Departamentos de RHHH que Googlean candidatos
Hace unos días, en #twestivalba (http://buenosaires.twestival.com)
conversabamos con algunos amigos, a partir de los controles que algunas
empresas aplican sobre el acceso a internet, redes sociales y
mensajeros instantáneos, sobre básicamente 2 temas.
La posibilidad que el acceso/uso a Twiitter, Facebook y otras redes sociales. El uso de MSN, Gtalk y otros mensajeros. Implique un riesgo elevado para las empresas.
El habito en aumento de las consultoras de RRHH y departamentos de RRHH de Googlear a los postulantes – candidatos a cubrir una posición abierta.
Sobre 1) Solo nos concentramos en si, el uso de esas herramientas implica un riesgo muy elevado para las empresas y si fuera así, cuales son las posibles respuestas-soluciones-acciones que podrían evaluarse. No hablábamos sobre si el uso o acceso a esas herramientas/comunidades reduce o aumenta el nivel de productividad.
En mi opinión, como especialista en seguridad, la primera conclusión es que SI pero es al mismo tiempo muy dependiente del tipo de empresa, el tipo de usuario y la función que dicho usuario cumpla en la empresa. Cualquier actividad que pueda ser:
1.a) vector de propagación de virus u otros malwares,
1.b) Repositorio de información potencialmente utilizada para ingeniería Social.
Deben ser contempladas – concientizadas – supervisadas – Auditadas/controladas.
Obviamente hay todo un abanico de opciones entre contemplar y controlar, de hecho la palabra control, sobre todo cuando se aplica a la web 2.0, al contenido de la web 2.0 (accedido o generado) es uno de los “asuntos” mas calientes y mas difícil de tratar, en cualquier ambiente.
1.a) Pero volviendo a la idea del riesgo en si mismo relacionado con virus y otros malwares, debo reconocer que es solo otro vector de propagación junto con la navegación pura (sin filtros), La instalación de aplicaciones no homologadas (con privilegio de administrador), el uso de pendrives (con vaya a saber que cosa dentro) y el correo electrónico (con hábitos de uso poco cuidadoso).
Las acciones necesarias y posibles, comienzas por implementar herramientas de seguridad en perímetro y en los puestos de trabajo + campaña de concientización sobre el uso correcto/seguro del pc que cada usuario tiene delante.
1.b) Otro tema muy diferente tiene que ver con la información que una persona podría o decide subir a sus redes sociales, sean estas abiertas o cerradas.
En términos humanos, no tengo dudas de que se tienen los mismos derechos y necesidades sin importar si sos: Responsable de una mesa de dinero en un banco, Cirujano cardiovascular, Inspector de transito, Estudiante universitario (de cualquier carrera…), Docente, Comerciante, Modelo, Actor, Ama de casa, Legislador, Gerente comercial, etc, etc, etc.. PERO, en términos laborales-profesionales, me guste o no, vivimos en una sociedad basada en imágenes (Reales, Imaginarias, Físicas, Virtuales) que se asocian indiscutiblemente con la Autoridad, la expectativa y sobre todo con la posición de Negociación, en consecuencia ciertos derechos se ven disminuidos en cuanto podrían afectar responsabilidades asumidas voluntariamente.
Aquí, si, es normal encontrar una diferencia de trato (en ambos sentidos) dependiendo de la actividad profesional-laboral que se realiza. Es posible que muchos quisiéramos que no sea así, pero somos seres humanos y casi que no se puede evitar. Es como si el uniforme transformara a las personas.
Podríamos decir que si todas las decisiones se basaran en criterios claramente definidos y con total cobertura de posibilidades, entonces no habría posibilidad de error, lo que inmediatamente eliminaría la necesidad de contar con muchas de esas personas…. NO, no me imagino como eso podría funcionar, de hecho no estoy muy seguro de que evolucione en ese sentido….. Entonces, necesariamente se requiere del factor humano para tomar muchas decisiones.. y el Humano, es fácilmente influenciable.
Para influenciar a una persona hay que conocerla, descubrir que lo hace vibrar, que necesita, a que aspira, que cosas le gustan, que lo enoja… y luego, sacar provecho de eso. SI, ESTAMOS HABLANDO DE INGENIERIA SOCIAL y se hace desde siempre, en todos los ámbitos, es condición humana y no tiene nada que ver con la tecnología…(Mi hija lo hace por lo menos una vez por semana conmigo y bastante bien le va).
Ahora, las nuevas tecnologías de la información y de las comunicaciones (web 2.0) se nos abre como un escenario nuevo, sin limites, flexible, rico, seductor.. Mágico y Yo me pregunto: ¿Fuimos, Somos, educados para este nivel potencial exposición?. ¿Tenemos la capacidad para defendernos de un posible ataque de ingeniería social, que utilizara la misma información que nosotros publicamos libremente en nuestra contra?.
Entonces volvemos a la pregunta habitual y algo de psicología de la seguridad. ¿Soy Target, objetivo potencial de un ataque?¿tengo, soy algo valioso para un atacante, delincuente? ¿Cuantos de nuestros controles de seguridad se sostienen sobre la hipótesis de “seguridad por oscuridad” que tiende a desaparecer cuando aumenta la exposición en las redes sociales?
Si la respuesta es … puede ser, entonces es posible que deba reflexionar, un extra, por voluntad propia, cada vez que decida hacer publica cierto tipo de información, mostrar cierto tipo de fotos, opinar sobre cierto tipo de asuntos.
... y con la misma lógica, por que no pensar que una organización (o empresa) que decide proteger sus activos (físicos o virtuales), quiera solicitádselo directamente?
Claro que no alcanzara con que se lo solicite y definitivamente de nada servirá que se lo prohíba (basta con tener un celular de ultima generación para saltarse todas las “fronteras” de la empresa. entiendo que además, esta misma organización deberá preocuparse de concientizarlo, capacitarlo y eventualmente controlarlo porque lamentablemente a algunos les aplica el mote de “hijos del rigor”.
Si por otro lado respuesta es NO, aun queda preguntarse por el dia de mañana y lo invito a que se proyecte, porque tal vez hoy no, pero el dia de mañana, pretenda ser o estar en alguna posición que definitivamente lo convierta en objetivo, aunque tal vez para entonces, ya estemos entrenados para no ser vulnerables a ese tipo de ataques.
Como resumen de este punto: Me preocupa mucho mas el potencial ataque via ingeniería social, que un eventual virus que se filtre en un pendrive. No fuimos, no somos educados para enfrentar ataques de ingeniería social y peor, estamos siendo alentados a ventilar información que permite a casi-cualquiera crear un perfil sobre nosotros,, que nos guste o no podría ser utilizado en día de mañana en nuestro propio perjuicio.
Ayer hablábamos sobre que el mismo riesgo ocurre cuando se asiste a una fiesta y uno conoce una mujer hermosa, entretenida, interesada por uno… Que al enterarse de que trabajamos en tal o cual lugar, nos pide un favor… SI, ES CIERTO, Pero la probabilidad de que eso ocurra aumenta, cuando todo el mundo podría saber quien es la persona detrás de “Tal o cual trabajo” y alguien decide contratar a una hermosa mujer y la manda a buscarte en la fiesta a la que TODO el mundo podría saber que vas a asistir … Decime, ¿¿te gustan rubias o morochas?? ¿acaso estas técnicas no las usaban los Romanos en sus tiempos de gloria?
Sobre 2) las reflexiones del punto 1, tienen otra dimensión, otro frente diagnostico y análisis: Todavía no trabajo en esa empresa, pero me estoy postulando para trabajar allí.
Supongamos que soy el CEO de una compañía y necesito contratar un gerente de compras, contrato una consultora de RRHH y me presenta 3 candidatos.
Supongamos que decido investigar sobre ellos, no solo analizando su CV sino que además utilizando las herramientas disponibles en internet.
Sera posible que lo que encuentre en la web, sobre estas personas forme una imagen que luego interfiera (positiva o negativamente) en cualquier entrevista?
¿Acaso esa no es una de las formas como nos movemos normalmente por la vida, confianza transitiva?
¿Leer sobre lo que una persona piensa, ver sus fotos, seguir sus discusiones, conocer sus gustos… lo que esta debajo del uniforme, no dejaría sospechar el como reaccionara ese factor humano para tomar cierto tipo de decisiones?
¿Las empresas contratan solo en base al CV (primer filtro) o necesitan además esas reuniones para ver cuestiones de piel? y esas cuestiones de piel no son influenciadas por prejuicios (positivos o negativos) que podrían alimentarse en base a toda la información publicada (hecha publica) en internet?
Puede no ser legal. Pero los departamentos de RRHH y las consultoras de RRHH, googlean. ( Y Mucho), uno de los motivos esta relacionado con cumplir niveles de servicios, validar que los postulantes que serán presentados para su evaluación, han pasado los filtros de calidad (?) requeridos por el cliente / Área del negocio que lo necesita.
Otro de los motivos es que quienes contratan son personas que buscan a otras personas que van incorporarse a equipos que en la mayoría de los casos, ya se encuentran operando, asi que hay cuestiones que no se bajan a papel, pero que igual son validadas.
Porque no se trata solo de lo que publico o no publico, se trata de si soy coherente durante todo el día o creo que soy una persona de 9 a 18 y otra de 18 a 9.
En definitiva y como deje ver un poco mas arriba, el modelo de seguridad por oscuridad se esta muriendo, y a menos que decida volverse hippie y desconectarse de todo, (ya he escuchado algunas personas pensándolo seriamente) creo que deberá aprender a vivir con una presencia cada vez mas publica y un contexto propenso a interesarse en sus cosas, juicio incluido.
Fuente: CXO Community
La posibilidad que el acceso/uso a Twiitter, Facebook y otras redes sociales. El uso de MSN, Gtalk y otros mensajeros. Implique un riesgo elevado para las empresas.
El habito en aumento de las consultoras de RRHH y departamentos de RRHH de Googlear a los postulantes – candidatos a cubrir una posición abierta.
Sobre 1) Solo nos concentramos en si, el uso de esas herramientas implica un riesgo muy elevado para las empresas y si fuera así, cuales son las posibles respuestas-soluciones-acciones que podrían evaluarse. No hablábamos sobre si el uso o acceso a esas herramientas/comunidades reduce o aumenta el nivel de productividad.
En mi opinión, como especialista en seguridad, la primera conclusión es que SI pero es al mismo tiempo muy dependiente del tipo de empresa, el tipo de usuario y la función que dicho usuario cumpla en la empresa. Cualquier actividad que pueda ser:
1.a) vector de propagación de virus u otros malwares,
1.b) Repositorio de información potencialmente utilizada para ingeniería Social.
Deben ser contempladas – concientizadas – supervisadas – Auditadas/controladas.
Obviamente hay todo un abanico de opciones entre contemplar y controlar, de hecho la palabra control, sobre todo cuando se aplica a la web 2.0, al contenido de la web 2.0 (accedido o generado) es uno de los “asuntos” mas calientes y mas difícil de tratar, en cualquier ambiente.
1.a) Pero volviendo a la idea del riesgo en si mismo relacionado con virus y otros malwares, debo reconocer que es solo otro vector de propagación junto con la navegación pura (sin filtros), La instalación de aplicaciones no homologadas (con privilegio de administrador), el uso de pendrives (con vaya a saber que cosa dentro) y el correo electrónico (con hábitos de uso poco cuidadoso).
Las acciones necesarias y posibles, comienzas por implementar herramientas de seguridad en perímetro y en los puestos de trabajo + campaña de concientización sobre el uso correcto/seguro del pc que cada usuario tiene delante.
1.b) Otro tema muy diferente tiene que ver con la información que una persona podría o decide subir a sus redes sociales, sean estas abiertas o cerradas.
En términos humanos, no tengo dudas de que se tienen los mismos derechos y necesidades sin importar si sos: Responsable de una mesa de dinero en un banco, Cirujano cardiovascular, Inspector de transito, Estudiante universitario (de cualquier carrera…), Docente, Comerciante, Modelo, Actor, Ama de casa, Legislador, Gerente comercial, etc, etc, etc.. PERO, en términos laborales-profesionales, me guste o no, vivimos en una sociedad basada en imágenes (Reales, Imaginarias, Físicas, Virtuales) que se asocian indiscutiblemente con la Autoridad, la expectativa y sobre todo con la posición de Negociación, en consecuencia ciertos derechos se ven disminuidos en cuanto podrían afectar responsabilidades asumidas voluntariamente.
Aquí, si, es normal encontrar una diferencia de trato (en ambos sentidos) dependiendo de la actividad profesional-laboral que se realiza. Es posible que muchos quisiéramos que no sea así, pero somos seres humanos y casi que no se puede evitar. Es como si el uniforme transformara a las personas.
Podríamos decir que si todas las decisiones se basaran en criterios claramente definidos y con total cobertura de posibilidades, entonces no habría posibilidad de error, lo que inmediatamente eliminaría la necesidad de contar con muchas de esas personas…. NO, no me imagino como eso podría funcionar, de hecho no estoy muy seguro de que evolucione en ese sentido….. Entonces, necesariamente se requiere del factor humano para tomar muchas decisiones.. y el Humano, es fácilmente influenciable.
Para influenciar a una persona hay que conocerla, descubrir que lo hace vibrar, que necesita, a que aspira, que cosas le gustan, que lo enoja… y luego, sacar provecho de eso. SI, ESTAMOS HABLANDO DE INGENIERIA SOCIAL y se hace desde siempre, en todos los ámbitos, es condición humana y no tiene nada que ver con la tecnología…(Mi hija lo hace por lo menos una vez por semana conmigo y bastante bien le va).
Ahora, las nuevas tecnologías de la información y de las comunicaciones (web 2.0) se nos abre como un escenario nuevo, sin limites, flexible, rico, seductor.. Mágico y Yo me pregunto: ¿Fuimos, Somos, educados para este nivel potencial exposición?. ¿Tenemos la capacidad para defendernos de un posible ataque de ingeniería social, que utilizara la misma información que nosotros publicamos libremente en nuestra contra?.
Entonces volvemos a la pregunta habitual y algo de psicología de la seguridad. ¿Soy Target, objetivo potencial de un ataque?¿tengo, soy algo valioso para un atacante, delincuente? ¿Cuantos de nuestros controles de seguridad se sostienen sobre la hipótesis de “seguridad por oscuridad” que tiende a desaparecer cuando aumenta la exposición en las redes sociales?
Si la respuesta es … puede ser, entonces es posible que deba reflexionar, un extra, por voluntad propia, cada vez que decida hacer publica cierto tipo de información, mostrar cierto tipo de fotos, opinar sobre cierto tipo de asuntos.
... y con la misma lógica, por que no pensar que una organización (o empresa) que decide proteger sus activos (físicos o virtuales), quiera solicitádselo directamente?
Claro que no alcanzara con que se lo solicite y definitivamente de nada servirá que se lo prohíba (basta con tener un celular de ultima generación para saltarse todas las “fronteras” de la empresa. entiendo que además, esta misma organización deberá preocuparse de concientizarlo, capacitarlo y eventualmente controlarlo porque lamentablemente a algunos les aplica el mote de “hijos del rigor”.
Si por otro lado respuesta es NO, aun queda preguntarse por el dia de mañana y lo invito a que se proyecte, porque tal vez hoy no, pero el dia de mañana, pretenda ser o estar en alguna posición que definitivamente lo convierta en objetivo, aunque tal vez para entonces, ya estemos entrenados para no ser vulnerables a ese tipo de ataques.
Como resumen de este punto: Me preocupa mucho mas el potencial ataque via ingeniería social, que un eventual virus que se filtre en un pendrive. No fuimos, no somos educados para enfrentar ataques de ingeniería social y peor, estamos siendo alentados a ventilar información que permite a casi-cualquiera crear un perfil sobre nosotros,, que nos guste o no podría ser utilizado en día de mañana en nuestro propio perjuicio.
Ayer hablábamos sobre que el mismo riesgo ocurre cuando se asiste a una fiesta y uno conoce una mujer hermosa, entretenida, interesada por uno… Que al enterarse de que trabajamos en tal o cual lugar, nos pide un favor… SI, ES CIERTO, Pero la probabilidad de que eso ocurra aumenta, cuando todo el mundo podría saber quien es la persona detrás de “Tal o cual trabajo” y alguien decide contratar a una hermosa mujer y la manda a buscarte en la fiesta a la que TODO el mundo podría saber que vas a asistir … Decime, ¿¿te gustan rubias o morochas?? ¿acaso estas técnicas no las usaban los Romanos en sus tiempos de gloria?
Sobre 2) las reflexiones del punto 1, tienen otra dimensión, otro frente diagnostico y análisis: Todavía no trabajo en esa empresa, pero me estoy postulando para trabajar allí.
Supongamos que soy el CEO de una compañía y necesito contratar un gerente de compras, contrato una consultora de RRHH y me presenta 3 candidatos.
Supongamos que decido investigar sobre ellos, no solo analizando su CV sino que además utilizando las herramientas disponibles en internet.
Sera posible que lo que encuentre en la web, sobre estas personas forme una imagen que luego interfiera (positiva o negativamente) en cualquier entrevista?
¿Acaso esa no es una de las formas como nos movemos normalmente por la vida, confianza transitiva?
¿Leer sobre lo que una persona piensa, ver sus fotos, seguir sus discusiones, conocer sus gustos… lo que esta debajo del uniforme, no dejaría sospechar el como reaccionara ese factor humano para tomar cierto tipo de decisiones?
¿Las empresas contratan solo en base al CV (primer filtro) o necesitan además esas reuniones para ver cuestiones de piel? y esas cuestiones de piel no son influenciadas por prejuicios (positivos o negativos) que podrían alimentarse en base a toda la información publicada (hecha publica) en internet?
Puede no ser legal. Pero los departamentos de RRHH y las consultoras de RRHH, googlean. ( Y Mucho), uno de los motivos esta relacionado con cumplir niveles de servicios, validar que los postulantes que serán presentados para su evaluación, han pasado los filtros de calidad (?) requeridos por el cliente / Área del negocio que lo necesita.
Otro de los motivos es que quienes contratan son personas que buscan a otras personas que van incorporarse a equipos que en la mayoría de los casos, ya se encuentran operando, asi que hay cuestiones que no se bajan a papel, pero que igual son validadas.
Así:
Yo soy de la idea de que una persona es persona durante todo el día. y que puede ponerse un trabjo/profesion y ejecutarlo durante una parte de ese día, pero debajo sigue estando la misma persona, que de alguna manera influye inconscientemente en cada una de las decisiones que va a ser tomadas…..¿Como explicárselo a un adolescente?
Si tengo presencia web, es posible que me encuentren y me analicen .. y es posible que les guste lo que vean, porque si no tengo nada de que avergonzarme y la propia actividad web demuestra una coherencia a través del tiempo (es difícil escribir mucho sin que se termine filtrando algo de la esencia de quien escribe), algo que puedo mostrar con orgullo a mis hijos, a mis padres. Si es algo que podría hacer en el mundo Físico, pero decido hacerlo en el mundo virtual, entonces preferiría que lo hagan, que me encuentre y que me elija. así como soy.¿Estaremos llegando al punto?
¿Sera que el problema es imaginar que lo que hago en el mundo virtual (o lo que hago de mi vida privada) solo me afecta a mi y en absoluto a mis pares, familia, amigos, colegas, clientes?.Porque no se trata solo de lo que publico o no publico, se trata de si soy coherente durante todo el día o creo que soy una persona de 9 a 18 y otra de 18 a 9.
En definitiva y como deje ver un poco mas arriba, el modelo de seguridad por oscuridad se esta muriendo, y a menos que decida volverse hippie y desconectarse de todo, (ya he escuchado algunas personas pensándolo seriamente) creo que deberá aprender a vivir con una presencia cada vez mas publica y un contexto propenso a interesarse en sus cosas, juicio incluido.
Cierro con la siguiente idea
Estamos en un momento de transición hacia un “No estoy muy seguro” pero no es lo mismo tener 34, que tener 19 o 55 años, vemos las cosas de forma diferente, nos golpean, nos afectan de forma diferente… No promuevo la desconexión ni la paranoia, solo invito a la reflexión sobre el volverse consciente de hechos que están ocurriendo, después, si es decisión propia y a conciencia, adelante, bienvenido. Yo ya tome mi decisión.Fuente: CXO Community
Excelente reflexión. Mis felicitaciones :)
ResponderBorrarSaludos