Las compañías tecnológicas son las grandes depositarias de nuestros datos más personales. Transacciones, comunicaciones a través de redes sociales, consultas en buscadores… todo está almacenado en enormes infraestructuras de datos con millones de dólares en inversión para garantizar su privacidad y seguridad. Pero más allá de los cortafuegos tecnológicos, los empleados de estas compañías asumen la responsabilidad de ejecutar los protocolos de protección y de ejercer una auténtica cultura de seguridad.
El recientemente publicado “Workplace Security Whitepaper by Facebook” recoge información sobre cómo de cómo esta compañía ha hecho de la seguridad un elemento crítico durante todo el ciclo de vida del empleado.
- Seguridad en los procesos RH: Sujeto a lo que establecen las leyes y regulaciones aplicables en cada país, todos los empleados y trabajadores eventuales de Facebook deben completar verificaciones de antecedentes durante su proceso de incorporación. La empresa los revisa antes de dar acceso al lugar de trabajo y a los sistemas de información, incluidos los dispositivos emitidos por la empresa o los tokens de acceso físico (por ejemplo, credenciales de identificación, múltiples factores basados en hardware tokens de autenticación). También han de firmar una declaración de confidencialidad en el momento mismo de la contratación, con la que aceptan los términos descritos por la compañía en este ámbito y que son puestos a disposición del empleado para su pleno conocimiento. Esta cláusula incluye, además, las sanciones disciplinarias asociadas a los distintos niveles de incumplimiento. Asimismo, la compañía es muy proactiva a la hora de instar a sus empleados a que informen a sus gerentes, a recursos humanos, al área legal o a los equipos de auditoría internos ante cualquier sospecha de incumplimiento en su entorno.
Los incumplimientos pueden ser respecto a:
- Leyes, reglas y regulaciones gubernamentales.
- Contabilidad, controles contables internos y asuntos de auditoría.
- Código de conducta de Facebook u otras políticas internas.
2. Capacitación en seguridad: Todos los trabajadores deben completar una formación específica sobre confidencialidad y protocolos de seguridad en la compañía que incluye:
- las políticas y los principios clave de privacidad de Facebook,
- las leyes y las regulaciones de privacidad,
- las auditorías de seguridad de proveedores, la privacidad y seguridad del tratamiento de datos,
- prácticas generales relacionadas con la cultura de seguridad.
Además, los equipos de ingeniería, ventas y operaciones tienen un “bootcamp” adicional de entre cuatro y seis semanas de duración.
3. Ingeniería de seguridad: Un equipo multidisciplinar integrado por ingenieros de seguridad, científicos de datos, “hackers” internos e ingenieros forenses, entre otros, se encarga de mantener a punto los cuatro pilares de la ingeniería de seguridad de Facebook:
- Prevención: para reducir de forma proactiva la capacidad de ataque externo.
- Detección y respuesta: para identificar y responder a las amenazas
- Medición y validación: para evaluar de forma independiente los procedimientos de prevención, detección y respuesta.
- Programa y operaciones: para agilizar la comunicación, impulsar el compromiso, y optimizar los procesos internos y externos en materia de seguridad.
4. Gestión de proveedores: El equipo de seguridad aplica un protocolo específico para verificar el alineamiento de los protocolos de terceras partes que colaboren con la cadena de valor de la compañía.
