menores pueden por sí mismos prestar el consentimiento. En España este aspecto se reduce hasta los 14 años.

Es importante recalcar que si los tratamientos están orientados específicamente a menores, el lenguaje deberá ser perfectamente entendible para ellos, además de contar con su consentimiento expreso.

·         Análisis de riesgos de los tratamientos.

Las organizaciones, con la finalidad de conocer cuáles son sus tratamientos más “problemáticos” deberán efectuar análisis de riesgos de sus tratamientos, para poder aplicar medidas de seguridad y garantizar la seguridad de dichos datos. El tipo de medidas y el número dependerá obviamente de la criticidad de la información tratada por la organización (no será lo mismo un pequeño negocio como una papelería y las medidas asociadas a dichos tratamientos que un centro de acogida a menores).

·         Actitud proactiva de las organizaciones conforme a la seguridad de la información

El objetivo del Reglamento es concienciar a las organizaciones en efectuar una protección de la información de forma preventiva y proactiva, actuando antes de que se produzcan los incidentes gracias a herramientas como las evaluaciones de impacto, delegados de protección de datos y la implementación de medidas de seguridad.

·         Trabajo para la adaptación

¿¿Todo lo hecho anteriormente implantado con la LOPD es inútil y debo empezar de cero?? No, lo único que habrá que efectuar es una modificación o una gestión diferente de la seguridad, variando algunos de los parámetros o formas de trabajar de las actuales, pero continuando la línea y visión existente en la organización complementándose con los aspectos establecidos en el Reglamento y que se han desarrollado en este artículo.

Espero les haya servido.

Saludos.

 

Uso de dispositivos móviles en el entorno laboral: riesgos y soluciones

¿Quién de vosotros no utiliza un Smartphone a día de hoy? Excepcionalmente me viene a la cabeza el amigo o familiar anclado en el “pleistoceno tecnológico” que no lleva móvil o bien reniega de ellos por su extrema complejidad o por ejemplo el obsesionado por la seguridad que continuamente indica “nos están observando” al hablarle de ordenadores y móviles.

Por supuesto, los “Smartphones” o cualquier dispositivo de movilidad son elementos que forman parte de nuestro día a día y que son utilizados por la mayoría de nosotros. Sin embargo, tengo ciertas dudas acerca del uso que se le da a los mismos y que éstos puedan convivir dentro de un entorno que garantice un “mínimo” de seguridad.
 

Si a principios de este milenio, el sistema más comúnmente utilizado para la infección y acceso a los sistemas de información de forma no autorizada era vía correo electrónico, hoy en día poco le falta para ser desbancado por las “Apps” y otros sistemas derivados del uso de “Smartphones”.

Grupos de WhatsApp, fotos, vídeos o correos puede incluir un enlace que redirigirnos a una página casi exactamente igual a la original, pudiendo infectar nuestro dispositivo o solicitando datos que son recibidos por un tercero, y sin ni siquiera darnos cuenta.

Otras amenazas las encontramos en las famosas “Apps”. ¿De dónde descargamos las aplicaciones? ¿Del market o análogo? ¿Leemos las opiniones y valoraciones de usuarios? ¿Probamos aplicaciones para ver su funcionalidad con pocos votos?

Si la respuesta es afirmativa, probablemente seáis un blanco perfecto para tener una aplicación “zombie o backdoor” que permita el acceso a vuestro dispositivo recopilando la información de forma no autorizada debido a “Apps” de terceros aparentemente inofensivas y que luego han resultado ser un recopilador de datos encubiertos.

Incluso con aplicaciones “oficiales”, ¿habéis leído los permisos que concedéis al instalarlas? Véase un ejemplo de ellas:

¿A esto estáis dando a aceptar? Yo por mi parte me niego en rotundo. Efectivamente, lo siguiente que nos pueden pedir es “pagar la siguiente ronda”.

Otro riesgo de estos dispositivos es la posibilidad de tomar instantáneas, efectuar vídeos, grabaciones de voz, geolocalización y otras funcionalidades que permiten un gran almacenamiento de datos que además probablemente estén sincronizados con sistemas Cloud.

Por poner un ejemplo, acceder a una instalación industrial, de proyectos confidenciales o crítica (SCADA), solamente por ir con nuestro Smartphone en el bolsillo con el modo grabación en “ON” la cantidad de información que ser difundida al exterior es inimaginable. Esto es extensible a conversaciones personales, en reuniones de trabajo o cualquier otro ejemplo que estéis pensando en este mismo instante.

Con los ejemplos anteriormente expuestos no hace falta ser muy astuto para conocer la capacidad que tienen estos dispositivos de difundir, descentralizar y desperdigar información en un sólo “click” o tener acceso a la totalidad del contenido de nuestro teléfono.

Para aquellos que después de leer esto estén aterrados, casi mejor que no sigan leyendo. Pongámonos en situación. ¿Y si usted es un responsable de alto nivel que debe garantizar la seguridad de los datos de un hospital? ¿Cómo actuaría sabiendo que el 97% de sus empleados mientras consultan expedientes, tratan datos de pacientes o expiden tratamientos tienen su Smartphone consigo? Creo que no hace falta que continúe…

En efecto, hoy en día el uso de los dispositivos móviles en los entornos laborales o dispositivos de movilidad es uno de los mayores enemigos de la seguridad, más aun dependiendo de la criticidad de la información a tratar.

Es por ello que los Responsables de TI, directores y CEO’s necesitan de herramientas u otros sistemas para evitar la fuga de la información de la empresa. ¿Cómo afronto esta situación?

La solución no es sencilla, si bien me apoyaré en la ISO27001 como “herramienta” para mitigar los posibles daños derivados de este uso. Como se indicó en post anteriores, la ISO27001 dispone de los “requisitos” para la implementación de un SGSI, en el que se incluyen unos puntos de control que deben cumplir las organizaciones para su garantizar la securización de la información. Por tanto, ¿cuáles serían las actuaciones fundamentales según la ISO27001 para mitigar los riesgos derivados del uso de dispositivos de movilidad?

En primer lugar valorar la posibilidad de restringir el uso de los mismos, dejándolos a la entrada en taquillas o consignas y recuperarlos al finalizar la jornada laboral.

Otra solución podría centrarse en la asignación de móviles de empresa según las necesidades de cada usuario con los controles pertinentes, como por ejemplo con roles restringiendo la instalación de aplicaciones y apertura de según qué tipo de archivos, implantación de software de plataforma MDM (Mobile Device Management) respecto de los dispositivos, para poder efectuar borrados remotos, control de tráfico, etc.

Si esa opción no fuese viable, existiría la posibilidad de que los dispositivos “BYOD” (Bring Your Own Device) formaran parte del sistema de información, si bien la monitorización de los mismos en este caso sería complicada por la reticencia de los usuarios y los riesgos elevados asociados al introducirse activos no controlados por la organización.

En este caso, las alternativas deberían tomarse a nivel de gestión, concienciación y formación, ya que las medidas de seguridad técnicas en el dispositivo no serían de excesiva utilidad dada la posibilidad de desactivarlas por parte del usuario.

Según la ISO27001, el establecimiento de una “Política de dispositivos móviles” se presenta como medida directora para que los usuarios conozcan las restricciones y obligaciones con dichos dispositivos.

La formación en el uso de dichos dispositivos sería una buena medida, incluyendo un “decálogo” de buenas prácticas y riesgos asociados a su uso. Complementariamente un procedimiento sancionador en el caso de saltarse dichas normas aumentaría el cumplimiento del mismo, sobre todo en caso de materializarse una fuga de información debido a un uso malintencionado de dichos dispositivos. Todas estas medidas deberían ser implementadas en las organizaciones con acuse de recibo para garantizar su comprensión, así como recordatorios periódicos para aumentar la eficacia de las medidas.

Y por hoy, aparco la exposición, de la cual se desprende que con un coste reducido, puedes mejorar la gestión de la seguridad en tu organización.

¿A qué esperas para ponerlas en marcha?

 

Seguridad de la Información en RRHH - Cambio o fin de la relación contractual

Finalizamos el ciclo de seguridad de la información en los recursos humanos según ISO 27001:2013 con las pautas, cautelas y recomendaciones de seguridad a tener en cuenta en uno de las fases más delicadas en la gestión de los recursos humanos, los cambios o finalizaciones de contratos.

Este es uno de los puntos más relevantes en las organizaciones, ¿qué ocurre cuando se efectúa un cambio en la organización? Ascensos, traslados, degradaciones o lo que es peor, el abandono de las personas de la compañía debe ser tratado como un proceso controlado y estandarizado que afecte lo mínimo posible a la seguridad de la información de la organización.

En este último caso es en el que más hincapié debe hacerse, ya que además de las operaciones estándar en el cese, existe el componente emocional que surge tanto en la propia persona como en los compañeros, que de forma intencionada o accidental pueden efectuar acciones que comprometan de forma seria la integridad, confidencialidad y disponibilidad de la información. Las reacciones de las personas a este momento son imprevisibles e incluso en casos puntuales totalmente irracionales, por lo que una correcta gestión y control del personal se presenta como factor crítico de éxito a la hora de afrontar una situación de este tipo.

Desde el momento que se toma la decisión por Dirección, tiene que ejecutarse un protocolo perfectamente definido en el que se revisen absolutamente todos los elementos en el que la persona haya intervenido.

Por una parte, acudir al inventario de activos o la CMDB para establecer:

• Listado de accesos a información a la que el usuario tiene acceso
• Listado y revisión de las credenciales activas y logins asignados
• Soportes de datos del usuario (Móviles, portátiles, equipos, pendrives y/o cualquier otro dispositivo que pueda trasladar software).
• Tarjetas magnéticas, tokens y otros elementos de acceso (biométricos y otros passwords de cualquier índole).
• Llaves físicas de acceso al edificio y ubicaciones de la organización (CPD, cajas fuertes u otras reservadas)
• Servicios manejados por el usuario (correo, cloud, acceso a vpn u otras conexiones externas).

Revisión de control de cuentas:

• Cuentas de correo electrónico.
• Cuentas ERP, CRM, SAP
• Cuentas Cloud

En el aspecto de gestión, posibles accesos a información confidencial o crítica dentro de la organización, sobre todo en puestos de relevancia (controllers, directores de área, gerentes o managers por poner un ejemplo)

Con ello ya se tiene un control de los activos tanto físicos como lógicos que tiene el usuario y que la organización ahora debe decidir cuándo limitar, bloquear o cancelar los accesos. Es fundamental evitar una vez que el proceso se ha puesto en marcha que el usuario pueda efectuar cualquier interacción (como la típica escena de película americana en el que el guardia de seguridad acompaña en todo momento al usuario hasta la puerta).

Este pudiera considerarse el momento más crítico, ya que hoy en día esto podría ocurrir, pero más frecuente pudiera ser que mediante algún tipo de aplicación remota, el usuario pudiera obtener la información, publicarla en internet, enviarla a la competencia o a repositorios en la nube, etc. en el momento no que le notifiquen el cambio o despido, sino que por los movimientos detectados en la organización, éste pueda predecir el fatal desenlace.

Es por ello que se presenta fundamental la monitorización e identificación previa de los dispositivos y servicios que el usuario maneje, sobre todo desde que se toma la decisión hasta que se ejecuta, donde se presenta otra fuente de conflicto. El salvaguardado de la información del usuario. En el caso de disponer de sistemas de copias remotas y trabajo en el servidores o en cloud manejado por la empresa este problema se reduce drásticamente, al limitar el posible daño con la deshabilitación del usuario de acceso, pero ¿y si no puede efectuarse de formas remotas debido a la infraestructura de la organización?

En ese caso las personas son las que deben actuar, y por la experiencia vivida no es agradable. ¿Acaso es agradable tener que mirar a un compañero a sabiendas que a la finalización de la jornada has ordenado acceder a su equipo para salvaguardar todos los datos o incluso efectuar esa operación? Situaciones como esta deben ser evitadas en lo posible, ya que las reacciones salvo personal fuertemente comprometido con la seguridad de la información y con la organización pueden ser desastrosas.

De idéntica forma, el acceso a la base de datos de clientes, facturación o su propia agenda debería ser controlada o por lo menos almacenada una copia para seguir manteniendo los contactos de cara a la organización.

Una vez efectuado todo este proceso previo, es cuando se puede comenzar a la ejecución del cambio:

• Supresión de credenciales lógicas.
• Retirada de activos físicos (móviles, equipos u otros).
• Retirada de activos de acceso, tarjetas, llaves y otros que pudieran haberse asignado.
• Deshabilitado de cuentas.
• Deshabilitado de acceso físico.
• Notificación al usuario de la baja o cambio.
• Notificación al resto del equipo / compañeros del cambio y en caso de que corresponda, recordar los compromisos de confidencialidad con suministrar información a personal externo a la organización, recordando que este último ya no pertenece a la misma.
• Emisión de nuevos accesos (en caso de que no sea un despido).
• Ejecución de la salida / cambio.

Con esto se pretende una mejora sustancial en la seguridad de la información en los recursos humanos, más aún con el entorno de cambio continuo existente en las mismas y que gracias a la ISO 27001:2013 nos permite disponer de un enfoque claro para su correcta implementación.

Espero que les haya servido.

Saludos.

Seguridad de la información en RRHH - Durante el empleo

Segunda entrega referida a la aplicación de la seguridad de la información en la gestión de los recursos humanos según la ISO 27001:2013.

¡Estupendo! Ya tenemos al candidato ideal y procedemos a su contratación, pero ¿qué debemos tener en cuenta a la hora de garantizar la seguridad de la organización?

Un empleado en una organización es un riesgo más para la seguridad, de tal modo que si se gestiona correctamente no debería causar un impacto relevante en el equilibrio de seguridad. Está claro que las organizaciones no pueden gestionar todos los riesgos asociados a todos los activos, pero sí que deben responsabilizarse de efectuar una apreciación de riesgos que le permita conocer cómo puede afectar un nuevo activo (como las personas) dentro de los procesos existentes, y si así fuera, modificarlos o mejorarlos para reducir la probabilidad de ocurrencia.

“Las organizaciones no controlan todas las acciones de las personas, pero pueden guiarlas en la consecución de sus objetivos”. Concretamente el nuestro es garantizar la seguridad de la información en la organización, y en el artículo de hoy se centra en la aplicación de medidas tras el proceso de contratación.

En primer lugar, en la firma del contrato es una obligatoriedad el garantizar la seguridad de la información a la que accederá el contratado para el desarrollo de su posición. Por ello las firmas de acuerdos de confidencialidad y cláusulas de protección de datos son una referencia para garantizar la seguridad de la información durante el periodo en el que desarrolle sus funciones y también que incluyan cláusulas que extiendan su compromiso del deber de secreto más allá de la finalización del contrato.

Además de garantizar la seguridad mediante estas cláusulas que el candidato debe comprender, firmar y aceptar (para lo cual se recomienda guardar acuse de recibo), la organización debe incorporar medidas adicionales para completar los niveles de seguridad aplicables.

Por una parte, informar y formar al candidato sobre las aplicaciones, sistemas y desempeño de su puesto de trabajo en la organización, bien suministrando un manual de bienvenida que incluya todos los preceptos y buenas prácticas de actuación, tanto de seguridad de la información como otras que pudieran afectarle. Es fundamental que el candidato no se enfrente a un entorno hostil en el que no sepa cómo desarrollar sus actividades, bien por desconocimiento de las aplicaciones o por falta de información y formación acerca de ellas. La concienciación en el uso de datos, sistemas, activos e información empresarial y cómo efectuar el tratamiento de las mismas es una obligación para evitar fugas de información.

Por parte de la organización, un minucioso análisis de perfiles, puestos y privilegios asociados a los roles y puestos desempeñados, de tal forma que estén definidos y controlados para cada uno de estos puestos:

 

• Activos generales: Teléfonos, vehículos, portátiles y otros elementos para el desempeño de sus funciones. Debe recordarse que los activos son propiedad de la organización y no de la persona (incluidas cuentas de correo y otras asignaciones que puedan parecer "personales" o "exclusivas")

• Privilegios de acceso: Llaves, contraseñas, tarjetas magnéticas y cualquier otro elemento o dispositivo que permita el acceso a la organización o a recintos y/o ubicaciones de la misma

• Permisos efectivos: Dependiendo del nivel del puesto, determinar los permisos a información o recursos de la organización. Debería inventariarse las unidades de información a las que accede y el nivel de privilegios relacionado para cada uno de los recursos que pudiera acceder.

• Auditorías y registro de accesos: Todos los logins y acciones realizadas sobre los sistemas de información deberían estar controlados e inventariados, manteniendo un sistema de alertas que notifique cuando un usuario ha intentado acceder a un recurso de información no autorizado.

• Segmentación y segregación de tareas: Independizar las tareas de tal forma que un único trabajador no pueda efectuar acciones que puedan suponer un riesgo para la organización. Especial importancia toman puestos como los Directores Financieros, Responsables de Compras, Responsables de Departamentos o incluso los Administradores de Sistemas, por la cantidad de acciones que pueden efectuar de forma independiente y autónoma. Debería existir como mínimo dos roles para que las acciones de importancia que puedan entrañar riesgos deban ser autorizadas por otra persona o rol dentro de la organización. Este aspecto también puede ser extensible a otros puestos de menor importancia a priori, como por ejemplo en los Departamentos de Desarrollo de Software, para que una persona no conozca todo el entramado del código de una aplicación crítica o confidencial, de tal forma que los módulos se desarrollen de forma independiente y luego se efectúe la integración y pruebas funcionales de los mismos con la finalidad de evitar fugas en el desarrollo o apropiación indebida del código.

 

Por supuesto, según los puestos no será tan fácil efectuar este tipo de controles, ya que el trato recibido por un trabajador de producción o un operario, no va a ser el mismo que puede necesitar el CEO o algún directivo o accionista relevante, en cuanto a accesos y control de la información a la que puede acceder, pudiendo tratarse como usuarios VIP con unas condiciones especiales (eso no quiere decir que no se blinden con cláusulas firmadas estableciendo sus responsabilidades respecto de la información confidencial accesible).

En muchas organizaciones se tiene en cuenta estas restricciones con el personal interno, pero en algunas situaciones con el personal externo no se suele ser tan minucioso. Recordemos que se pueden aplicar las mismas condiciones a personal laboral como a subcontratado o colaboradores que puntualmente acceden a la organización para servicios puntuales (y que también deberían firmar cláusulas referentes a su confidencialidad o información accedida en el desarrollo de los proyectos o servicios prestados).

Una vez definidos los puestos, sus responsabilidades y modos de actuación, viene la fase de formación y concienciación específica para cada puesto tras el estudio de los riesgos que pudieran originarse en el día a día de la organización.

Especial importancia tienen la concienciación y formación efectuada en puestos de acceso a información confidencial, y más aún en aquéllos que pueda no estar tan clara la criticidad que tienen para la organización el mantener la información a buen recaudo.

En puestos directivos y mandos intermedios con accesos relevantes a datos de la organización suelen estar relativamente bien blindados y suelen ser conscientes de la importancia de mantener las medidas de seguridad, pero en otros casos como pueden administrativos con accesos a un ERP que controle la facturación, en caso de solicitud de un superior de toda la facturación del año en curso o de un responsable de departamento, ¿cómo debería proceder? En este caso no está tan claro y pueden entrar dudas a la persona, por lo que es vital la formación y en caso de tener dudas en el modo de actuación consultar con su responsable directo (aun así, los roles y permisos asignados en el ERP deberían restringir los accesos a tal información o a sacar datos históricos de la organización).

Por otra parte, en el día a día existen muchos dispositivos que pueden suponer riesgos importantes para la fuga de información, principalmente los de almacenamiento externo, cloud, conexiones remotas y conectividad USB, o incluso, los propios dispositivos de los empleados o “BYOD” que grabar una reunión, una conversación confidencial o tomar fotos de planos y otros accesos está al alcance de casi todos.

En este caso, los acuerdos de confidencialidad deberían además establecer qué dispositivos está autorizado a utilizar el usuario, generando las correspondientes políticas de uso de dispositivos BYOD, móviles o portables, en las que los usuarios declaren ser conocedores de las mismas y acuerden el cumplimiento de dichas políticas y restricciones.

Como siempre, la organización también debería incluir controles para evitar la materialización de dichas amenazas. Algunos de ellos pueden ser:

• Autorización para el uso y conexión de puertos USB: Puede establecerse un token de uso tras solicitud a los administradores de sistemas, y establecer una restricción en el peso de los adjuntos o en el número de los ficheros transferidos. Pasado el tiempo el puerto USB vuelve a inhabilitarse.
• Políticas de móviles: Los dispositivos particulares pueden utilizarse en diferentes estancias de acceso público. En caso de acceso a la organización o ubicaciones restringidas, deberían solicitarse o dejarse en taquilla o entrada y recuperarse tras abandonar dichas ubicaciones críticas.

• Control remoto: Las conexiones externas, además de ir cifradas o con conexión VPN debería restringirse y monitorizarse para conocer las operaciones o tráfico de red existente, así como los recursos accedidos.
• Acceso a internet y cloud: Uno de los puntos más conflictivos y peligrosos por los riesgos y facilidad de materialización que entrañan la fuga de información a cuentas externas de la organización desde recursos críticos. En este caso, una monitorización de toda la red, así como a servidores de correo externos o sistemas cloud sería una solución (o restricción total o parcial a dichos servicios), aunque requeriría de muchos recursos para una adecuada gestión y control, que además podría tener problemas legales si previamente no se ha informado al personal que se efectúa dicha monitorización (es una obligación de la organización informar al personal de estas prácticas – siendo completamente legal previo aviso).

Con esto tenemos unas pequeñas pinceladas de la seguridad de la información en las relaciones laborales que espero les ayude a mejorar y garantizar la seguridad en su organización.

Ahora faltan las cautelas en la finalización de la relación laboral, pero esto lo abordaremos en próximas entregas.

Espero que les haya servido.

Saludos.

Seguridad en los RRHH - Procedimientos estandarizados en la contratación

La incorporación del personal a una organización es una actividad que debe ser sistematizada mediante procedimientos específicos o procesos de contratación bien definidos. En las organizaciones existen frecuentes rotaciones de personal, sobre todo en las de gran tamaño, y que deben ser gestionadas de forma correcta, tanto por incorporación o abandono de la compañía o bien la asunción de nuevas responsabilidades (y también en algunos casos, la degradación en sus funciones, aspecto delicado donde los haya).

Eso no implica que esta situación indicada no se de en las pymes, si bien su probabilidad de ocurrencia es menor dado el tamaño de la misma, la gestión o los pasos a seguir para un correcto control deberían ser idénticos o similares según los recursos que se disponga al alcance.

Un aspecto que puede pasar desapercibido o no se trate con la profundidad deseable es la gestión de la seguridad de la información en estos procesos. En el día de hoy nos vamos a ocupar de la seguridad en la incorporación del personal a una organización.

Independientemente del puesto a optar, el proceso de contratación ya debe incorporar medidas de seguridad desde el inicio, para evitar la fuga de información incluso desde la ronda de búsqueda de candidatos y entrevistas.

Por una parte, si las entrevistas se hacen vía telefónica para efectuar la primera criba, el personal de RRHH que va a llevar a cabo deben estar capacitados y concienciados en cuanto a los aspectos básicos de seguridad de la información se refieren, almacenando los datos en lugares seguros con aplicativos protegidos bajo contraseña y control de accesos, así como la existencia de campos abiertos en los que únicamente se incluya información del candidato incorporando información objetiva, sin juicios de valor u ofensivos ya que nunca se sabe a ciencia cierta dónde puede acabar esa información.

Una vez pasada la primera criba, en las entrevistas presenciales, si son en la propia organización, deberá existir un control de acceso validado por documento oficial y previa citación de fecha y hora.

Dependiendo de la organización, criticidad de la ubicación o envergadura de la posición solicitada, pudiera ser recomendable a la entrada del candidato que en recepción o en la ubicación que se haya ubicado el control de acceso se depositen todos los objetos que pudieran tomar imágenes o recopilar datos de la organización, aunque es valorable por la organización. Personalmente prefiero que no sea grabada la conversación / entrevista que se desarrolla. En casos de infraestructuras críticas u organizaciones de mayor seguridad, otra opción es la de solicitar al candidato subirse a una báscula de precisión para evitar que pueda dejar o sustraer elementos dentro de la organización al descuido.

Si el candidato se incorpora a la organización finalmente al superar la entrevista y llegar a un acuerdo, deberán comprobarse de forma fiable y eficaz que toda la información / datos suministrados por el candidato son ciertos, a saber:

• Identidad: Solicitar como mínimo dos documentos oficiales que puedan acreditar su identidad (DNI, pasaporte, carnet de conducir, etc.)
• Currículum: En el propio trabajo del entrevistador, muchos aspectos pueden ser descubiertos en caso de falsear dicha documentación. No obstante, de forma complementaria las actividades de solicitar referencias a anteriores organizaciones / personas que hayan trabajado con él, tanto responsables directos como compañeros de trabajo o solicitar físicamente las titulaciones y en caso de dudar, ponerse en contacto con el centro impartidor para verificar su finalización completa pueden ayudar a aclarar situaciones dudosas.
• Redes sociales: Investigar antecedentes y comprobar que lo indicado en los perfiles corresponde y encaja con lo que el candidato indica tanto en su CV como en las entrevistas personales desarrolladas.
• En algunos casos, podrían solicitarse información a entidades bancarias o antecedentes penales según la tarea a desarrollar (vigilancia de seguridad, ...).

En caso de que además, el candidato debiera asumir responsabilidades organizativas, técnicas o de gestión en cuanto a la seguridad de la información se refieren, deberían de añadirse otras comprobaciones adicionales:

• Existencia de experiencia y/o cualificaciones adecuadas para el correcto desempeño de sus funciones.
• Asegurarse de que el candidato es el idóneo para responsabilidades y tareas críticas en la organización en cuanto a seguridad de la información se refiere. Con eso indicamos que debe poseer una sólida experiencia en estos campos y en compañías relevantes, en las que se puede y debe solicitar referencias sobre todo en sistemas SCADA (compañías petrolíferas, nucleares, aeroportuarias, etc.).

Una vez efectuada la contratación, deben controlarse los derechos de acceso tanto por departamento como individuales a las que la persona o grupo tiene acceso, efectuándose un control pormenorizado e inventariando los accesos asignados a cada individuo y la criticidad de la información a la que puede acceder derivada de dicha asignación de accesos (clasificación de la información).

Estos derechos de accesos deberían asignarse en la definición de puestos, incluso antes de la contratación, siendo aprobados por dirección. Como medida adicional, estos derechos de acceso deberían ser periódicamente revisados y monitorizados para evitar cambios no deseados o manipulaciones efectuadas de forma no autorizada por dirección o por el Responsable de Seguridad.

De forma general todos los empleados que se incorporen a la organización deberían someterse a las políticas de seguridad de la organización, en las que se indique de forma pormenorizada sus derechos y obligaciones en cuanto a seguridad de la información, protección de datos y terceras partes. Esto se materializa mediante una formación / información pormenorizada y por escrito a los empleados, con acuse de recibo en el que se den por enterados de sus responsabilidades respecto de la seguridad de la información al acceder a su puesto de trabajo, independientemente de la categoría que ocupen.

No obstante, cargos específicos y que accedan a información confidencial (como la financiera, accionarial o de adquisiciones y ventas de la compañía) podrían tener cláusulas adicionales. Aún así, en el contrato o en la información sobre protección de datos, todos los empleados deben mantener confidencialidad y deber de secreto incluso tras extinguirse la relación laboral. Si además estuvieran sometidos a legislación adicional, también deberían ser informados y declarar bajo acuse de recibo la comprensión de dichas cláusulas.

Dentro de las cláusulas que firman estos empleados respecto de la protección de datos y que al efecto funcionan como un contrato, se pueden incluir las siguientes, incluyendo en todas ellas aspectos relacionados con la seguridad de la información:

• Derechos de acceso consecuencia del acceso a esa posición.
• Información confidencial a manejar.
• Consecuencias del incumplimiento del contrato / cláusulas de protección de datos o seguridad de la información.
• Prohibición de revelar datos de la compañía o personales a externos de la organización.
• Deber de secreto.
• Categoría ocupada y nivel de acceso a datos (clasificación de la información).
• Responsabilidades de uso de los datos y relaciones con externos (clientes).
• Activos asignados y responsabilidades sobre los mismos. Estas incluyen activos de todo tipo, incluso con los recursos materiales y personales de la organización.
• Obligaciones del puesto de trabajo y responsabilidades.
• Periodicidad durante la cual se extienden estas obligaciones, incluso tras la finalización de la relación laboral.

Estos son algunos de los ejemplos que suelen incluirse, pese a que puedan existir otros adicionales. En muchos casos, se suelen incluir dentro del código de conducta de las organizaciones, y que son entregados a la firma del contrato, indicando su conformidad con el contenido del mismo mediante firma o acuse de recibo. Si no fuera así, debería anexarse al contrato algún documento que contenga dichas cláusulas.

Según el tipo de organización, pueden ser más exhaustivas dichas medidas, si bien pueden ser un punto de partida para la inclusión de la seguridad de la información en los procesos de selección y antes de incorporar una persona a la organización.

Espero que les haya servido.

Organización para la Seguridad de la Información - ISO 27002:2013

Organización para la seguridad de la información

La norma ISO/IEC 27001:2013 ofrece una orientación similar a la versión ISO/IEC 27001:2007 en el apartado de organización para la seguridad, si bien existe un cambio en los puntos de control incluidos en la norma ISO/IEC 27002:2013 a la que la anterior norma refiere para mayor desglose, con especial atención a la evolución en el uso de los dispositivos móviles y teletrabajo surgidos en el ámbito laboral.

 

A este respecto, la idea de la organización de seguridad se basa en una exhaustiva definición de roles y puestos, en los que las responsabilidades dentro del sistema de información deben ser claras y asignadas a personal o puestos de la organización concretos.

 

Independientemente del tamaño, alcance y contexto de la organización, parece difícil el efectuar o mantener una implantación o certificación ISO 27001:2013 sin establecer algunos roles especialmente relevantes para la evolución del sistema de gestión de seguridad de la información. Detallamos algunos de los más frecuentes o que pudieran ser de utilidad: 

 

• Dirección - Comité de Dirección: Imprescindible su compromiso y entendimiento del SGSI, participando en las reuniones y decisiones estratégicas del sistema de gestión, asignando recursos y disponiendo de lo necesario para su correcta implementación.

• Responsable de Seguridad: Persona encargada de coordinar y controlar la puesta en marcha de medidas y controles de seguridad, valorando su eficiencia y eficacia. También dispone de otras responsabilidades sobre el sistema de información en cuanto a decisiones operativas.

• Departamento de Seguridad: Personal directamente involucrado y nombrado para la ejecución de configuraciones, instalación de equipos y controles así como otros aspectos técnicos y de gestión relacionados con la seguridad de la información. Suelen participar directamente y reportan información o el feedback de las decisiones tomadas por Dirección y el Responsable de Seguridad. Suelen ser nombrados en base a su compromiso, experiencia y conocimiento de los sistemas de la organización.

• Delegado de protección de datos (Data Protection Officer): Puesto todavía no extendido, si bien en un futuro debería cobrar mucho protagonismo con la aprobación del Reglamento Europeo de Protección de Datos, cuya existencia en las organizaciones de más de 250 trabajadores o en las Administraciones Públicas es obligatorio. Se encarga de tomar las decisiones pertinentes en lo relativo a la protección de datos dentro de la organización, atender solicitudes ARCO y establecer o proponer a Dirección las medidas de índole técnica u organizativa necesarias para llevar a cabo el cumplimiento de dicho Reglamento entre otras funciones.

• Administradores / Responsables de sistemas/ TI: Encargados de la gestión técnica de los equipos, pueden formar parte del Departamento de seguridad y de forma general es personal con amplios conocimientos del sistema de información y con capacidad puntual para la toma de decisiones, así como para el asesoramiento y valoración de las incompatibilidades o problemas que pudieran surgir tras la elección de salvaguardas o cambios y modificaciones en los sistemas.

• Operadores / Técnicos de seguridad: Personal encargado de poner en práctica las decisiones tomadas por el Departamento de Seguridad.

Estos son algunos de los posibles roles que pueden aparecer en la organización, si bien por su complejidad y casuística, se han omitido otros roles que también pudieran ser de gran importancia, como dirección de RRHH, departamento financiero, etc.

 

Es importante que estas responsabilidades estén perfectamente definidas y que no entren en conflicto, así como la existencia de una trazabilidad en las tareas que pueden realizar, con la finalidad de establecer un sistema de segregación de tareas en la organización y que personal con acceso al sistema de información pudiera tener acceso a privilegios o roles no autorizados. (Ejemplos sencillos: Independencia del Departamento de Compras y Aprovisionamiento con otros departamentos para que no puedan efectuar compras no preaprobadas o la asignación de permisos y roles por parte de personal de TI con autorización operativa para ello en los sistemas de información sin contar con una validación adicional para su puesta en operación).

 

Se mantienen idénticos los puntos de control de la ISO27002:2013 referentes a contactos con otras autoridades y grupos de interés, con la finalidad de que la organización disponga de grupos y expertos en seguridad de la información para acudir en caso de detectar problemas fuera de su alcance y conocimiento técnico. Este aspecto probablemente en una pyme no sea tan relevante, pero en sistemas SCADA o de infraestructuras críticas (aeropuertos, centrales nucleares, etc.) es una obligatoriedad el comunicar los incidentes de información a las autoridades, con la finalidad de difundir a otras organizaciones el ataque y su prevención o mitigación, así como ayudar a la organización para reducir las consecuencias del ataque o incidente en cuestión, ya que disponen de protocolos específicos para situaciones que la organización pudiera no ser capaz de abordar por sí misma.

 

Por otra parte, la organización para la seguridad en la ISO27001:2013 propone la implementación e inclusión de medidas de seguridad de la información en la gestión de cualquier proyecto, garantizando la seguridad en la transmisión de datos y solicitando garantías a otras organizaciones en la custodia de información o tratamiento de la misma en el caso de efectuar proyectos conjuntos. Es importante que el personal que lleva, coordina y ejecuta dichos proyectos disponga de una capacitación, concienciación y formación en cuanto a seguridad de la información se refiere, debido a la facilidad de tránsito de información y que en muchos casos, esta ejecución de proyectos no se efectúa en las instalaciones corporativas.

 

 

Por último, se reorienta la visión de los dispositivos móviles y teletrabajo, siendo en la ISO 27001:2013 ya no un punto meramente técnico u operativo, sino ya en el ámbito estratégico o de organización debido a la proliferación y existencia de estos dispositivos en el ámbito corporativo. Un buen sistema para su control puede ser el establecimiento de políticas de operación con dispositivos móviles, con un listado de actuaciones permitidas y las restricciones establecidas en el uso y configuración de estos dispositivos. De forma análoga, para teletrabajo deberían indicarse también estas restricciones en otra política con contenidos que restrinjan el uso e incluyan las medidas de seguridad a tener en cuenta. Es recomendable el cifrado y el uso de VPN en todas estas comunicaciones establecidas. Estas políticas deben ser difundidas y comprendidas por todos los empleados TI y por los usuarios de los dispositivos.

 

 

Con esta reseña se pretende plasmar una pequeña visión de cómo enfoca la ISO 27001:2013 el apartado de organización para la seguridad, lo que implica y algunas diferencias relevantes en cuanto a lo establecido en la ISO 27001:2007.

 

Espero que les haya servido.

 

 

Saludos.