ISO 27001 ¿Cómo gestionar la finalización o cambio de trabajo de un empleado?
ISO 27001
Con el paso del tiempo las relaciones existentes entre las personas y las organizaciones cambian. Es un proceso natural, por lo que las condiciones laborales cambian también. Los contratos finalizados conducen a la terminación de las relaciones laborales, y las nuevas oportunidades hacen que las personas se reubiquen en nuevos puestos de trabajo.
Las empresas normalmente tienen procesos para acomodar a las personas en estas nuevas situaciones, aunque a menudo se descuida cual es el nivel de conocimiento e información que maneja el empleado en cuestión para poder realizar sus tareas, lo que puede representar riesgos inaceptables para la organización.
La norma ISO 27001 Sistema de Gestión de Seguridad de la Información, aborda las alteraciones en el estado laboral de los trabajadores y sus prácticas pueden ayudar a las empresas a proteger su información en estas situaciones.
¿Por qué preocuparse por las personas que abandonan su organización o cambian de puesto?
Cuando una persona deja la empresa, ésta ya no se encuentra bajo su control, por lo que cualquier activo o información que esté bajo su posesión que no puede identificarse ni recuperarse puede ser utilizado para su beneficio propio y la organización no podría tomar medidas.
También se puede dar el caso de que una persona cambie de posición o rol dentro de la organización.
Cuando alguien deja la empresa, a menudo es más difícil, si no imposible, que tenga acceso a nueva información. Por otro lado, cuando alguien cambia su posición o rol dentro de la organización, puede comenzar a acumular privilegios de la posiciones o roles antiguos y nuevos.
Los privilegios que se acumulan pueden permitir que el empleado vea información confidencial que no deba ver o pueda realizar acciones que normalmente no están disponibles para él o que requieran la acción de dos personas.
Manejo de terminación y cambio de empleo con ISO 27001
Para los posibles riesgos de seguridad de la información que puedan traer impactos significativos a la empresa, la norma ISO 27001 control A.7.3.1 “Terminación o cambio de responsabilidades laborales” requiere la aplicación de diferentes prácticas como pueden ser:
- Definición de responsabilidades y deberes que permanecerán después de terminar el trabajo, y por cuánto tiempo deberá permanecer.
- Con respecto al cambio de empleo, se deberá definir el acceso y los privilegios que se deben mantener o revocar considerando la nueva posición o rol y la política de control de acceso. Estos ajustes se pueden realizar antes de que la persona comience a trabajar en la nueva posición.
- Es importante mantener una buena comunicación, no solo con la propia persona, sino también con los demás empleados, clientes, proveedores y otras partes interesadas, sobre la terminación o cambio que se ha producido en el trabajador. En algunos casos, incluso los competidos deben estar informados, por lo que pueden ser conscientes de que la información facilitada por una persona que abandonó la organización puede ser delicada y la empresa puede tomar acciones legales en el caso de que obtengan algún beneficio de la utilización de dicha información.
- Aplicación de responsabilidades y deberes definidos mediante el uso de acuerdos de confidencialidad y cláusulas sobre contratos de trabajo, así como mediante sesiones periódicas de concienciación. En la mayoría de los casos, estas acciones preventivas son muy efectivas para minimizar los posibles riesgos.
Es importante señalar que las practicas se deben aplicar no solo en los empleados propios de la empresa, sino también a los contratistas. Las prácticas que se aplicarán, y su nivel de detalle o complejidad, deben estar respaldadas por los resultados de una evaluación de riesgos o los requisitos legales aplicables. Es necesario tener en cuenta la sensibilidad de la información involucrada.
Para la empresa, la función de recursos humanos, junto con los gerentes directos, deberá garantizar que las prácticas se implementen de forma efectiva. Es una responsabilidad de dos personas, porque los trabajadores de recursos humanos son responsables de las políticas y procedimientos que involucran a los empleados, los gerentes directos saben qué información deberá protegerse para cada rol.
En el caso de que el personal sea subcontratado, estas prácticas deben ser aplicadas por las partes externas, mediante contratos o acuerdos de servicio firmados entre la empresa y las partes externas.
Cuando las personas se van, no dejen las puertas abiertas
Los casos en los que se ha podido identificar qué información confidencial ha sido revelada por ex empleados que comenzaron a trabajar para competidores, o que los trabajadores con ciertos privilegios han sido sorprendidos cometiendo fraude, ya que no es difícil de encontrar información por internet.
La falta de control sobre cómo las personas deben manejar la información cuando salen de la empresa, o cuando se mueven de un puesto para comenzar uno nuevo, generalmente es la causa raíz de estos casos, y las empresas deben comenzar a prestar atención para evitar que sucedan dichos incidentes. Al adoptar las prácticas que establece el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 se puede terminar de forma adecuada con las relaciones laborales y cambiar las funciones de los empleados de forma muy organizada. Las empresas pueden implantar acciones preventivas sólidas que minimizan los riegos de comprometer información valiosa, además de proporcionar una base para disminuir los impactos ocasionados.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, genera todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla. Además, el Software ISOTools Excellence para la norma ISO 27001, presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.