domingo, 9 de julio de 2017

El rol de los RRHH en la seguridad de la información



Los recursos humanos y la seguridad de la información: El recurso humano es una de las principales fuentes de riesgo para la seguridad de la información por lo tanto en este dominio del estándar ISO27001 se tratan los aspectos que se deben tener en cuenta antes, durante y después de la relación laboral. Se incluyen en este apartado los términos y condiciones de contratación, los programas de concienciación, formación y capacitación, los procesos disciplinarios y los puntos a tener en cuenta en caso de cese de la relación laboral o cambio de puesto de trabajo como pueden ser la devolución de activos y la suspensión de las credenciales de acceso.

Los recursos humanos son quizá el componente más crítico al momento de garantizar las tres características de la seguridad de la información: integridad, confidencialidad y disponibilidad, por lo tanto deben adoptarse controles y prácticas de gestión que ayuden a mitigar el impacto de los riesgos que por este factor se pudieran materializar, dentro de los cuales podemos observar los siguientes:

7.1 Antes de la contratación

Actividades de control del riesgo

7.1.1 Investigación de antecedentes: Se deberían realizar revisiones de verificación de antecedentes de los candidatos al empleo en concordancia con las regulaciones, ética y leyes relevantes y deben ser proporcionales a los requerimientos del negocio, la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos.
7.1.2 Términos y condiciones de contratación: Como parte de su obligación contractual, empleados, contratistas y terceros deberían aceptar y firmar los términos y condiciones del contrato de empleo, el cual establecerá sus obligaciones y las obligaciones de la organización para la seguridad de información.

7.2 Durante la contratación

Actividades de control del riego

7.2.1 Responsabilidades de gestión: La Dirección debería requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las políticas y los procedimientos.
7.2.2 Concienciación, educación y capacitación en SI: Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deberían recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.
7.2.3 Proceso disciplinario: Debería existir un proceso formal disciplinario comunicado a empleados que produzcan brechas en la seguridad.

7.3 Cese o cambio de puesto de trabajo

7.3.1 Cese o cambio de puesto de trabajo: Las responsabilidades para ejecutar la finalización de un empleo o el cambio de éste deberían estar claramente definidas, comunicadas a empleado o contratista y asignadas efectivamente.

Según el caso se podría hasta retirar los derechos de los que disfrutase el empleado un día antes de su salida, y si participara en grupos de trabajo, éstos deberían tenerlo en conocimiento para dejar de compartir información con él.

En los casos relacionados con el cambio de puesto de trabajo dentro de la organización el Administrador del Sistema deberá revocar todos los privilegios excesivos que el usuario tuviera en el puesto actual respecto al nuevo puesto a desempeñar.

En conclusión este procedimiento no solo corresponde al encargado de seguridad de la información sino que va de la mano con el área de gestión de recursos humanos o contratación puede generarse con su colaboración .

De extremo a extremo la empresa debe revisar muy bien sus controles administrativos sobre la seguridad de la información en cuanto a los recursos humanos.

No hay comentarios:

Publicar un comentario

Has tus comentarios