SEGURIDAD INFORMÁTICA Y HACKING ÉTICO

Introducción

El proceso disciplinario formal en una organización debe definir lo que ésta considera una infracción de seguridad. Además, se debe indicar las directrices para clasificar dicha infracción según su gravedad y las medidas disciplinarias que la empresa puede aplicar en caso de ocurrencia.

El proceso disciplinario formal se requiere en el control A.8.2.3 del anexo A del estándar internacional ISO 27001.

En España, el proceso disciplinario formal está muy enlazado al estatuto de los trabajadores y a los convenios colectivos.

El proceso disciplinario formal en la ISO 27001

La norma ISO 27001 establece que debe existir un proceso disciplinario formal que regule las acciones disciplinarias que se llevarán a cabo en caso de violaciones de seguridad que se cometan en la organización.

En la ISO 27002, se describe con más detalle este control. Es importante que el proceso disciplinario formal no comience hasta haber verificado que se ha cometido una violación de seguridad. Esta comprobación está relacionada con otro control de la norma, el A.13.2.3, referente a la recopilación de evidencias.

Por otro lado, el proceso disciplinario formal debe garantizar que se le da un trato justo al infractor o infractores y que se aplica el principio de proporcionalidad en las medidas disciplinarias, teniendo en cuenta la naturaleza y el impacto de la violación de seguridad en el negocio desde los puntos de vista financiero, legal y contractual.

Del infractor hay que valorar principalmente su reincidencia y la mala fé de la acción cometida. Además como veremos más adelante, en algunos convenios colectivos como el TIC, se indica que también deben valorarse los conocimientos del infractor y su puesto en la compañía. Se sobreentiende que con mayores conocimientos un infractor tiene menos excusa para cometer faltas y que cuanta más responsabilidad tenga en la compañía más se ha abusado de la confianza de la misma.

En caso de violaciones graves de seguridad, el proceso disciplinario debe contemplar la posibilidad de rescisión inmediata del contrato del trabajador, la eliminación de sus permisos de acceso físico y a los sistemas, de manera local y remota, y su acompañamiento al exterior de la organización. En caso de faltas graves o muy graves se deben haber verificado las faltas cometidas y se deben haber recabado las debidas evidencias. Además, se debe contar con la participación de los representantes de los trabajadores para velar por los derechos del trabajador en todo el proceso.

El principal valor del proceso disciplinario formal es su efecto disuasorio además del contingente.

El proceso disciplinario formal tal como se describe en la ISO 27001 y en la ISO 27002 nos suena raro en España. Hay que tener en cuenta que éstas son normas internacionales y como tal deben servir a todo tipo de profesionales y empresas, desde autónomos a multinacionales con miles de trabajadores. También hay que tener en cuenta que estos estándares no pueden contemplar aspectos legislativos concretos de cada país y que precisamente los derechos y obligaciones del trabajador son un aspecto que varía mucho dependiendo del pais donde nos encontremos.

El proceso disciplinario formal en España

En el caso de España, la regulación se realiza principalmente mediante el estatuto de los trabajadores y los correspondientes convenios colectivos. Las condiciones que dimanan de estas regulaciones podemos denominarlas globales.

Además de estas concidiciones generales, la Dirección de la organización, haciendo uso de sus facultades de dirección, puede establecer órdenes e instrucciones específicas.
Por otro lado, la organización puede acordar con los trabajadores condiciones particulares o personales que se definirán mediante clausulas que deben ser aceptadas y firmadas por los mismos para tener validez.

El Estatuto de los Trabajadores y los convenios colectivos sobreescriben cualquier tipo de clausula particular firmada con los trabajadores por lo que éstas nunca pueden contradecir lo que los primeros establecen, solo complementarlos.

El procedimiento recomendado para establecer un proceso disciplinario formal en la organización y la implementación de medidas técnicas de monitorización y control para verificar su cumplimiento sería el siguiente:

1. Recopilación de necesidades particulares de seguridad de la información de la organización basadas en un análisis de riesgos.
2. Recopilación de sugerencias entre los trabajadores.
3. Elaboración de borrador de proceso disciplinario formal.
4. Consenso con los representantes de los trabajadores respecto al proceso disciplinario formal.
5. Aprobación del proceso disciplinario formal por la Dirección.
6. Notificación del proceso disciplinario formal a todos los trabajadores con acuse de recibo y lectura.
7. Implementación de medidas técnicas de control y monitorización.

El Estatuto de los Trabajadores

Revisando el Estatuto de los Trabajadores destacamos los siguientes puntos más relevantes a tener en cuenta para la elaboración de un proceso disciplinario formal.

En el artículo 20, “Dirección y control de la actividad laboral”:

2. En el cumplimiento de la obligación de trabajar asumida en el contrato, el trabajador debe al empresario la diligencia y la colaboración en el trabajo que marquen las disposiciones legales, los convenios colectivos y las órdenes o instrucciones adoptadas por aquél en el ejercicio regular de sus facultades de dirección y, en su defecto, por los usos y costumbres. En cualquier caso, el trabajador y el empresario se someterán en sus prestaciones recíprocas a las exigencias de la buena fe.

3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.

En el “CAPÍTULO IV. FALTAS Y SANCIONES DE LOS TRABAJADORES” encontramos el artículo 58 con el mismo título del capítulo. En él se indica:

1. Los trabajadores podrán ser sancionados por la dirección de las empresas en virtud de incumplimientos laborales, de acuerdo con la graduación de faltas y sanciones que se establezcan en las disposiciones legales o en el convenio colectivo que sea aplicable.

2. La valoración de las faltas y las correspondientes sanciones impuestas por la dirección de la empresa serán siempre revisables ante la jurisdicción competente. La sanción de las faltas graves y muy graves requerirá comunicación escrita al trabajador, haciendo constar la fecha y los hechos que la motivan.

3. No se podrán imponer sanciones que consistan en la reducción de la duración de las vacaciones u otra minoración de los derechos al descanso del trabajador o multa de haber.

Más adelante, en el artículo 60 denominado “Prescripción” de la “SECCIÓN II. PRESCRIPCIÓN DE LAS INFRACCIONES Y FALTAS.” encontramos lo siguiente:

Respecto a los trabajadores, las faltas leves prescribirán a los diez días; las graves, a los veinte días, y las muy graves, a los sesenta días a partir de la fecha en que la empresa tuvo conocimiento de su comisión y, en todo caso, a los seis meses de haberse cometido.

Como puede observarse, la definición de falta leve, grave o muy grave no se especifica en el Estatuto de los Trabajadores sino que aparece en los respectivos convenios colectivos.

Veamos por ejemplo qué dice el convenio sectorial de las TIC al respecto.

XVI Convenio Sectorial TIC

En el convenio colectivo TIC se concretan distintos aspectos sobre faltas. El artículo 24 “Faltas y sanciones” indica lo siguiente:

1. Las faltas cometidas por los trabajadores al servicio de las empresas reguladas por este Convenio se clasificarán atendiendo a su importancia, reincidencia e intención, en leves, graves y muy graves, de conformidad con los que se dispone en el presente artículo y en las normas vigentes del ordenamiento jurídico laboral en lo que resulten de pertinente aplicación:

A) Se consideran faltas leves:

• Tres faltas de puntualidad en un mes, sin que exista causa justificada.
• La no comunicación con la antelación debida, de su falta al trabajo por causa justificada, a no ser que pruebe la imposibilidad de hacerlo.
• Falta de aseo y limpieza personal.
• Falta de atención y diligencia con los clientes.
• Discusiones que repercutan en la buena marcha de los servicios.
• Faltar al trabajo un día al mes sin causa justificada.
• La embriaguez ocasional.

B) Son faltas graves:

• Faltar al trabajo sin justificación dos días en un mes.
• La simulación de enfermedad o accidente.
• Simular la presencia de otro trabajador, valiéndose de su ficha, firma, tarjeta o medio de control.
• Cambiar, mirar o revolver los armarios y ropas de los compañeros sin la debida autorización.
• Las cometidas contra la disciplina en el trabajo o contra el respeto debido a sus superiores.
• La reincidencia en las faltas leves, salvo las de puntualidad, aunque sean de distinta naturaleza, dentro de un trimestre, cuando hayan mediado sanciones.
• El abandono del trabajo sin causa justificada.
• La negligencia en el trabajo cuando cause perjuicio grave.

C) Son faltas muy graves:

• Faltar al trabajo más de dos días al mes sin causa justificada. No se considera causa injustificada la falta al trabajo que derive de la detención del trabajador, mientras no se trate de sanción firme impuesta por la autoridad competente y siempre que el hecho de la detención haya sido puesto en conocimiento de la Dirección de la empresa antes de transcurridos cuatro días hábiles de ausencia al trabajo.
• El fraude, la deslealtad y abuso de confianza en las gestiones encomendadas.
• El hurto y el robo tanto a los demás trabajadores como a la empresa o a cualquier persona dentro de los locales de la empresa o fuera de la misma, durante acto de servicio. Quedan incluidos en este inciso, el falsear datos ante la representación legal de los trabajadores, si tales falsedades tienen como finalidad maliciosa el conseguir algún beneficio.
• El acoso por razón de origen racial o étnico, religión o convicciones, discapacidad, edad u orienta-ción sexual.
• El acoso sexual o por razón de sexo.
• La simulación comprobada de enfermedad
• Inutilizar, destrozar o causar desperfectos en máquinas, aparatos, instalaciones, edificios, enseres y departamentos de la empresa
• Haber recaído sobre el trabajador sentencia de los Tribunales de Justicia competentes por delito de robo, hurto, estafa y malversación, cometidos fuera de la empresa que pueda motivar desconfianza hacia su autor
• La continua falta de aseo y limpieza personal que produzca quejas justificadas de los compañeros
• La embriaguez durante el trabajo
• Dedicarse a trabajos de la misma actividad que impliquen competencia a la empresa, si no media autorización de la misma
• Los malos tratos de palabra u obra o falta grave de respeto y consideración a los jefes, compañeros o subordinados
• Abandonar el trabajo en puestos de responsabilidad
• La reincidencia en falta grave, aunque sea de distinta naturaleza, dentro del mismo trimestre, siempre que hayan sido objeto de sanción, y demás establecidas en el artículo 54 del texto refundido de la Ley del Estatuto de los Trabajadores.
  

Y a continuación encontramos las sanciones aplicables según la gravedad de la falta cometida:

A) Faltas leves:

• Amonestación verbal.
• Amonestación por escrito.
• Suspensión de empleo y sueldo un día.

B) Faltas graves:

• Suspensión de empleo y sueldo de uno a diez días.
• Inhabilitación, por plazo no superior a un año, para el ascenso a la categoría superior.

C) Faltas muy graves:

• Pérdida temporal o definitiva de la categoría profesional.
• Suspensión de empleo y sueldo de once días a dos meses.
• Inhabilitación durante dos años o definitivamente para pasar a otra categoría.
• Despido.
  

Según este convenio deberá tenerse en cuenta el grado de responsabilidad del infractor, su categoría profesional e impacto de la infracción en los demás trabajadores y en la empresa.

Además se indica:

3. La facultad de imponer las sanciones corresponde a la Dirección de la empresa, que pondrá en conocimiento de los representantes legales de los trabajadores las que se refieran a faltas graves o muy graves.

Será necesaria la instrucción de expediente en la imposición de sanciones a los trabajadores que ostentan cargos electivos sindicales, y en aquellos casos establecidos en la legislación en vigor o lo decida la empresa. La formación de expediente se ajustará a las siguientes normas:

a) Se iniciará con una orden escrita del Jefe de la empresa, con la designación del Instructor y del Secretario.
Comenzarán las actuaciones tomando declaración al autor de la falta y a los testigos, admitiendo cuantas pruebas aporten. En los casos de falta muy grave, si el instructor lo juzga pertinente, propondrá a la Dirección de la empresa la suspensión de empleo y sueldo del inculpado por el tiempo que dure la incoación del expediente, previa audiencia de los correspondientes representantes legales de los trabajadores.

b) La tramitación del expediente, si no es preciso aportar pruebas de cualquier clase que sean de lugares distintos a la localidad que se incoe, se terminará en un plazo no superior a veinte días. En caso contrario, se efectuará con la máxima diligencia, una vez incorporadas las pruebas al expediente.

c) La resolución recaída se comunicará por escrito, expresando las causas que la motivaron, debiendo firmar el duplicado el interesado. Caso de que se negase a firmar, se le hará la notificación ante testigos.

4. Las empresas anotarán en los expedientes personales de sus trabajadores las sanciones por faltas graves o muy graves que se les impongan, anotando también las reincidencias en las faltas leves. La prescripción de las faltas se producirá según lo establecido en el artículo 60.2 del texto refundido de la Ley del Estatuto de los Trabajadores.

Conclusiones

El proceso disciplinario formal es un documento que toda empresa debe elaborar, cuidar y mantener para protegerse, más legalmente que operativamente, ante violaciones de seguridad de la información. La legislación actual contempla a grandes rasgos estos casos y puede que resulte complicado aplicarla a casos reales de infracciones de seguridad. Las organizaciones deben acordar con sus empleados y documentar de forma clara y concisa estos temas, respetando los derechos de los empleados y velando por sus intereses.

En cualquier caso, no hay que olvidar que toda organización que desee establecer un proceso disciplinario formal debe consultar con especialistas la legalidad y robustez del mismo ya que en caso de llegar una disputa legal debe sostenerse adecuadamente y el caso particular de cada organización puede diferir.