Por Mauricio Heidt (Argentina), Director General de RH Pro
Los datos que se administran en el área de Recursos Humanos presentan mayor interés a nivel interno que externo-más allá de que algún competidor directo pueda estar interesado-, sin embargo, se deben cuidar ambos frentes.
El acceso a la información de Recursos Humanos
Los datos contenidos en herramientas de gestión (Software de Administración de Recursos Humanos, bases de datos, Planillas Excel, etc.) tienen la posibilidad de ser accedidos por personal con conocimientos técnicos y con permisos especiales sobre ellos como, por ejemplo, administradores de redes, administradores de bases de datos, etc.
El punto es determinar qué es lo que puede hacer con los datos la persona autorizada a accederlos, de modo de tratar de diseñar acciones preventivas. El conocimiento puede ser transmitido a la competencia, utilizado para negociar internamente o simplemente para divulgar información que internamente podría ocasionar daños operativos o sociales, ya que en la información de Recursos Humanos no sólo se cuenta con informes dinerarios sino también con información más blanda pero muy sensible como informes médicos, gestión del conocimiento de la compañía, informes del desempeño, planes de acción, objetivos, etc., datos muy importantes para el desarrollo de la compañía.
La Seguridad en la Red Corporativa
La red, tanto la local como la externa, e Internet deben ser estrictamente analizadas por especialistas y hay que realizar un monitoreo continuo sobre los accesos e intentos de acceso a la información confidencial. Hoy es imposible -o casi imposible- por cuestiones operativas, aislar un servidor de las redes, y si se hace, hay que analizar otro tipo de riesgos a los cuales se verá sometido por no estar en red, como back-up, actualizaciones, etc. Existen casos en los que se aísla el servidor de Recursos Humanos; luego, el administrador se sienta frente a él para hacerle actualizaciones; finalmente, hace un back-up que almacena en un lugar accesible o se envía un e-mail con una planilla de cálculo analizada y detallada, con lo cual todo el aislamiento realizado -con sus complicaciones- resulta un esfuerzo inútil. Las aplicaciones deben permitir integrar su seguridad con la seguridad de la red, como por ejemplo Active Directory de Microsoft, de esta manera las políticas de seguridad son aplicadas en forma centralizada y se expanden al resto de las aplicaciones. En general, las redes cuentan con herramientas para garantizar la seguridad de los recursos que administran, lo importante es que estén correctamente configuradas y monitoreadas por el área que corresponda.
Controles de acceso a la aplicación de Recursos Humanos
Una de las principales claves de seguridad la determinan los niveles de control de acceso a la aplicación central de Recursos Humanos, ya que en su base de datos se almacena toda la información de los empleados y se muestra en una forma amigable. Los niveles de control no sólo deben efectuarse a altura del log-in (ingreso) de la aplicación sino también de los accesos por fuera de esa aplicación, por generadores de reportes, herramientas de programación con conexión a las bases de datos y herramientas de administración de la base de datos. Dentro de la aplicación se deben definir perfiles de accesos debidamente restringidos y con auditoría activada para poder hacer una trazabilidad de los datos modificados.
La Base de datos como repositorio de la aplicación de Recursos Humanos es uno de los lugares centrales a proteger, pero está claro que no es lo único, ya que la información que los usuarios de Recursos Humanos extraen de la base de datos y analizan almacenando el resultado en el servidor de archivos o en el disco local de su estación de trabajo, lugar donde esos datos son altamente vulnerables, incluso después de borrados. Hoy en día, las bases de datos como SQL-Server y Oracle brindan numerosas herramientas para proteger los datos. SQL-Server en su versión 2008 ha incorporado muchas mejoras de seguridad y encriptación. Por su parte, con Vault, Oracle ofrece todo un entorno de seguridad que limita el control total del administrador de Base de datos (DBA).
Por otro lado, no hay que olvidarse de proteger los back-up de las bases de datos ni los entornos de“testing” o “desarrollo”, que suelen tener réplicas de las bases de producción sin tratamiento de los datos y, en general, sin toda la seguridad que se aplica en los entornos de producción. Los entornos de“testing” y “desarrollo” tienen acceso ilimitado tanto a personal técnico interno como externo, quienes tienen el conocimiento y las herramientas para extraer la información.
Encriptación para accesos a través de Internet e e-mails
Los accesos a aplicaciones basadas en Internet, deben ser bien analizadas en lo que se refiere a la seguridad del tráfico encriptado, certificado del site y analizar, si fuera posible, certificados en el puesto de trabajo.
El e-mail es un tema que no escapa a la preocupación de quienes trabajan en seguridad. Es importante advertir que hay gran cantidad de robo de información a través del e-mail, tanto a nivel interno como externo. El e-mail puede ser interceptado y la información contenida es fácilmente visible. Los archivos adjuntos entre destinatarios de alto rango pueden ser mirados, entonces, se debe encriptar la información enviada. No hay que olvidar que el administrador controla las colas de entrada y salida de e-mail, al igual que los back-up. Hay que tratar de no utilizar sistemas de correos públicos ya que sus cuentas son “hakeadas” a menudo y más si con la misma clave tienen un sistema de chat asociado.
Almacenamiento de Archivos Temporarios y Back-up
Los Archivos de salida de los sistemas de gestión de Recursos Humanos se hacen vulnerables una vez que han sido exportados y permanecen en carpetas públicas o temporarias del disco. En general, estos archivos son de formato plano, tipo TXT, legibles y modificables. Nos referimos a archivos para hacer la acreditación bancaria, legales, transferencia a los sistemas de AFIP o archivos Excel. Se recomienda determinar carpetas seguras y con políticas de limpieza estricta de las mismas. El envío de estos archivos por e-mail debe ser encriptado.
El manejo de los Back-up, tanto de las bases de datos como de los archivos de usuarios y estaciones de trabajo del personal del área de Recursos Humanos, deberán ser tratados en forma encriptada ya que todos los recaudos que se tomen en la red pueden ser vulnerados si alguien toma el back-up no encriptado y lo restaura en otro equipo en el cual es el administrador, entonces, tendrá control total del mismo. Habitualmente, los back-up se suelen guardar en lugares seguros fuera de la compañía y son transportados por cadetería interna o externa, no es la primera vez que alguien es robado -o no- y pierde nuestro backup. A primera vista no parecería grave, y es así en el caso de que no hubiera sido planificado, de lo contrario, toda la información estará en manos indeseadas.
Sobre la impresión de documentos
La impresión de información del área de Recursos Humanos es un tema clave, el área debe tener impresoras de acceso físico restringido y debería tener limitada la posibilidad de imprimir en impresoras públicas de la red.
La destrucción de información confidencial tanto en papel como en medios de almacenamiento como pendrives, CD o DVD, debe ser considerada y concientizar al personal del área sobre el riesgo de no hacerlo.
Resumen de las Consideraciones de Seguridad
Para una mayor seguridad general en el sector de Recursos Humanos, hay que tener en cuenta los siguientes aspectos:
- Políticas de Seguridad más estrictas y centralizadas. Si es necesario, consultar a especialistas de Seguridad informática.
- Políticas de encriptación de la información.
- Políticas de encriptación del tráfico de la información.
- Circuitos de control de acceso y de vigilancia sobre el área.
- Mantener las bases de datos en forma externa.
- Auditar la seguridad con periodicidad.
- Contratos de confidencialidad con todo el personal.
- Contratos de confidencialidad con proveedores de servicios vinculados a información que queremos proteger y, asimismo, exigir que el proveedor lo tenga con sus empleados.
- Si utiliza encriptación, encripte TODO, si no, es fácilmente detectable dónde está la información importante.
Resumen de las Vulnerabilidades:
- Accesos a las Aplicaciones de Gestión de Recursos Humanos.
- La Base de Datos de la Aplicación de Recursos Humanos.
- La red.
- Los e-mail.
- Archivos exportados o temporarios.
- Entornos de Testing y Desarrollo.
- Los Back-up.
- Impresión de información confidencial.
- Destrucción de papeles confidenciales.
Un informe sobre una encuesta realizada en 2009 en los Estados Unidos por Symantec y Ponemom Institute, releva que:
- 59% de los ex – empleados reconoce haber robado información de la compañía en la que trabaja.
- 53% de los empleados que se llevó información admite que lo hizo en CD, DVD; 42% lo hizo con una unidad USB y 38% envió archivos vía email.
- 79% de los encuestados tomó datos sin permiso del empleador.
- 82% de los consultados dijo que sus empleadores no llevaron a cabo una auditoría ni revisión de los documentos antes de que el encuestado dejara su trabajo.
- 24% de los encuestados tenía acceso al sistema o red de su empleador después de haber salido de la compañía.
La encuesta ha tenido mucha repercusión y es una señal de alerta que debe hacer que tomemos todos los recaudos posibles en cuanto a la protección de la información confidencial existente en forma electrónica en la compañía.
Con la referencia a este informe se quiere mostrar que hay una combinación peligrosa entre interés interno sobre los datos y el ahora un ex–empleado, donde la investigación también muestra que el 61% de los encuestados mostró tener una opinión desfavorable de su ex–empleador. Es muy importante cuidar esta vulnerabilidad en la posible fuga de información.
El área de Recursos Humanos es la primera en enterarse que un empleado va a ser incorporado o desvinculado, es por eso que debería ser el área que tome acción al respecto. Generalmente, hoy en día, el área de Recursos Humanos se limita a solicitar al área de Informática o Seguridad Informática, que tome las acciones. Un planteo muy interesante es la integración y automatización de estas tareas vinculadas al sistema de gestión de recursos humanos, de forma tal que no exista la posibilidad de mantener activos los accesos a sistemas una vez que ha sido dada la baja de un empleado.