· 32692 Suscriptores · 321 Usuarios Conectados
RSE
RSS
Búsqueda

Articulos

La Seguridad de la Información en los Recursos Humanos (II)

Daniel Barriuso - 13/10/2003
Secciones:

Comunicación

,

Gestión del conocimiento

,

Software

Es fundamental que todos los empleados asuman su responsabilidad en el cumplimiento de la normativa interna de seguridad en la empresa. No hay política de seguridad que funcione por sí sola: es necesario que los empleados la conozcan, entiendan y respeten.

 

Normativa interna y compliance

En este aspecto, Recursos Humanos debe participar activamente en el soporte al cumplimiento normativo:

  • Definición: las normas de seguridad deben estar alineadas con la Estrategia Corporativa y de Recursos Humanos.

Las normas de seguridad deben facilitar la Gestión de Recursos Humanos (temas como la regulación del uso del e-mail o Internet pueden influir directamente en el rendimiento y satisfacción de los empleados).

Además, las normas deben ser compatibles con la legislación laboral aplicable. No es posible imponer obligaciones o sanciones que se opongan a libertades y derechos del empleado. En este sentido, tanto Recursos Humanos como el área Legal deben validar la normativa de seguridad.

Algunos puntos básicos que se deben cubrir con la normativa interna son:

  • Clasificación de información

  • Intercambio, almacenamiento y destrucción de la información

  • Protección de datos personales

  • Uso de claves

  • Uso del e-mail

  • Uso de equipos

  • Control de virus

    • Comunicación: la normativa de seguridad debe ser publicada oficialmente y ser accesible por todos los empleados. Es recomendable asegurarse de que todos los empleados conocen la normativa mediante sesiones informativas al incorporarse a la empresa, seminarios de refuerzo periódicos y la firma de un manual de cumplimiento en el que se detalle toda la normativa interna.

    • Responsabilidad: la responsabilidad de la seguridad de la información es de todos y cada uno de los empleados. Todos los empleados son responsables de salvaguardar la información que reciben, crean o controlan.

    Cada empleado ha de cumplir las normas, pero la cadena de responsabilidad no acaba ahí. Cada superior directo es responsable de la supervisión del cumplimiento y de poner los medios organizativos necesarios para que todos sus empleados puedan cumplir con sus obligaciones. Asimismo los Directores de Área o Departamento deben asegurarse de que existan los medios materiales y organizativos necesarios, ya que son los máximos responsables del cumplimiento normativo por parte sus empleados.

    • Sanciones: las sanciones disciplinarias derivadas del incumplimiento de las normas de seguridad han de ser públicas y guardar una proporción razonable. La naturaleza de estas sanciones es principalmente coercitiva, pero no debe dudarse en aplicarlas cuando sea necesario.

     

    Procedimientos de emergencia

    En caso de emergencias o desastres, una correcta planificación puede marcar la frontera entre la desaparición y la supervivencia del negocio. Y lo que es más importante, puede salvar la integridad de los propios empleados.

    Tras los sucesos acaecidos el 11 de Septiembre, se comprobó que muchas de las empresas que no habían previsto este tipo de situaciones en un plan de continuidad de negocio fueron abocadas a su desaparición. La coordinación en la evacuación de un edificio o la organización de las medidas de recuperación del negocio tras un desastre no son tareas que se puedan dejar a la improvisación. Un buen plan de continuidad de negocio ha de ser diseñado, comunicado y probado con antelación.

    Acompañando a las medidas técnicas tales como la realización y externalización de backups con la información crítica, se han de definir una serie de medidas organizativas destinadas a salvaguardar y proteger a los empleados y sus capacidades:

    • Plan de evacuación: cada edificio debe tener un plan de evacuación mediante el cual todos los empleados sepan qué deben hacer en caso de emergencia, se definan responsables de coordinar dichas situaciones y se establezca un punto de reunión seguro.

    • Para ser efectivos, los planes de evacuación se han de probar periódicamente y ser fácilmente accesibles. Publicar la información en la intranet o la distribución de tarjetas con el diagrama de evacuación y los teléfonos de emergencia son medidas muy útiles.

    • Funciones críticas: la identificación de las funciones críticas para reestablecer el negocio puede simplificar las tareas de recuperación ante desastres. Desde Recursos Humanos se debe fomentar la definición de las funciones críticas de cada área y las personas encargadas de su realización. De este modo, después de una contingencia se pueden centrar los esfuerzos en reestablecer lo antes posible aquellas funciones más importantes.

    • Asimismo, es una buena práctica designar a una persona de respaldo para cada función. Se debe evitar el riesgo de que sólo una persona sea capaz de realizar una función crítica o de que información vital esté sólo en poder de un empleado.

    • Lugar de respaldo: la previsión de un lugar de respaldo alejado de la zona del desastre, con puestos de trabajo preparados para su uso, permite que se retomen las actividades en un espacio de tiempo mucho más corto. Cada Organización debe elegir la estrategia de recuperación que más se ajuste a sus necesidades. Las posibilidades varían mucho en función del tiempo de respuesta buscado y el coste que se puede asumir, desde tener preparados puestos de trabajo alternativos para todos los empleados, hasta acordar con un tercero el alquiler de algunos puestos para el caso de una emergencia. Una solución razonable en términos de coste/beneficio es la siguiente:

    • Definir con cada departamento el número de puestos e infraestructura mínima necesaria.

    • Si se dispone de varios edificios en la Organización, definir en cada uno de ellos qué puestos podrían ser utilizados por otros empleados en caso de emergencia, de modo que el edificio dañado pueda alojar al personal mínimo necesario en otro lugar y el edificio anfitrión funcione con el mínimo definido.

    • Si no se dispone de varios edificios en la Organización, llegar a un acuerdo con un tercero que nos garantice el número de puestos necesarios en un lugar suficientemente alejado (existen empresas que ofrecen estos servicios).

     

    La información interna del departamento de Recursos Humanos

    Hasta ahora hemos analizado cómo desde Recursos Humanos se puede ayudar a proteger la información de la Organización, pero no debemos olvidar que el propio departamento de Recursos Humanos es uno de los que mayor información sensible maneja.

    Información como el sueldo de los empleados, desempeño profesional o bajas laborales, pertenece al departamento de Recursos Humanos y es considerada confidencial en cualquier sector.

    La necesidad de proteger los datos personales excede el mero interés empresarial. Desde hace más de una década la legislación española protege el honor y la intimidad de los datos personales y familiares. Primero mediante la derogada Ley Orgánica 5/1992 conocida como LORTAD, y más recientemente con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, conocida como LOPD. La LOPD otorga una serie de derechos a las personas cuyos datos sean objeto de tratamiento, y establece las obligaciones de quienes efectúen dichos tratamientos.

    Por la naturaleza intrínseca de los datos de Recursos Humanos las obligaciones establecidas en la LOPD deben ser consideradas con sumo rigor.

    En primer lugar debemos tener en cuenta el tipo de datos que se manejan en el departamento. Según la ley existen tres niveles: nivel bajo (cualquier dato personal), medio (infracciones administrativas o penales, hacienda pública, servicios financieros) y alto (ideología, religión, creencias, origen racial, salud, o vida sexual). Cuanto mayor sea el nivel de los datos, mayores son las posibles sanciones (de hasta 600.000 € por dato) y las medidas de seguridad exigidas.

    Como mínimo, en Recursos Humanos se manejan datos de nivel medio (datos financieros), pero es muy común que el nivel realmente sea el alto: información sobre bajas laborales o discapacidades otorgan al fichero de empleados el nivel alto y convierten al departamento de Recursos Humanos en el de mayor importancia en la protección de datos personales.

    Sería muy complejo entrar a detallar las medidas de seguridad que deben estar presentes. El mejor consejo podría ser analizar la situación con el departamento de Seguridad o especialistas externos e implementar las medidas correspondientes. El área de Recursos Humanos debe ser proactivo en el cumplimiento de la ley y la protección de sus datos.

    Por último, no conviene no olvidar que, según el artículo 12 de la LOPD, aunque la gestión de nóminas o trámites legales esté subcontratada, la titularidad de los datos y responsabilidad final no puede ser delegada. Existe la obligación de asegurar que cualquier tercera parte protege la información adecuadamente.

    Comentarios

    Añadir comentarios en este artículo.
    Para participar en los comentarios deber logearse o crearse una cuenta de usuario.
    Login
    email
    clave
    Grupo RHM de Comunicación
    rrhhmagazine.com - Recursos Humanos
    canalrrhh.com - Videos de RRHH
    postgradum.com - Masters RRHH
    empresaformacion.com - Formación Subvencionada
    guiarrhh.com - Directorio RRHH
    red social latina - Redes Sociales RRHH
    Grupo RHM
    evaluacionesrh.com - Software RRHH
    quienesquienrh.com - Directores de RRHH
    RaúlPírizWordpress.com - Blog Recursos Humanos
    rhmediciones.com - Libros Recursos Humanos
    red social española - Redes Sociales RRHH
    Quiénes somosColaboradoresQué ofrecemosAviso LegalContactar
    ©Copyright rrhhMagazine Atención al cliente: Tfno.: 902 366 132 • Lunes a Viernes de 8 a 15h.