¿Cómo se encuentra ligada la Seguridad de Información con Recursos Humanos?
Seguridad de información
El objetivo del presente dominio es la necesidad de educar e informar al personal desde su ingreso y de forma continua, cualquiera que sea la situación de actividad, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de sus expectativas depositadas en los materiales de seguridad y asuntos de confidencialidad. Es necesario reducir los riesgos que generan los errores humanos, la comisión de actos ilícitos, utilización inadecuada de instalaciones y recursos y manejo no autorizado de la información, junto a la definición de posibles sanciones que se aplicarán en caso de incumplimiento.
Es necesario explicar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado, así como, garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la política de seguridad de la empresa en el transcurso de sus tareas normales.
Suele ser responsable del área de recursos humanos para incluir las funciones relativas a la seguridad de la información en las descripciones de puestos de los empleados, informar a todo el personal que ingresa sus obligaciones con respecto del cumplimiento de la política de seguridad de la información, gestionar los compromisos de confidencialidad con el personal y coordinar las tereas de capacitación de usuarios respecto a las necesidades actuales en seguridad.
El responsable de área jurídica participa en la confección del compromiso de confidencialidad a firmar por los empleados y terceros que desarrollen funciones en el organismo, en el asesoramiento sobre las sanciones a ser aplicadas por incumplimiento de las políticas de seguridad y el tratamiento de incidentes de seguridad que requieran de su intervención.
7.1 Antes de la contratación
Todas las responsabilidades de seguridad deben definir antes de la contratación laboral mediante la descripción adecuada del trabajo y los términos y condiciones de empleo.
Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se deben seleccionar de forma adecuada, especialmente para los empleados sensibles.
Los trabajadores, contratistas y usuarios de terceras partes de los servicios de procesamiento de la información deben firmar un acuerdo sobre las funciones y las responsables con relación a la seguridad.
Es necesario asegurarse de que se cumpla con el proceso de verificación de antecedentes proporcional a la clasificación de seguridad de la información a la que se debe acceder en el empleado a contratar. Dicho eso, el proceso de contratación de un administrador de sistemas TI debe ser muy diferentes al de un administrativo. Es necesario realizar comprobaciones de procedencia, formación, conocimientos, etc.
Actividades de control del riesgo
7.1.1 Investigación de antecedentes
Se deberían llevar a cabo las revisiones de verificación de antecedentes de los candidatos al empleo en concordancia con las regulaciones, ética y leyes relevantes y deben ser proporcionales a los requerimientos del negocio, la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos.
7.1.2 Términos y condiciones de contratación
Como parte de su obligación contractual, empleados, contratistas y terceros deberían aceptar y firmar los términos y condiciones del contrato de empleo, el cual establecerá sus obligaciones y las obligaciones de la organización para la seguridad de información.
7.2 Durante la contratación
Se tienen que definir las responsabilidades de la dirección para garantizar que la seguridad se aplica en todos los puestos de trabajo de las personas en la empresa.
A todos los usuarios empleados, contratistas y terceras personas se les debe proporcionar un adecuado nivel de concienciación, educación y capacitación en los procedimientos de seguridad y en la utilización de los medios disponibles para procesar la información con el fin de minimizar los posibles riesgos de seguridad.
Es necesario establecer un proceso disciplinario normal para gestionar las brechas en seguridad. La responsabilidad con respecto a la protección de la información no finaliza cuando un empleado se va a casa o abandona a la empresa. Es necesario asegurarse de que esto se documenta de forma clara con los materiales de concienciación, los contratos de empleo, etc.
Se debe contemplar la posibilidad de que se lleve a cabo una revisión anual por parte de recursos humanos de los contratos junto a los trabajadores para refrescar las expectativas expuestas en los términos y las condiciones de empleo, incluyendo el compromiso con la seguridad de la información.
Actividades de control del riego
7.2.1 Responsabilidades de gestión
La Dirección debería requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las políticas y los procedimientos.
7.2.2 Concienciación, educación y capacitación en Seguridad de la Información
Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deberían recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.
7.2.3 Proceso disciplinario
Debería existir un proceso formal disciplinario comunicado a empleados que produzcan brechas en la seguridad.
7.3 Cese o cambio de puesto de trabajo
Es necesario establecer la responsabilidad para asegurarse de que el abandono de la empresa por parte de los empleados, contratistas o terceras personas se controla, que se devuelve todo el equipamiento y se eliminan de forma completa todos los derechos de acceso.
Los cambios de las responsabilidades y los empleos en la empresa se deben manejar en caso de su finalización en línea con esta sección, y para esto los nuevos empleados se describen la sección 7.1.
La devolución de los activos de la empresa cuando un trabajador se va de la empresa sería mucho más fácil de verificar si el inventario de activos ha sido actualizado y verificado de forma regular.
Software para Seguridad de la Información
El Software ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.