martes, 13 de marzo de 2012

ASI2 - ISO 27002: Dominio 8 - Seguridad de los Recursos Humanos




Continuando con los Dominios de la ISO 27002 (Numeral 8) o Anexo A de la ISO 27001 (Anexo A8), hoy vamos a revisar la Seguridad del Personal. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen tres objetivos de control:
8.1 Antes de la contratación laboral

Asegurar que los empleados, contratistas y usuarios de terceras partes entienden sus responsabilidades y sean aptos para las funciones para las cuales están considerados, y reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.

Las responsabilidades de la seguridad se deberían definir antes de la contratación laboral,
describiendo adecuadamente el trabajo y los términos y condiciones del mismo.

Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se
deberían seleccionar adecuadamente, especialmente para trabajos sensibles.

Los empleados, contratistas y usuarios de terceras partes de los servicios de procesamiento
de información deberían firmar un acuerdo sobre sus funciones y responsabilidades de seguridad

8.2 Durante la vigencia del contrato laboral

Asegurar que todos los empleados, contratistas y usuarios de terceras partes estan conscientes de las amenazas y preocupaciones respecto a la seguridad de la información, sus responsabilidades y deberes, y que esten equipados para apoyar la política de seguridad de la organización en el transcurso de su trabajo normal, al igual que reducir el riesgo de error humano.


Es conveniente definir las responsabilidades de la dirección para garantizar que se aplica la seguridad durante todo el contrato laboral de una persona dentro de la organización.
Se debería brindar un nivel adecuado de concientización, educación y formación en los procedimientos de seguridad y el uso correcto de los servicios de procesamiento de información a todos los empleados, contratistas y usuarios de terceras partes para minimizar los posibles riesgos de seguridad.

Es conveniente establecer un proceso disciplinario formal para el manejo de las violaciones de seguridad.

8.3 Terminación o cambio de la contratación laboral

Asegurar que los empleados, los contratistas y los usuarios de terceras partes salen de la organización o cambian su contrato laboral de forma ordenada.

Se deberían establecer responsabilidades para asegurar la gestión de la salida de los empleados, contratistas o usuarios de terceras partes de la organización y que se completa la devolución de todo el equipo y la cancelación de todo el equipo y la cancelación de todos los derechos de acceso.


Los cambios en las responsabilidades y las relaciones laborales dentro de la organización se deberían gestionar como la terminación de la respectiva responsabilidad o contrato laboral según esta sección y todas las contrataciones nuevas se deberían gestionar como se describe en el numeral 8.1

En pocas palabras, este es el propósito de la Norma:
La seguridad de los recursos humanos dentro de la organización, debe considerar como recurso humano al personal interno, temporal o partes externas en el aseguramiento de las responsabilidades que son asignadas a cada uno, asociadas con sus respectivos roles, para reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.

Todo el recurso humano que hace parte de la Organización debe estar consciente de las amenazas y vulnerabilidades relacionadas con la seguridad de la información y sus responsabilidades y deberes en el apoyo que deben brindar a la política de seguridad de la organización establecida para la reducción del riesgo de error humano.

Profundizando en los requisitos de la Norma:

1 Seguridad antes de la contratación
Se deben realizar en conjunto con el área de recursos humanos una valoración del proceso de verificación de antecedentes que se debe aplicar al personal que ingrese a la Organización, teniendo en cuenta el tipo y clasificación de la información a la que tendría acceso en sus respectivos cargos y responsabilidades. Se debe tener en cuenta que no todos los procesos de contratación en la organización deben ser manejados de igual forma, cada rol y sus responsabilidades debe tener un manejo diferente con relación a la verificación de antecedentes, procedencia, formación, conocimientos, etc.

2 Seguridad durante la contratación
Se deben asegurar en la contratación del personal de la Organización, acuerdos de confidencialidad de la información que se manejarán durante el tiempo que labore dentro de la organización y una vez finalizado el contrato.

Debe quedar documentado en acuerdos de confidencialidad, materiales de concientización, contratos de empleo entre el empleado y la organización la responsabilidad de los trabajadores relacionada con la protección de la información manejada por la Organización.

Anualmente se debe considerar la posibilidad de revisar en conjunto con los empleados los términos, acuerdos y condiciones expuestas en los contratos laborales, para garantizar el compromiso que adquirieron con relación a la seguridad de la información con la organización.

3 Seguridad en la finalización o cambio de empleo
Cuando los empleados finalizan sus contratos laborales con la organización o se retiran de ésta, se deben tener en cuenta varias actividades que se deben realizar para garantizar la gestión apropiada de activos de la organización que tenía a su cargo.
El propósito fundamental de este Dominio de las la ISO 27002 ó Anexo A de la ISO 27001 es proteger la información de la organización inclusive desde antes de darle acceso a la misma a un tercero, sea este empleado, contratista, proveedor, etc.; así como durante toda la duración del contrato y su finalización, buscando evitar que cualquier persona que haya tenido acceso a la información por motivos laborales pueda darle un uso inadecuado a la misma.

No hay comentarios:

Publicar un comentario

Has tus comentarios