Los recursos humanos y la
seguridad de la información: El recurso humano es una de
las principales fuentes de riesgo para la seguridad de la información
por lo tanto en este dominio del estándar ISO27001 se tratan los aspectos que
se deben tener en cuenta antes, durante y después de la relación laboral. Se
incluyen en este apartado los términos y condiciones de contratación, los
programas de concienciación, formación y capacitación, los procesos
disciplinarios y los puntos a tener en cuenta en caso de cese de la relación
laboral o cambio de puesto de trabajo como pueden ser la devolución de activos
y la suspensión de las credenciales de acceso.
Los recursos humanos son quizá el componente más crítico al
momento de garantizar las tres características de la seguridad de la información: integridad, confidencialidad y disponibilidad, por lo tanto
deben adoptarse controles y prácticas de gestión que ayuden a mitigar el impacto de los riesgos
que por este factor se pudieran materializar, dentro de los cuales podemos
observar los siguientes:
7.1 Antes de la contratación
Actividades de control del riesgo
7.1.1 Investigación de antecedentes: Se deberían realizar
revisiones de verificación de antecedentes de los candidatos al empleo en
concordancia con las regulaciones, ética y leyes relevantes y deben ser
proporcionales a los requerimientos del negocio, la clasificación de la
información a la cual se va a tener acceso y los riesgos percibidos.
7.1.2 Términos y condiciones de contratación: Como parte de su
obligación contractual, empleados, contratistas y terceros deberían aceptar y
firmar los términos y condiciones del contrato de empleo, el cual establecerá
sus obligaciones y las obligaciones de la organización para la seguridad de
información.
7.2
Durante la contratación
Actividades de control del riego
7.2.1 Responsabilidades de gestión: La Dirección debería requerir
a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en
concordancia con las políticas y los procedimientos.
7.2.2 Concienciación, educación y capacitación en SI: Todos los
empleados de la organización y donde sea relevante, contratistas y usuarios de
terceros deberían recibir entrenamiento apropiado del conocimiento y actualizaciones
regulares en políticas y procedimientos organizacionales como sean relevantes
para la función de su trabajo.
7.2.3 Proceso disciplinario: Debería existir un proceso formal
disciplinario comunicado a empleados que produzcan brechas en la seguridad.
7.3 Cese o cambio de puesto de trabajo
7.3.1 Cese o cambio de puesto de trabajo: Las responsabilidades
para ejecutar la finalización de un empleo o el cambio de éste deberían estar
claramente definidas, comunicadas a empleado o contratista y asignadas
efectivamente.
Según el caso se podría
hasta retirar los derechos de los que disfrutase el empleado un día antes de su
salida, y si participara en grupos de trabajo, éstos deberían tenerlo en
conocimiento para dejar de compartir información con él.
En los casos relacionados con el cambio
de puesto de trabajo dentro de la organización el Administrador del Sistema
deberá revocar todos los privilegios excesivos que el usuario tuviera en el
puesto actual respecto al nuevo puesto a desempeñar.
En conclusión este procedimiento no solo corresponde al encargado de seguridad de la
información sino que va de la mano con el área de gestión de recursos humanos o
contratación puede generarse con su colaboración .
De extremo a extremo la empresa debe
revisar muy bien sus controles administrativos sobre la seguridad de la
información en cuanto a los recursos humanos.
No hay comentarios:
Publicar un comentario
Has tus comentarios