Los últimos dos años han visto un aumento en los candidatos fraudulentos que solicitan puestos en el sector de la tecnología. Esto da como resultado recursos gastados para contrataciones inadecuadas, pero también puede generar riesgos significativos, como violaciones de seguridad cibernética resultantes de amenazas internas.
Siempre ha habido una tentación para los candidatos de exagerar su experiencia profesional, con una minoría que lo lleva demasiado lejos y tergiversa deliberadamente sus credenciales. Esto rara vez tiene una intención maliciosa, pero causa problemas.
“Un amigo mío estaba contratando gente de SAP”, recuerda Colin Tankard, director general de Digital Pathways. “La empresa estaba en modo de puesta en marcha, por lo que estaban tratando desesperadamente de incorporar a todos estos especialistas para cuando ganaran acuerdos. Cuando los enviaron a Holanda para hacer esta instalación de SAP, descubrieron que no sabían nada”.
Se necesita tiempo y recursos para entrevistar y reclutar personas, todo lo cual debe repetirse si un candidato se ha tergiversado. “Toma alrededor de 23 horas y media por candidato”, dice Nick Shah, fundador y presidente de Peterson Technology Partners. “Si entrevistas a 10 personas, son más de 230 horas. Eso es mucha mano de obra. Si esa persona se queda contigo durante seis meses, le estás pagando una cantidad increíble de salario, solo para descubrir que acababa de terminar la escuela”.
También ha habido casos de candidatos que se postulan con motivos ocultos. Aquí, el objetivo no es solo un atajo en su trayectoria profesional, sino acceder a información comercialmente confidencial. Aunque este tipo de espionaje industrial es raro, es una amenaza viable.
“Las empresas que se ocupan de infraestructura crítica podrían correr el riesgo de emplear a personas con la capacidad de causar estragos a escala nacional, mientras que las empresas que se ocupan de información financiera o personal podrían correr el riesgo de perder información confidencial”, dice Dave Lear, líder arquitecto de seguridad en una organización de usuarios finales. “Cualquiera de estos escenarios podría dar lugar a sanciones o penalizaciones y daños a la reputación, lo que, a su vez, podría afectar la capacidad de la empresa para continuar operando”.
Los rápidos avances en la informática significan que el sector de la tecnología tiene un mercado de reclutamiento competitivo y el trabajo remoto ha significado que el reclutamiento ya no está limitado por área, lo que lleva a más solicitantes.
“El talento siempre ha sido bastante alto, incluso antes de la pandemia”, dice Shah. “Tomó una pausa cuando llegó la pandemia, pero después de tres meses, las organizaciones volvieron a contratar a los mejores talentos. La pandemia abrió espacio para contratar a personas que no estaban en la misma área, lo que aumentó la demanda”.
Entrevistas presenciales vs remotas
Tras el cambio al trabajo remoto durante los confinamientos, las entrevistas se realizaron en línea utilizando herramientas como Microsoft Teams o Zoom.
Las entrevistas remotas han brindado a los candidatos la oportunidad de tergiversarse deliberadamente. Ha habido casos de personas que utilizan a terceros para proporcionarles respuestas a través de un auricular, e incluso casos en los que la persona que fue entrevistada con éxito no fue la persona que realmente fue contratada.
Se pueden tomar varias medidas para mitigar el riesgo de candidatos fraudulentos. Entrevistar a los candidatos en persona ayuda significativamente, porque reduce la oportunidad de que los candidatos usen medios externos para tergiversarse. “Si se invita a un candidato a una entrevista, el lenguaje corporal a menudo puede decir más que las palabras que usa el candidato”, dice Lear. “El uso de posiciones defensivas o responder preguntas vagamente podrían ser signos de un individuo nervioso, ya sea por intentos de ocultar la verdad o simplemente porque se sienten incómodos en situaciones formales”.
Sin embargo, la adopción generalizada del trabajo remoto e híbrido ha significado que las entrevistas en persona no siempre son una solución viable. Las entrevistas en línea siempre deben realizarse de tal manera que el candidato sea claramente visible y no use auriculares. “Tienen que estar en su computadora, hablando directamente a la máquina”, dice Shah. “Debe haber suficiente luz en la habitación para que puedas ver cómo se mueve la boca. Si los candidatos tienen dificultades técnicas, en las que no pueden compartir su pantalla o encender su video, les pediré que lo reprogramen cuando tengan todo esto disponible. De lo contrario, no continuaré con la entrevista”.
Verificación de antecedentes y verificación de antecedentes
Las verificaciones básicas de antecedentes son útiles, pero solo pueden llegar hasta cierto punto y no necesariamente confirman la identidad. “La investigación cuidadosa de los empleados es vital para garantizar que tenga las personas adecuadas en la empresa”, dice Lear. “El uso de controles de empleo básicos (derecho al trabajo, etc.) puede ser útil, pero vale la pena considerar controles mejorados, como los controles de identidad, financieros y de antecedentes penales. Estos dependerán de la empresa y el puesto solicitado, pero según mi experiencia, pueden ser importantes para garantizar que los candidatos tengan un motivo válido para postularse”.
La verificación para confirmar la identidad del candidato, junto con su experiencia y calificaciones, requiere examinar los detalles de antecedentes del candidato contactando a las organizaciones y personas involucradas. “He visto un aumento en los correos electrónicos que me llegan sobre ex empleados”, dice Tankard. “Están rastreando su CV hasta compañías anteriores. Tenemos que volvernos más sofisticados al hacer estos controles”.
Algunos campos, como los servicios de defensa e inteligencia, tienen requisitos obligatorios de investigación de antecedentes de seguridad. “En mi campo, es un requisito tener una autorización de seguridad nacional para cualquier función”, dice Lear. “He descubierto personas a las que se les ha suspendido o retirado la autorización por diversas razones. En este caso, fue fácil de descubrir, ya que el Security Vetting del Reino Unido [UKSV] La agencia se comunicará con el empleador para divulgar esta información, incluso si el individuo no lo hace.
“En todos los casos, estas personas han sido suspendidas del trabajo, en espera de una investigación, luego de lo cual han sido reincorporados o retirados de la empresa, según el resultado. No sería tan fácil descubrir tales casos si la UKSV no estuviera involucrada. Sin embargo, estar atento a las señales de advertencia es vital para garantizar la seguridad de la empresa y de todos sus empleados”.
Las verificaciones de antecedentes no son infalibles. Si un candidato no ha sido condenado por un delito, entonces una verificación CRB estándar arrojará un resultado negativo; por ejemplo, las acusaciones y los asuntos pendientes no se destacan en estos. Cualquier discrepancia encontrada en los antecedentes del candidato puede ser indicativa de tergiversación y requiere una mayor investigación.
Cada organización debe determinar el nivel apropiado de verificación de CRB, pero también nunca confiar únicamente en las verificaciones de antecedentes para detectar candidatos fraudulentos. En su lugar, se debe aplicar una vigilancia continua de los posibles riesgos de seguridad.
Gestión de acceso y monitorización de red
Es aquí donde los sistemas de gestión de acceso e identidad demostrarán su valía, ya que pueden designar los permisos de un nuevo empleado. Estos derechos de acceso solo deben permitir a los empleados acceder a la información que necesitan para desempeñar sus funciones. Naturalmente, el rol de un empleado se expande y evoluciona con el tiempo. Como tal, estos derechos de acceso deben revisarse con regularidad, y los permisos redundantes se interrumpen cuando ya no se necesitan.
Los sistemas de monitoreo de red se pueden usar para detectar comportamientos sospechosos en la red. El algoritmo de aprendizaje automático genera un patrón de comportamiento aceptable para los empleados. “Construyes una imagen durante un período de tiempo del patrón de trabajo de una persona: la hora en que comienza y finaliza, los datos a los que accede, sus rutas alrededor de la red”, dice Tankard. “Muy a menudo, los captarás si están tratando de ingresar a lugares en los que no están permitidos”.
Cualquier comportamiento posterior del usuario dentro de la red que no esté dentro de los límites aceptados, como intentar acceder a información restringida o intentar realizar descargas grandes fuera del horario comercial normal, se notificará a los administradores de la red.
El monitoreo de los empleados es otra opción, pero es importante tener en cuenta que la vigilancia en el lugar de trabajo nunca debe ser abrumadora. Esto no solo generaría una gran cantidad de datos que deben ser curados y revisados, sino que también afectará la moral de los empleados debido a la falta de confianza percibida.
En un entorno de oficina, los primeros indicadores de actividad potencialmente sospechosa serán presenciados por colegas. Esto incluye a los empleados que preguntan sobre información que no está relacionada con su función. El trabajo remoto puede dificultar la detección de actividades sospechosas, pero también reduce el riesgo de espionaje físico o el uso de la contraseña de otra persona.
Proceso de denuncia de irregularidades
La denuncia de irregularidades se ha estigmatizado en los últimos años, ya que un denunciante puede ser visto como un “soplón”, cuando en realidad solo está preocupado. Proporcionar un proceso anónimo de denuncia de irregularidades permite a los empleados informar sus inquietudes sin compartir detalles personales.
“Muchas empresas tienen una política de denuncia de irregularidades”, dice Tankard. “Obviamente están alentando a las personas, si tienen una preocupación o sienten que algo anda mal, a poder ir a algún lado y no ser vilipendiados por hacerlo”.
La mayoría de las veces, estos informes serán intrascendentes y se explicarán por un simple descuido o curiosidad sobre la organización en su conjunto. Sin embargo, algunos informes pueden ser indicadores de una posible actividad maliciosa y justifican una mayor investigación. Tener políticas de informes para tales eventualidades permite a las organizaciones responder a las inquietudes rápidamente.
Aunque entrevistar a los candidatos en persona niega muchos riesgos asociados con las entrevistas en línea, limita el alcance de los solicitantes. Con las medidas adecuadas implementadas, las organizaciones pueden entrevistar de forma remota a personas de un grupo de talentos sin restricciones geográficas, mientras se protegen de tergiversaciones y actividades maliciosas.