La importancia del factor humano
La seguridad de la información no depende únicamente de la tecnología. Las personas siguen siendo uno de los principales puntos de riesgo dentro de cualquier organización. Por este motivo, el Control 6.1 establece la necesidad de evaluar adecuadamente al personal antes de su incorporación y también a lo largo de su trayectoria en la empresa.
Este control busca garantizar que quienes tienen acceso a información, sistemas o activos críticos sean personas confiables, competentes y comprometidas.
¿En qué consiste el Control 6.1?
El proceso de evaluación de personal, conocido como screening, incluye todas las acciones destinadas a determinar si una persona es adecuada para un puesto específico. Este proceso no se limita a empleados, sino que también aplica a contratistas, becarios y colaboradores externos.
La evaluación puede realizarse en distintos momentos, desde la fase previa a la contratación hasta cambios de puesto o ampliaciones de responsabilidades. Además, el nivel de análisis debe ajustarse al riesgo asociado al rol, evitando tanto procesos excesivos como insuficientes.
Objetivo del control
El propósito principal del screening es reducir los riesgos asociados al factor humano. Una selección inadecuada puede derivar en incidentes de seguridad, errores operativos o incluso comportamientos malintencionados.
Por ello, este control se centra en evitar la incorporación o permanencia de personas que no sean confiables, no tengan las capacidades necesarias o no estén alineadas con las responsabilidades del puesto.
Factores clave en la evaluación
Uno de los elementos más importantes es la fiabilidad del candidato. Evaluar la confianza es esencial, especialmente cuando el puesto implica acceso a información sensible o sistemas críticos. En algunos casos, factores como la situación personal o financiera pueden influir en el nivel de riesgo.
La revisión de antecedentes penales también puede formar parte del proceso, siempre respetando la legislación vigente. Dependiendo del país, este tipo de verificación puede requerir justificación, consentimiento del candidato y cumplimiento de normativas de protección de datos.
En paralelo, el análisis de redes sociales puede aportar información adicional sobre el comportamiento del candidato, aunque debe realizarse con cautela. Es fundamental evitar cualquier tipo de discriminación y no basar decisiones en características personales protegidas.
Otro aspecto clave es la competencia profesional. La organización debe asegurarse de que la persona cuenta con los conocimientos y habilidades necesarios para desempeñar su función de forma segura. Esto implica validar experiencia, formación, certificaciones y, cuando sea posible, referencias laborales.
Finalmente, la motivación también juega un papel relevante. El nivel de compromiso del candidato puede influir directamente en su comportamiento y en su implicación con las políticas de seguridad de la organización.
Evaluación basada en roles
No todos los puestos presentan el mismo nivel de riesgo, por lo que la evaluación debe adaptarse a la criticidad de cada función. Muchas organizaciones utilizan matrices o criterios definidos para aplicar distintos niveles de verificación según el rol.
Este enfoque permite optimizar recursos y aplicar controles más estrictos en posiciones sensibles, sin generar una carga innecesaria en puestos de menor riesgo.
Evaluación continua
El proceso de evaluación no debe limitarse al momento de la contratación. Es recomendable realizar revisiones periódicas, especialmente cuando una persona accede a un puesto crítico, cambia de funciones o asume nuevas responsabilidades.
Este enfoque continuo ayuda a detectar cambios en el nivel de riesgo y a mantener un control adecuado a lo largo del tiempo.
Aplicación en empresas de desarrollo de software
En empresas de desarrollo de software, este control adquiere una relevancia especial debido al acceso que los empleados tienen a código fuente, infraestructura tecnológica y, en muchos casos, datos sensibles.
En entornos SaaS, donde la empresa gestiona directamente la infraestructura y los datos de múltiples clientes, el nivel de exigencia debe ser mayor. El riesgo de impacto es elevado, ya que un error o una mala práctica puede afectar a numerosos usuarios simultáneamente. En este contexto, es clave aplicar evaluaciones más rigurosas en roles críticos, reforzar el control de accesos y garantizar la formación en seguridad y privacidad.
Por el contrario, en modelos on-premise, el software se despliega en la infraestructura del cliente, lo que reduce la exposición directa a datos en producción. En estos casos, el foco se centra más en la calidad del desarrollo y en la aplicación de buenas prácticas de seguridad. La evaluación del personal se orienta principalmente a sus competencias técnicas y a su capacidad para desarrollar software seguro.
Aplicación en pequeñas empresas
Las pequeñas empresas suelen operar con recursos limitados, estructuras más simples y un mayor nivel de confianza entre sus miembros. Sin embargo, esto no elimina los riesgos asociados al factor humano.
En este contexto, el control debe aplicarse de forma proporcional y práctica. No es necesario implementar procesos complejos, pero sí establecer medidas básicas como la revisión de experiencia, la realización de entrevistas estructuradas y la asignación de accesos mínimos necesarios.
Uno de los principales riesgos en este tipo de organizaciones es el exceso de confianza y la concentración de privilegios en pocas personas. Por ello, es recomendable mantener cierto nivel de control, revisar accesos periódicamente y fomentar una cultura de seguridad.
Auditoría del control
Durante una auditoría, se evalúa si el control está correctamente implementado y alineado con los riesgos de la organización. Esto incluye analizar la justificación de su uso, la existencia de políticas y procedimientos, el cumplimiento de requisitos legales y la definición de responsabilidades.
También se revisa si el proceso se aplica de forma coherente y si existen mecanismos de seguimiento y mejora continua.
Conclusión
El Control 6.1 es una pieza clave para gestionar los riesgos relacionados con el factor humano. No se trata de complicar los procesos de selección, sino de aplicar evaluaciones adecuadas al nivel de riesgo.
Una correcta evaluación del personal no solo mejora la seguridad de la información, sino que también contribuye a construir organizaciones más sólidas, fiables y preparadas para afrontar los desafíos actuales.
