Programa de monitoreo y prevención “Curso Cayeron en Phishing”
A raíz de algunas consultas efectuadas por socios y socias que abrieron archivos externos no seguros y fueron notificados por el Área de Personas & Organización de amonestaciones por falta leve, debemos informar lo siguiente:
· Implementación programa de prevención. El banco se encuentra obligado bajo la normativa de la CMF a implementar medidas de prevención que permitan evitar ciberataques que pongan en riesgo la continuidad del negocio, la información y los activos de los clientes (RAN 20-10).
· Capacitación de trabajadores. Para dicho efecto, entre las medidas de prevención, el banco ha dispuesto que los trabajadores realicen el curso de Ciberseguridad “Cayeron en Phishing”, el cual tiene una duración aproximada de 10 minutos y entrega herramientas para identificar correos maliciosos que no deben ser abiertos en los equipos y servidores del banco. La realización de este curso tiene una justificación razonable.
· Trabajadores abrieron correos externos no seguros. Los trabajadores amonestados abrieron correos electrónicos no seguros, al revisar su situación particular se detectó que no habían hecho el curso señalado, por lo que se les envió un requerimiento para que lo hicieran.
· Motivo de las amonestaciones. Según lo conversado con P&O, la amonestación no se aplicó por haber abierto el archivo “phishing” sino por no haber efectuado el curso de prevención de esta amenaza que se les requirió realizar después.
· Medida disciplinaria invocada. El banco cursó amonestaciones “leves” por no realizar dichos cursos, medida que está comprendida dentro de las sanciones que el empleador puede aplicar y está prevista en el reglamento interno (artículos 99 y 100). El Código de Conducta refiere a la responsabilidad de cada trabajador a “revisar constantemente tanto los riesgos inherentes al trabajo como los riesgos externos que pueden poner en peligro a la corporación”.
· Del derecho del trabajador a efectuar descargos ante esta medida disciplinaria. En el mismo Reglamento Interno (Art. 99 y 100) se establece que el trabajador tendrá derecho a realizar sus descargos ante esta medida disciplinaria en caso de desconocerla o no estar de acuerdo con su aplicación.
En resumen, es correcto que el banco instruya realizar estos cursos ante una notificación de haber caído en “phishing” y quien no lo haga se expone a ser amonestado conforme a lo establecido en el reglamento interno. Sin embargo, también se puede solicitar la revisión de la amonestación si los fundamentos de la misma no son correctos, aportando antecedentes. Este derecho a ser oído lo puede hacer en forma directa con el gestor de P&O o a través del sindicato.-
Comments