Evaluación Personal:
Cada entidad responsable realizara la evaluación de riesgos del personal que tendrá acceso físico autorizado no escoltado y acceso lógico no supervisado a los ciber activos críticos, sea este, propio, externo y/o de la cadena de suministro, para otorgar y conservar el acceso lógico y físico autorizado.
Un ciber activo es aquello que hace parte de los equipos de las redes de control de subestaciones o de la red de control de las plantas. Cuando se habla de asegurar el perímetro físico y lógico se deriva de una normativa internacional y se buscó tropicalizar o ajustar los requerimientos para hacerlos viables en Colombia. Se busca asegurar los accesos, entonces se debe revisar quien ingresa y quien no. El estudio pide revisar a las personas que tengan contacto, es decir, todo quien ingrese a la planta, porque lo que dice la norma es que, si yo ingreso, ya soy un posible actor de un ciberataque, entonces se pide que se tengan los estudios de seguridad y hacer la validación del estudio cada 5 años.
La evaluación de riesgos del personal debe incluir:
Confirmar la identidad de las personas.
Estudio de seguridad incluyendo validación de antecedentes al inicio y con una revisión periódica no superior a cinco (5) años.
Para dar cumplimiento con el requerimiento se decidió construir el formato “Formato Autorización Personal Activo”, cuyo objetivo es el tratamiento de datos personales para asegurar el cumplimiento de la ley 1582. Con este, una vez avalado por el empleado, se daría inicio al estudio de seguridad o validación de antecedentes, el cual se realiza a través de un proveedor autorizado que garantiza la confidencialidad de la información (SINTECTO), siendo este quien realiza las consultas a los diferentes sistemas de información nacionales, sin generar visitas domésticas a los empleados, ni autorizar datos sensibles. (Algo muy similar a las consultas realizadas por el sector financiero en las centrales de riesgo).
Este tema se venía debatiendo desde el mes de febrero de 2022 y llegamos a un acuerdo donde se excluyen los datos sensibles y las visitas a domicilio. Las visitas domiciliarias seguirán, pero solamente para los procesos de selección de personal, esto con el fin de obtener información adicional y verificar la información proporcionada en el currículum vitae sobre un candidato a un puesto de trabajo.
Invitamos a los trabajadores a firmar el formato de “autorización referenciación y uso de datos personales” para dar cumplimiento al requerimiento regulatorio con el Consejo Nacional de Operación.