7.1 Antes de la contratación.
7.1.1 Investigación de antecedentes.
Control a Ejecutar:
Las verificaciones de los antecedentes de todos los candidatos a un empleo se deben llevar a cabo de acuerdo con las leyes, reglamentaciones y ética pertinentes, y deben ser proporcionales a los requisitos de negocio, a la clasificación de la información a que se va a tener acceso, y a los riesgos percibidos.
Guía de Referencia:
Se revisan los antecedentes de los candidatos a ser empleados y la revisión incluye referencias laborales, personales, calificaciones profesionales, verificación del documento de identidad y detalles adicionales tales como: créditos o antecedentes penales.
Control a Ejecutar:
Los acuerdos contractuales con empleados y contratistas deben establecer sus responsabilidades y las de la organización en cuanto a la seguridad de la información.
Guía de Referencia:
7.2.1 Responsabilidades de gestión.
Control a Ejecutar:
La dirección debe exigir a todos los empleados y contratistas la aplicación de la seguridad de la información de acuerdo con las políticas y procedimientos establecidos por la organización.
Guía de Referencia:
Vela la Dirección de la Entidad porque los empleados, contratistas y usuarios externos sigan y cumplan las directrices de seguridad de la información, a través de acuerdos, divulgación y verificación continua.
Control a Ejecutar:
Todos los empleados de la organización, y en donde sea pertinente, los contratistas, deben recibir la educación y la formación en toma de conciencia apropiada, y actualizaciones regulares sobre las políticas y procedimientos de la organización pertinentes para su cargo.
Guía de Referencia:
Reciben los empleados de la organización una adecuada concientización y entrenamiento referente a la seguridad de la información, esquematizado a través de un programa de generación de cultura que contemple diferentes audiencias, canales, mensajes, entre otros.
Los departamentos de TIC y de negocio cuentan con un entendimiento y visión de la importancia de la seguridad de la información.
7.2.3 Proceso disciplinario.
Control a Ejecutar:
Se debe contar con un proceso formal, el cual debe ser comunicado, para emprender acciones contra empleados qye hayan cometido una violación a la seguridad de la información
Guía de Referencia:
Existe un proceso disciplinario formalmente definido para los empleados que hayan cometido alguna violación a la política de seguridad.
7.3 Cese o cambio de puesto de trabajo.
7.3.1 Cese o cambio de puesto de trabajo.
Control a Ejecutar:
Las responsabilidades y los deberes de la información que permanecen validos después de la terminación o cambio de empleo se deben definir, comunicar al empleado o contratista y se deben hacer cumplir.
Guía de Referencia:
Existe un procedimiento definido para la terminación del contrato o cambio de un empleado, así como los requerimientos de seguridad de la información.
Control a Ejecutar:
Se debe contar con un proceso formal, el cual debe ser comunicado, para emprender acciones contra empleados qye hayan cometido una violación a la seguridad de la información
Guía de Referencia:
Existe un proceso disciplinario formalmente definido para los empleados que hayan cometido alguna violación a la política de seguridad.
7.3.1 Cese o cambio de puesto de trabajo.
Control a Ejecutar:
Las responsabilidades y los deberes de la información que permanecen validos después de la terminación o cambio de empleo se deben definir, comunicar al empleado o contratista y se deben hacer cumplir.
Guía de Referencia:
Existe un procedimiento definido para la terminación del contrato o cambio de un empleado, así como los requerimientos de seguridad de la información.
Existe un procedimiento para el retorno de todos los activos de la organización para cuando los empleados, contratistas y terceros terminen su vinculación con la organización (software, documentos corporativos, equipos, dispositivos de cómputo móviles, tarjetas de crédito, tarjetas de acceso, manuales e información almacenada en medios electrónicos y la documentación del conocimiento que sea importante para la Organización).
Son removidos los privilegios de acceso a la información y a los servicios de procesamiento de información, de los empleados, contratistas o terceros que terminan su vinculación con la organización o se ajustan después de cambios.
Se le informa a los empleados o contratistas las responsabilidades y los deberes de seguridad de la información que permanecen validos después de la terminación del contrato o cambio de cargo
Se le informa a los empleados o contratistas las responsabilidades y los deberes de seguridad de la información que permanecen validos después de la terminación del contrato o cambio de cargo
Conclusión:
La seguridad de la información relacionada a los recursos humanos como lo indica el título de este dominio se debe realizar desde antes de la contratación de un colaborador y se extiende hasta después de finalizar el contrato.
Antes de realizar la contratación de un colaborador se debe realizar una revisión de los antecedentes en función de la responsabilidad del funcionario a contratar, me explico: si esta persona manejara información confidencial que puede afectar la imagen corporativa, impactar negativamente en los estados financieros, afectar temas legales y regulatorios, se debe ser riguroso en el proceso de contratación, este proceso no sería el mismo para una persona de servicios generales o un cargo similar.
Una vez contratado el colaborados se le dan a conocer sus responsabilidades frente a la seguridad de la información y las implicaciones que tiene no cumplir con dichas responsabilidades.
Es fundamental que el líder de seguridad de la información, o quien cumple esta función, mantenga un plan de capacitación constante con el fin de crear una cultura de seguridad de la información, es importante recordar que no es suficiente contar con medidas de seguridad avanzadas en cuanto a tecnología ya que los usuarios son el eslabón mas débil de la cadena, y un colaborador sin entrenar puede cometer muchos errores.
El comité de seguridad de la información que fue conformado en la fase de aspectos organizativos de la seguridad de la información es quien debe adelantar los procesos disciplinarios en caso de incidentes de seguridad de la información.
Las responsabilidades del colaborador se extienden incluso después de finalizar la contratación, ya que maneja información valiosa que puede servir a otras empresas, por lo cual el funcionario debe firmar cláusulas de confidencialidad donde se compromete a no divulgar la información incluso después de finalizar contrato laboral.
En el proceso de implementación del sistema de gestión de seguridad de la información es necesario crear procedimientos, pero en algunos casos es suficiente con actualizar procedimientos ya existentes de otras áreas con el fin de cumplir los requerimientos de seguridad. El siguiente es uno de esos casos: En el procedimiento de desvinculación de personal del área de recursos humanos de deben incluir los siguientes ítems.
4. REGLAS GENERALES
4.X El funcionario debe realizar inventario y entrega de los activos de información bajo su cargo, almacenada en equipos de cómputo y otros dispositivos o sistemas informáticos.
4.x El funcionario debe realizar entrega en sobre sellado de usuarios y contraseñas asignados o creados en el transcurso de sus funciones en la organización.
4.x El jefe inmediato y/o área encargada de la finalización del contrato debe notificar vía correo electrónico al área de sistemas la desvinculación del empleado, con el fin realizar la respectiva revisión de los activos de la información, así como recibir y asegurar usuarios, contraseñas y otros activos de Información entregados.
A continuación, dejo algunos de los formatos para dar
cumplimiento a este dominio.
DESCARGAR PROCEDIMIENTO DE CONTRATACIÓN DE PERSONAL
No hay comentarios.:
Publicar un comentario