La seguridad en los sistemas de Recursos Humanos
Los datos que se administran en el área de Recursos Humanos presentan mayor interés a nivel interno que externo, más allá de que algún competidor directo pueda estar interesado. Sin embargo, se deben cuidar ambos frentes. Mauricio Heidt, director General de RH Pro, analiza los puntos críticos de la administración de recursos humanos y las técnicas y herramientas para proteger el principal capital de toda empresa: su información.

Por Mauricio Heidt 
Director General de RH Pro
www.rhpro.com.ar

El acceso a la información de recursos humanos

Los datos contenidos en herramientas de gestión (Software de Administración de Recursos Humanos, bases de datos, Planillas Excel, etc.) tienen la posibilidad de ser accedidos por personal con conocimientos técnicos y con permisos especiales sobre ellos como, por ejemplo, administradores de redes, administradores de bases de datos, etc.

El punto es determinar qué es lo que puede hacer con los datos la persona autorizada a accederlos, de modo de tratar de diseñar acciones preventivas. El conocimiento puede ser transmitido a la competencia, utilizado para negociar internamente o simplemente para divulgar información que internamente podría ocasionar daños operativos o sociales, ya que en la información de Recursos Humanos no sólo se cuenta con informes dinerarios sino también con información más blanda pero muy sensible como informes médicos, gestión del conocimiento de la compañía, informes del desempeño, planes de acción, objetivos, etc., datos muy importantes para el desarrollo de la compañía.

La seguridad en la red corporativa

La red, tanto la local como la externa, e Internet deben ser estrictamente analizadas por especialistas y hay que realizar un monitoreo continuo sobre los accesos e intentos de acceso a la información confidencial. Hoy es imposible -o casi imposible- por cuestiones operativas, aislar un servidor de las redes, y si se hace, hay que analizar otro tipo de riesgos a los cuales se verá sometido por no estar en red, como back-up, actualizaciones, etc. Existen casos en los que se aísla el servidor de Recursos Humanos; luego, el administrador se sienta frente a él para hacerle actualizaciones; finalmente, hace un back-up que almacena en un lugar accesible o se envía un e-mail con una planilla de cálculo analizada y detallada, con lo cual todo el aislamiento realizado -con sus complicaciones- resulta un esfuerzo inútil. Las aplicaciones deben permitir integrar su seguridad con la seguridad de la red, como por ejemplo Active Directory de Microsoft, de esta manera las políticas de seguridad son aplicadas en forma centralizada y se expanden al resto de las aplicaciones. En general, las redes cuentan con herramientas para garantizar la seguridad de los recursos que administran, lo importante es que estén correctamente configuradas y monitoreadas por el área que corresponda.

Controles de acceso a la aplicación de recursos humanos

Una de las principales claves de seguridad la determinan los niveles de control de acceso a la aplicación central de Recursos Humanos, ya que en su base de datos se almacena toda la información de los empleados y se muestra en una forma amigable. Los niveles de control no sólo deben efectuarse a altura del log-in (ingreso) de la aplicación sino también de los accesos por fuera de esa aplicación, por generadores de reportes, herramientas de programación con conexión a las bases de datos y herramientas de administración de la base de datos. Dentro de la aplicación se deben definir perfiles de accesos debidamente restringidos y con auditoría activada para poder hacer una trazabilidad de los datos modificados.

La Base de datos como repositorio de la aplicación de Recursos Humanos es uno de los lugares centrales a proteger, pero está claro que no es lo único, ya que la información que los usuarios de Recursos Humanos extraen de la base de datos y analizan almacenando el resultado en el servidor de archivos o en el disco local de su estación de trabajo, lugar donde esos datos son altamente vulnerables, incluso después de borrados. Hoy en día, las bases de datos como SQL-Server y Oracle brindan numerosas herramientas para proteger los datos. SQL-Server en su versión 2008 ha incorporado muchas mejoras de seguridad y encriptación. Por su parte, con Vault, Oracle ofrece todo un entorno de seguridad que limita el control total del administrador de Base de datos (DBA).

Por otro lado, no hay que olvidarse de proteger los back-up de las bases de datos ni los entornos de “testing” o “desarrollo”, que suelen tener réplicas de las bases de producción sin tratamiento de los datos y, en general, sin toda la seguridad que se aplica en los entornos de producción. Los entornos de “testing” y “desarrollo” tienen acceso ilimitado tanto a personal técnico interno como externo, quienes tienen el conocimiento y las herramientas para extraer la información.

Encriptación para accesos a través de Internet e-mails

Los accesos a aplicaciones basadas en Internet, deben ser bien analizadas en lo que se refiere a la seguridad del tráfico encriptado, certificado del site y analizar, si fuera posible, certificados en el puesto de trabajo.

El e-mail es un tema que no escapa a la preocupación de quienes trabajan en seguridad. Es importante advertir que hay gran cantidad de robo de información a través del e-mail, tanto a nivel interno como externo. El e-mail puede ser interceptado y la información contenida es fácilmente visible. Los archivos adjuntos entre destinatarios de alto rango pueden ser mirados, entonces, se debe encriptar la información enviada.

No hay que olvidar que el administrador controla las colas de entrada y salida de e-mail, al igual que los back-up. Hay que tratar de no utilizar sistemas de correos públicos ya que sus cuentas son “hakeadas” a menudo y más si con la misma clave tienen un sistema de chat asociado.

Almacenamiento de archivos temporarios y back up

Los Archivos de salida de los sistemas de gestión de Recursos Humanos se hacen vulnerables una vez que han sido exportados y permanecen en carpetas públicas o temporarias del disco. En general, estos archivos son de formato plano, tipo TXT, legibles y modificables. Nos referimos a archivos para hacer la acreditación bancaria, legales, transferencia a los sistemas de AFIP o archivos Excel. Se recomienda determinar carpetas seguras y con políticas de limpieza estricta de las mismas. El envío de estos archivos por e-mail debe ser encriptado.

El manejo de los Back-up, tanto de las bases de datos como de los archivos de usuarios y estaciones de trabajo del personal del área de Recursos Humanos, deberán ser tratados en forma encriptada ya que todos los recaudos que se tomen en la red pueden ser vulnerados si alguien toma el back-up no encriptado y lo restaura en otro equipo en el cual es el administrador, entonces, tendrá control total del mismo. Habitualmente, los back-up se suelen guardar en lugares seguros fuera de la compañía y son transportados por cadetería interna o externa, no es la primera vez que alguien es robado -o no- y pierde nuestro backup. A primera vista no parecería grave, y es así en el caso de que no hubiera sido planificado, de lo contrario, toda la información estará en manos indeseadas.

Sobre la impresión de documentos

La impresión de información del área de Recursos Humanos es un tema clave, el área debe tener impresoras de acceso físico restringido y debería tener limitada la posibilidad de imprimir en impresoras públicas de la red. La destrucción de información confidencial tanto en papel como en medios de almacenamiento como pendrives, CD o DVD, debe ser considerada y concientizar al personal del área sobre el riesgo de no hacerlo.

Resumen de las consideraciones de seguridad

Para una mayor seguridad general en el sector de Recursos Humanos, hay que tener en cuenta los siguientes aspectos:
• Políticas de Seguridad más estrictas y centralizadas. Si es necesario, consultar a especialistas de Seguridad informática.
• Políticas de encriptación de la información.
• Políticas de encriptación del tráfico de la información.
• Circuitos de control de acceso y de vigilancia sobre el área.
• Mantener las bases de datos en forma externa.
• Auditar la seguridad con periodicidad.
• Contratos de confidencialidad con todo el personal.
• Contratos de confidencialidad con proveedores de servicios vinculados a información que queremos proteger y, asimismo, exigir que el proveedor lo tenga con sus empleados.
• Si utiliza encriptación, ENCRIPTE TODO, si no, es fácilmente detectable dónde está la información importante.

Resumen de las vulnerabilidades:

• Accesos a las Aplicaciones de Gestión de Recursos Humanos.
• La Base de Datos de la Aplicación de Recursos Humanos.
• La red.
• Los e-mail.
• Archivos exportados o temporarios.
• Entornos de Testing y Desarrollo.
• Los Back-up.
• Impresión de información confidencial.
• Destrucción de papeles confidenciales.

Un informe sobre una encuesta realizada en 2009 en los Estados Unidos por Symantec y Ponemom Institute, releva que:

• 59% de los ex - empleados reconoce haber robado información de la compañía en la que trabaja.

• 53% de los empleados que se llevó información admite que lo hizo en CD, DVD; 42% lo hizo con una unidad USB y 38% envió archivos vía email.

• 79% de los encuestados tomó datos sin permiso del empleador.

• 82% de los consultados dijo que sus empleadores no llevaron a cabo una auditoría ni revisión de los documentos antes de que el encuestado dejara su trabajo.

• 24% de los encuestados tenía acceso al sistema o red de su empleador después de haber salido de la compañía.
(http://www.symantec.com/es/mx/about/news/release/article.jsp?prid=20090226_01)

La encuesta ha tenido mucha repercusión y es una señal de alerta que debe hacer que tomemos todos los recaudos posibles en cuanto a la protección de la información confidencial existente en forma electrónica en la compañía.

Con la referencia a este informe se quiere mostrar que hay una combinación peligrosa entre interés interno sobre los datos y el ahora un ex–empleado, donde la investigación también muestra que el 61% de los encuestados mostró tener una opinión desfavorable de su ex–empleador. Es muy importante cuidar esta vulnerabilidad en la posible fuga de información.

El área de Recursos Humanos es la primera en enterarse que un empleado va a ser incorporado o desvinculado, es por eso que debería ser el área que tome acción al respecto. Generalmente, hoy en día, el área de Recursos Humanos se limita a solicitar al área de Informática o Seguridad Informática, que tome las acciones.

Un planteo muy interesante es la integración y automatización de estas tareas vinculadas al sistema de gestión de recursos humanos, de forma tal que no exista la posibilidad de mantener activos los accesos a sistemas una vez que ha sido dada la baja de un empleado.

No existen noticias relacionadas con este tema.
Post:

Mensaje:


Expectativas para la publicidad online
Ideas prácticas de seguimiento o Follow-up
La reputación de las marcas se construye online
El fenómeno B2S: Business to Small
Empresa familiar: de emprendedor a empresario
Un poco de tensión es necesaria
Se conocen los oradores nacionales de TEDxChange
Los consumidores dicen que vende tener imágenes de productos en 3D
Una Red Social de préstamos en Argentina
Una ayudita para el Skpye
HP Laserjet Pro M1212nf: La multifunción 4 en 1
Ahorrá con tu impresión: recuperá tu inversión
Láser, inalámbrica y accesible: ¡aprovechá la promo!
HP Officejet 4500: pequeña, profesional y todo en uno
HP Officejet Pro 8500W: todo en uno inalámbrico
Redes Sociales: ¿Moda o revolución?
Comunicaciones unificadas: el mejor aliado
Marketing para clientes del XXI
Especialización, integración y regionalización, las tres claves del negocio logístico actual
Lo que pasó en Expo Logisti-k 2010
Pymes: reducción de costos logísticos
CyLoG, tecnología al servicio de la logística
Casos de éxito y experiencias sobre Logística: GS1 Argentina
Administrando todos los datos desde una solución sólo para PyMEs
La insatisfacción laboral generar que dos de cada cinco profesionales cambien de trabajo
Cuatro claves del empleado feliz y productivo
Entrevistas para conocer al postulante
Claves para demostrar que es imprescindible en su trabajo
Cómo mejorar la Gestión del Capital Humano durante una crisis global
Tácticas radicales: trabajar duro y descansar más duro aún
Es como arrear gatos: Un caso ejemplar para cualquiera que se enfrenta con un liderazgo complicado
Normalización internacional en responsabilidad social - ISO 26000
Matemática en clave 2x4
Cómo financiar una empresa
Como sucede muchas veces, el dinero disponible por el emprendedor no cubre las necesidades mínimamente razonables para poner ni siquiera en marcha el proyecto. O una parte de las aportaciones es no dineraria (maquinaria, etc.) con lo que no todo el capital "empieza en el banco". Hay que obtener más dinero. En este artículo, los aspectos para potenciar las finanzas de su empresa.
Javier Pérez, de Gigaset: “Todo nuestro portfolio se puede adaptar a los requerimientos de una PyME”
Gigaset acaba de presentar en Argentina el primer teléfono inalámbrico híbrido. Con el A580 IP se pueden realizar y recibir llamadas usando la red de telefonía común o a través de Internet, todo esto sin estar conectado a una PC. En esta nota, el Gerente de Producto y Customer Care del Hub Gigaset Argentina, da cuenta de las características que lo convierten en un modelo único en el mercado ideal para PyMEs: “Este equipo permite que los argentinos comencemos a familiarizarnos con la telefonía IP en forma más masiva al igual que en el resto el mundo”, asegura el ejecutivo.
HP presenta un datacenter hecho a la medida de las pymes
HP presentó en Argentina el nuevo DataCenter de Rendimiento Optimizado. En una charla íntima con Christian Bonilla, Consultor Senior de Critical Facilities para HP América Latina y el Caribe, y Hugo Bertini, Gerente de Desarrollo de Negocios de la misma región, los ejecutivos se refirieron a esta nueva propuesta, sus ventajas y diferenciales. Según los ejecutivos, el nuevo centro de datos proporciona un rápido acceso y aumento en la capacidad de información que se compone de servicios integrales de soporte global, y que puede ser implementado en sólo seis semanas reduciendo significativamente el tiempo para construir centros de datos de salida. Por sus características de tamaño, posibilidad de transporte y costo, este nuevo producto se convierte en una solución ideal para PyMEs y para aquellas empresas que necesiten mover su centro de datos.
Gustavo Viceconti, de NeuralSoft: “Hay mucho por hacer en el segmento PyMEs”
Las nuevas oficinas de la empresa fueron el lugar elegido para presentar, junto a Claves Información Competitiva, un estudio sobre las PyMes en el país y su relación con el software ERP y la tecnología en general. Según el CEO de Neuralsoft "la diversidad de soluciones tecnológicas es cada vez mayor y el desconocimiento de su alcance abre un abanico de oportunidades para el mercado tecnológico de Argentina que hay que saber aprovechar”. Enterate en esta nota los principales resultados del informe.
La seguridad en los sistemas de Recursos Humanos
Los cartuchos originales: un ahorro de costos comprobado
Las nuevas notebooks son cada vez más versátiles
Entregaron subsidios por 4.100.000 y se relanzó Expo Tecnopyme Activa 09
Leña del árbol caído