8. SEGURIDAD DE LOS RECURSOS HUMANOS
8.1 ANTES DE LA
CONTRATACIÓN LABORAL3)
Objetivo: asegurar que los empleados, contratistas y
usuarios de terceras partes entienden sus responsabilidades y sean aptos para
las funciones para las cuales están considerados, y reducir el riesgo de robo,
fraude o uso inadecuado de las instalaciones.
Las responsabilidades de la seguridad se deberían definir antes
de la contratación laboral, describiendo adecuadamente el trabajo y los
términos y condiciones del mismo.
Todos los candidatos para el empleo, los contratistas y los
usuarios de terceras partes se deberían seleccionar adecuadamente,
especialmente para trabajos sensibles.
Los empleados, contratistas y usuarios de terceras partes de
los servicios de procesamiento de información deberían firmar un acuerdo sobre
sus funciones y responsabilidades de seguridad.
8.1.1 Roles y
responsabilidades
Control
Se deberían definir y documentar los roles y
responsabilidades de los empleados, contratistas y usuarios de terceras partes
por la seguridad, de acuerdo con la política de seguridad de la información de
la organización.
Guía de
implementación
Las funciones y responsabilidades deberían incluir los
requisitos para:
a) implementar
y actuar de acuerdo con las políticas de seguridad de la información de la organización
(véase el numeral 5.1);
b) proteger
los activos contra acceso, divulgación, modificación, destrucción o
interferencia no autorizados;
c) ejecutar procesos o actividades particulares
de seguridad;
d) garantizar que se asigna la responsabilidad a
la persona para que tome las acciones;
e) informar los eventos de seguridad, los eventos
potenciales u otros riesgos de seguridad para la organización.
Las funciones y responsabilidades de seguridad se deberían definir
y comunicar claramente a los candidatos al trabajo durante el proceso previo a
su contratación.
Información adicional
Se pueden utilizar las descripciones del trabajo para
documentar las funciones y responsabilidades para la seguridad. También se
deberían definir y comunicar claramente las funciones y responsabilidades para
la seguridad de personas no contratadas a través del proceso de contratación de
la organización, por ejemplo las contratadas a través de una organización de
tercera parte.
8.1.2 Selección
Control
Se deberían realizar revisiones para la verificación de
antecedentes de los candidatos a ser empleados, contratistas o usuarios de
terceras partes, de acuerdo con los reglamentos, la ética y las leyes
pertinentes, y deben ser proporcionales a los requisitos del negocio, la
clasificación de la información a la cual se va a tener acceso y los riesgos
percibidos.
Guía de implementación
En las revisiones de verificación se deberían tener en
cuenta la legislación pertinente a la privacidad, la protección de datos
personales y / o el empleo y, cuando se permite, debería incluir lo siguiente:
a).
disponibilidad de referencias de comportamiento satisfactorio, por ejemplo una
laboral y otra personal;
b). una
verificación (para determinar la totalidad y exactitud) de la hoja de vida del candidato;
C). confirmación
de las calificaciones profesionales y académicas declaradas;
d). verificación
de la identidad independiente (pasaporte o documento similar);
e). verificación
de los detalles adicionales tales como créditos o antecedentes criminales.
Cuando un trabajo, bien sea por designación inicial o por promoción,
implica que la persona tenga acceso a los servicios de procesamiento de la
información y, en particular, si en ellas se maneja información sensible, como
por ejemplo información financiera o de alta confidencialidad, la organización
debería considerar verificaciones adicionales más detalladas.
Los procedimientos deberían definir los criterios y las limitaciones
para las revisiones de verificación, por ejemplo quién es elegible para
seleccionar al personal y cómo, cuándo y por qué se realizan las
verificaciones.
También deberían llevar a cabo un proceso de selección para
los contratistas y los usuarios de terceras partes. Cuando los contratistas son
suministrados por una agencia, el contrato con la agencia debería especificar
claramente las responsabilidades de la agencia para la selección y los
procedimientos de notificación que es necesario seguir si la selección no se ha
completado o si los resultados arrojan dudas o preocupación. De la misma
manera, el acuerdo con la tercera parte (véase el numeral 6.2.3) debería especificar
claramente todas las responsabilidades y los procedimientos de notificación
para la selección.
La información sobre todos los candidatos que se consideran
para los cargos dentro de la organización se debería recolectar y manejar según
la legislación adecuada existente en la jurisdicción correspondiente.
Dependiendo de la legislación que se aplique, se debería informar con
anticipación a los candidatos sobre las actividades de selección.
8.1.3 Términos y
condiciones laborales
Control
Como parte de su obligación contractual, los empleados, contratistas
y usuarios de terceras partes deberían estar de acuerdo y firmar los términos y
condiciones de su contrato laboral, el cual debe establecer sus
responsabilidades y las de la organización con relación a la seguridad de la
información.
Guía de implementación
Los términos y condiciones laborales deberían reflejar la
política de seguridad de la organización, además debería aclarar y establecer:
a). que todos los
empleados, contratistas y usuarios de terceras partes que tengan acceso a
información sensible deberían firmar un acuerdo de confidencialidad o
no-divulgación antes de tener acceso a los servicios de procesamiento de
información;
b). los derechos
y responsabilidades legales de los empleados, los contratistas y cualquier otro
usuario, por ejemplo con respecto a las leyes de derechos de copia o la
legislación sobre protección de datos (véanse los numerales 15.1.1 y 15.1.2);
C).
responsabilidades para la clasificación de la información y la gestión de los
activos asociados con sistemas y servicios de información manejados por el
empleado, el contratista o el usuario de tercer aparte (véanse los numerales
7.2.1 y 10.7.3);
d).
responsabilidades del empleado, el contratista o el usuario de tercera parte
para el manejo de la información recibida de otras empresas o de partes
externas;
e).
responsabilidades de la organización para el manejo de la información personal,
incluyendo la información personal creada como resultado o durante el contrato
laboral con la organización (véase el numeral 15.1.4);
f).
responsabilidades que van más allá de las instalaciones de la organización y de
las horas laborales, por ejemplo en el caso de trabajo en el domicilio (véanse
los numerales 9.2.5 y 11.7.1); g) acciones a tomar si el empleado, el
contratista o el usuario de tercera parte hace caso omiso de requisitos de
seguridad de la organización (véase el numeral 8.2.3).
La organización debería garantizar que los empleados, los
contratistas y los usuarios de terceras partes están de acuerdo con los
términos y las condiciones respecto a la seguridad de la información según la
naturaleza del acceso que tendrán a los activos de la organización asociados
con los sistemas y servicios de información.
Cuando sea apropiado, las responsabilidades contenidas en
los términos y condiciones laborales deberían continuar durante un periodo
definido después de la terminación del contrato laboral (véase el numeral 8.3)
Información adicional
Se puede utilizar un código de conducta que cubra las responsabilidades
de los empleados, contratistas y usuarios de terceras partes con relación a la
confidencialidad, la protección de datos, la ética, el uso adecuado de las
instalaciones y los equipos de la organización, asÍ como las prácticas
acreditadas confiables esperadas por la organización. El contratista o los
usuarios de terceras partes se pueden asociar con una organización externa a la
cual, a su vez, se le puede exigir que entre en acuerdos contractuales a nombre
de la persona contratada.
8.2 DURANTE LA
VIGENCIA DEL CONTRATO LABORAL
Objetivo: asegurar que todos los empleados, contratistas y
usuarios de terceras partes estén conscientes de las amenazas y preocupaciones
respecto a la seguridad de la información, sus responsabilidades y sus deberes,
y que estén equipados para apoyar la política de seguridad de la organización
en el transcurso de su trabajo normal, al igual que reducir el riesgo de error
humano.
Es conveniente definir las responsabilidades de la dirección
para garantizar que se aplica la seguridad durante todo el contrato laboral de
una persona dentro de la organización.
Se debería brindar un nivel adecuado de concientización,
educación y formación en los procedimientos de seguridad y el uso correcto de
los servicios de procesamiento de información a todos los empleados,
contratistas y usuarios de terceras partes para minimizar los posibles riesgos
de seguridad. Es conveniente establecer un proceso disciplinario formal para el
manejo de las violaciones de la seguridad.
8.2.1
Responsabilidades de la dirección
Control
La dirección debería exigir que los empleados, contratistas
y usuarios de terceras partes apliquen la seguridad según las políticas y los
procedimientos establecidos por la organización.
Guía de implementación
Las responsabilidades de la dirección deberían incluir el
garantizar que los empleados, los contratistas y los usuarios de terceras
partes:
a). estén
adecuadamente informados sobre las funciones y las responsabilidades respecto a
la seguridad de la información antes de que se les otorgue acceso a información
o sistemas de información sensibles;
b). tengan las
directrices para establecer las expectativas de seguridad de sus funciones dentro
de la organización;
c). estén
motivados para cumplir las políticas de seguridad de la organización;
d). logren un
grado de concientización sobre la seguridad correspondiente a sus funciones y
responsabilidades dentro de la organización (véase el numeral 8.2.2);
e). estén de
acuerdo con los términos y las condiciones laborales, las cuales incluyen la política
de seguridad de la información de la organización y los métodos apropiados de trabajo;
f). sigan
teniendo las calificaciones y las habilidades apropiadas.
Información adicional
Si los empleados, contratistas y usuarios de terceras partes
no están conscientes de sus responsabilidades, pueden causar un daño
considerable a la organización. Es probable que el personal motivado sea más
confiable y cause menos incidentes de seguridad de la información.
Una gestión pobre puede hacer que el personal se sienta
subvalorado lo que produce un impacto negativo en la seguridad para la
organización. Por ejemplo, la gestión pobre puede llevar a que se ignore la
seguridad o al uso potencial inadecuado de los activos de la organización.
8.2.2 Educación,
formación y concientización sobre la seguridad de la información
Control
Todos los empleados de la organización y, cuando sea pertinente,
los contratistas y los usuarios de terceras partes deberían recibir formación
adecuada en concientización y actualizaciones regulares sobre las políticas y
los procedimientos de la organización, según sea pertinente para sus funciones
laborales.
Guía de implementación
La formación en concientización debería empezar con un
proceso formal de introducción diseñado para presentar las políticas de
seguridad de la organización y las expectativas antes de otorgar el acceso a la
información o los servicios.
Es recomendable que la formación continua incluya los
requisitos de seguridad, las responsabilidades legales y los controles del
negocio, así como la formación en el uso correcto de los servicios de
procesamiento de información como por ejemplo el procedimiento de registro de
inicio, el uso de paquetes de software y la información sobre el proceso
disciplinario (véase el numeral 8.2.3).
Información adicional
Las actividades de concientización, educación y formación
sobre seguridad deberían ser convenientes y pertinentes a la función, las
responsabilidades y las habilidades de la persona y deberían incluir información
sobre las amenazas conocidas, a quién contactar para obtener asesoría adicional
sobre seguridad y los canales apropiados para reportar los incidentes de seguridad
de la información (véase el numeral 13.1).
La formación para promover la concientización tiene como
objetivo permitir que los individuos reconozcan los problemas e incidentes de
seguridad de la información y respondan de acuerdo con las necesidades de su
función de trabajo.
8.2.3 Proceso
disciplinario
Control
Debería existir un proceso disciplinario formal para los
empleados que hayan cometido alguna violación de la seguridad.
Guía de implementación
No se recomienda iniciar el proceso disciplinario antes de
verificar que se ha presentado la violación de la seguridad (véase el numeral
13.2.3 para la recolección de evidencia).
El proceso disciplinario formal debería garantizar el
tratamiento imparcial y correcto para los empleados de quienes se sospecha han
cometido violaciones de la seguridad. El proceso disciplinario formal debería
brindar una respuesta gradual que considere factores tales como la naturaleza y
la gravedad de la violación y su impacto en el negocio, si es la primera ofensa
o se repite, si el violador estaba capacitado adecuadamente, la legislación
correspondiente, los contratos de negocios y otros factores, según el caso. En
los casos graves de mala conducta el proceso debería permitir el retiro
instantáneo de las funciones, los derechos de acceso y los privilegios y el
acompañamiento inmediato fuera de las instalaciones, si es necesario.
Información adicional
El proceso disciplinario también se debería utilizar como
disuasión para evitar que los empleados, los contratistas y los usuarios de
terceras partes violen las políticas y los procedimientos de seguridad de la
organización, así como para cualquier otra violación de la seguridad.
8.3 TERMINACIÓN O
CAMBIO DE LA CONTRATACIÓN LABORAL}
Objetivo: asegurar que los empleados, los contratistas y los
usuarios de terceras partes salen de la organización o cambian su contrato
laboral de forma ordenada.
Se deberían establecer responsabilidades para asegurar la
gestión de la salida de los empleados, contratistas o usuarios de terceras
partes de la organización y que se completa la devolución de todo el equipo y
la cancelación de todos los derechos de acceso.
Los cambios en las responsabilidades y las relaciones
laborales dentro de la organización se deberían gestionar como la terminación
de la respectiva responsabilidad o contrato laboral según esta sección y todos
las contrataciones nuevas se deberían gestionar como se describe en el numeral
8.1.
8.3.1
Responsabilidades en la terminación
Control
Se deberían definir y asignar claramente las
responsabilidades para llevar a cabo la terminación o el cambio de la
contratación laboral.
Guía de implementación
La comunicación de las responsabilidades en la terminación
debería incluir los requisitos permanentes de seguridad y las responsabilidades
legales y, cuando sea apropiado, las responsabilidades contenidas en cualquier
acuerdo de confidencialidad (véase el numeral 6.1.5), y los términos y
condiciones laborales (véase el numeral 8.1.3) deberían continuar durante un
periodo definido después de terminar la contratación laboral del empleado, el contratista
o el usuario de terceras partes.
Los contratos del empleado, el contratista o el usuario de
terceras partes deberían incluir las responsabilidades y deberes válidas aún
después de la terminación del contrato laboral.
Los cambios en la responsabilidad o en el contrato laboral deberían
ser gestionados como la terminación de la responsabilidad o el contrato laboral
respectivo , y la nueva responsabilidad o contrato laboral se debería controlar
tal como se describe en el numeral 8.1.
Información adicional
Por lo general, la función de recursos humanos es
responsable del proceso total de terminación y actúa junto con el director
supervisor de la persona que se va para gestionar los aspectos de seguridad de
los procedimientos pertinentes. En el caso de un contratista, este proceso de responsabilidad
en la terminación puede ser realizado por la agencia responsable del contratista
y en el caso de otro usuario puede ser manejado por su organización.
Puede ser necesario informar a los empleados, clientes, contratistas
o usuarios de terceras partes los cambios en los acuerdos operativos y de
personal.
8.3.2 Devolución de
activos
Control
Todos los empleados, contratistas o usuarios de terceras partes
deberían devolver todos los activos pertenecientes a la organización que estén
en su poder al finalizar su contratación laboral, contrato o acuerdo.
Guía de implementación
Se debería formalizar el proceso de terminación para incluir
la devolución del software previamente publicado, los documentos corporativos y
los equipos. También es necesaria la devolución de otros activos de la
organización tales como los dispositivos de cómputo móviles, las tarjetas de
crédito, las tarjetas de acceso, el software, los manuales y la información almacenada
en medios electrónicos.
Cuando un empleado, contratista o usuario de terceras partes
adquiere equipo de la organización o utiliza su propio equipo, se deberían
seguir los procedimientos para garantizar que toda la información pertinente se
transfiere a la organización y se elimina con seguridad de tal equipo (véase el
numeral 10.7.1).
Cuando un empleado, contratista o usuario de terceras partes
tiene un conocimiento que es importante para la continuación de las
operaciones, esa información debería estar documentada y transferirse a la
organización.
8.3.3 Retiro de los
derechos de acceso
Control
Los derechos de acceso de todos los empleados, contratistas
o usuarios de terceras partes a la información y a los servicios de
procesamiento de información se deberían retirar al finalizar su contratación
laboral, contrato o acuerdo o se deberían ajustar después del cambio.
Guía de implementación
Después de la terminación, se deberían reconsiderar los derechos
de acceso de la persona a los activos asociados con los sistemas y servicios de
información. Ello determinará si es necesario retirar los derechos de acceso.
Los cambios en un cargo se deberían reflejar en el retiro de todos los derechos
de acceso que no estén aprobados para el nuevo cargo. Los derechos de acceso
que se deberían adaptar o retirar incluyen acceso físico y lógico, claves, tarjetas
de identificación, servicios de procesamiento de información (véase el numeral
11.2.4), suscripciones y retiro de cualquier documentación que lo identifique
como miembro actual de la organización. Si un empleado, contratista o usuario
de terceras partes que se retira tiene contraseñas conocidas para permanecer
activo, éstas se deberían cambiar en la terminación o el cambio de empleo,
contrato o acuerdo.
Los derechos de acceso a los activos de información y a los
servicios de procesamiento de información se deberían reducir o retirar antes
de la finalización o cambio del contrato laboral , dependiendo de la evaluación
de factores de riesgo tales como:
a). si la
terminación o el cambio es iniciativa del empleado, contratista o usuario de
terceras partes o por la dirección y el motivo de dicha terminación;
b). las
responsabilidades actuales del empleado, contratista o cualquier otro usuario;
c). el valor de
los activos actualmente accesibles.
Información adicional
En algunas circunstancias los derechos de acceso se pueden
asignar con base en la disponibilidad para otras personas diferentes al
empleado, contratista o usuario de terceras partes que se retira, por ejemplo
las identificaciones de usuario para grupo. En dichas circunstancias, las
personas que se retiran se deberían eliminar de todas las listas de acceso de
grupo y se deberían formular acuerdos para notificar a los otros empleados,
contratistas o usuarios de terceras partes involucrados que ya no compartirán
esta información con la persona que se retira.
En los casos de terminación iniciada por la dirección, los
empleados, contratistas o usuarios de terceras partes descontentos pueden
corromper deliberadamente la información o sabotear los servicios de
procesamiento de información. En el caso de las personas que renuncian, ellas pueden
intentar recolectar información para uso futuro.
No hay comentarios:
Publicar un comentario