10 enero 2011

Trabajar con personas

Un artículo publicado por Javier Cao relativo a las fugas de información en Renault me ha llevado a retomar una reflexión que planteé hace ya unos meses: para gestionar adecuadamente su seguridad, las organizaciones deben gestionar la "inteligencia emocional corporativa". O dicho de otra forma: los modernos departamentos de Recursos Humanos tienen mucho que decir en ésto de la seguridad.

Me explico. No hace falta decir que la seguridad depende de las personas. Depende de ellas, entre otras cosas, como origen de ciertas amenazas: las derivadas de sus acciones involuntarias (errores) y las derivadas de sus acciones voluntarias malintencionadas (ataques). Evidentemente estas últimas sean probablemente las más peligrosas de todas las amenazas posibles, ya que su impacto será el más elevado posible para cada atacante, pero es que además estos riesgos tienen realimentación positiva: su probabilidad de ocurrencia crece con el nivel de motivación contra la empresa, y esa misma motivación hace que el impacto crezca, ya que se buscará el mayor éxito posible en el ataque. Por tanto, las organizaciones que quieran minimizar estos riesgos tendrán que aplicar políticas activas de Recursos Humanos encaminadas a mantener contento al personal de la organización, con el fin de que los niveles de motivación contra la empresa sean bajos. Aplicando buenos salarios, motivando, estableciendo buenos mecanismos de recompensa y reconocimiento... En definitiva, haciendo todo lo que se espera de un moderno departamento de Recursos Humanos.

Sin embargo, el diálogo con RR.HH. suele ser una de las áreas más retadoras para un buen responsable de seguridad: clásicamente suelen ser tecnólogos, más acostumbrados a hablar de políticas de contraseñas que de motivación a los usuarios, y que normalmente se entienden mejor con las áreas técnicas (o en estos últimos tiempos incluso con la dirección) que con los psicólogos, sociólogos y gestores que suele haber en los departamentos de RR.HH. De hecho, ni siquiera a nosotros mismos nos suena convincente cuando vamos a pedirle a Recursos Humanos que tenga en cuenta la seguridad a la hora de establecer sus políticas. Habrá llegado el momento del reciclaje? Tendremos que aprender a hablar de premios y motivaciones? O quizás está llegando el momento de que el perfil del responsable de seguridad cambie? Espero vuestras opiniones al respecto.

2 comentarios:

Mariano del Rio dijo...

Creo que desde los 2 lados se debe cambiar, desde RRHH que muchas veces lo que menos hace es gestionar los RRHH y desde el CISO que por cuestiones políticas no habla o no toma temas de RRHH. Es totalmente cierto que las Cías que inviertan en bienestar para sus empleados, tendrán menos probabilidades de insiders, aunque el 100% seguro sabemos q no existe. La ISO27002 puede ser una referencia en cuestiones de este ámbito. Excelente post

Joseba Enjuto dijo...

Pues no tengo nada claro que la ISO 27002 sea suficiente referencia... La verdad es que no conozco la nueva revisión que se está creando, pero la actual me parece insuficiente en lo que se refiere a gestión de personas.