ISO 27001 – Gestión de la seguridad de los Recursos Humanos
ISO 27001
ISO 27001 hace posible que una organización incluya los criterios de seguridad de la información en la gestión de los Recursos Humanos.
La seguridad en esta gestión debe tener en cuenta la selección y contratación, la formación de empleados y la salida de la empresa.
Selección y contratación
La incorporación de una persona a una empresa o el ascenso interno implica un nuevo acceso a sistemas de información sensibles para la organización, y que con ISO-27001 se podrá proteger. Por esto, deberían realizarse acciones preventivas para evitar riesgos derivados de un mal uso de la información.
Al margen de esto, antes de contratar a una persona se debería comprobar todos sus antecedentes, teniendo en cuenta la legislación en privacidad y protección de datos, incluyendo el contenido del currículum, las certificaciones académicas y profesionales.
A la hora de firmar el contrato existirán una serie de términos y condiciones que definirán las responsabilidades en seguridad de la información a la que tendrán acceso, y que el candidato deberá aceptar. Se tratan de cláusulas en las que debe aparecer:
- Responsabilidades y derechos relativos a leyes de propiedad intelectual o protección de datos.
- Compromiso de confidencialidad y no revelación de información.
- Responsabilidades ligadas a la clasificación de la información y tratamiento de recursos.
- Medidas que se tomarán en caso de incumplimiento de políticas y requisitos de seguridad.
- Responsabilidades sobre la información recibida de otras compañías y la que se maneja fuera de la empresa.
Formación de empleados
Es imprescindible que todos los empleados, y otras terceras partes, reciban una formación, educación, estén motivados y concienciados sobre los procedimientos de seguridad y el correcto uso de los recursos de la información para que ningún empleado se sienta infravalorado y cometa errores que afecten a la integridad de la información de la empresa.
Esta responsabilidad recae sobre la organización, que según ISO 27001 deberá mostrar su liderazgo y compromiso con el Sistema de Gestión de Seguridad de la Información.
Además los empleados deberían saber con quién contactar para asesoramientos en seguridad y tener claros los procedimientos para la identificación y gestión de incidencias de seguridad.
En caso de generación de incidencias deberá existir un proceso disciplinario establecido a aplicar cuando sea necesario. Estas medidas deberán ser adecuadas a la gravedad de la infracción cometida y al entorno en el que se cometió.
Finalización o cambio de puesto de trabajo
Cuando un empleado o una tercera parte finaliza su relación con una empresa, es necesario asegurar la gestión de su salida hasta la completa retirada de los privilegios y permisos de accesos, el material que utilice y que tenga en posesión.
Deberá haber una persona responsable que se encargue de supervisar estas medidas de finalización de puestos de trabajo.
Si no existe salida de la empresa sino que se produce un cambio de puesto de trabajo, los accesos que no sean necesarios para el nuevo puesto deberán ser retirados, así como cambiar cualquier contraseña de cuentas a las que tuviera acceso.
Es influyente la causa de la finalización del puesto de trabajo, las responsabilidades del empleado y el valor de la información que manejaba para proceder de una forma u otra, pudiendo ser necesaria la retirada de los derechos citados un día antes de la salida del empleado. Si participara en grupos de trabajo, éstos deberán estar informados de la marcha para no compartir información sensible con el individuo en cuestión.
Software para la norma ISO 27001
La Plataforma Tecnológica ISOTools está capacitada para incluir los aspectos relativos a la gestión de Recursos Humanos en una empresa, y manejar los elementos de ISO27001 que harán posible conservar la integridad, confidencialidad y disponibilidad de la información.