Objetivo: asegurar que los empleados, contratistas y usuarios de terceras partes entienden sus
responsabilidades y sean aptos para las funciones para las cuales están considerados, y
reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.
Las responsabilidades de la seguridad se deberían definir antes de la contratación laboral,
describiendo adecuadamente el trabajo y los términos y condiciones del mismo.
Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se
deberían seleccionar adecuadamente, especialmente para trabajos sensibles.
Los empleados, contratistas y usuarios de terceras partes de los servicios de procesamiento
de información deberían firmar un acuerdo sobre sus funciones y responsabilidades de
seguridad.
8.1.1 Roles y responsabilidades
Control
Se deberían definir y documentar los roles y responsabilidades de los empleados, contratistas y
usuarios de terceras partes por la seguridad, de acuerdo con la política de seguridad de la
información de la organización.
Guía de implementación
Las funciones y responsabilidades deberían incluir los requisitos para:
a) implementar y actuar de acuerdo con las políticas de seguridad de la información de la
organización (véase el numeral 5.1);
b) proteger los activos contra acceso, divulgación, modificación, destrucción o interferencia
no autorizados;
c) ejecutar procesos o actividades particulares de seguridad;
d) garantizar que se asigna la responsabilidad a la persona para que tome las acciones;
3) Explicación: La palabra “contratación" cubre todas las siguientes situaciones: empleo de personas (temporal
o a término indefinido), asignación de roles de trabajo, cambio de roles de trabajo, asignación de contratos,
y la terminación de cualquiera de estos acuerdos.
e) informar los eventos de seguridad, los eventos potenciales u otros riesgos de seguridad
para la organización.
Las funciones y responsabilidades de seguridad se deberían definir y comunicar claramente a
los candidatos al trabajo durante el proceso previo a su contratación.
Información adicional
Se pueden utilizar las descripciones del trabajo para documentar las funciones y
responsabilidades para la seguridad. También se deberían definir y comunicar claramente las
funciones y responsabilidades para la seguridad de personas no contratadas a través del
proceso de contratación de la organización, por ejemplo las contratadas a través de una
organización de tercera parte.
8.1.2 Selección
Control
Se deberían realizar revisiones para la verificación de antecedentes de los candidatos a ser
empleados, contratistas o usuarios de terceras partes, de acuerdo con los reglamentos, la ética
y las leyes pertinentes, y deben ser proporcionales a los requisitos del negocio, la clasificación
de la información a la cual se va a tener acceso y los riesgos percibidos.
Guía de implementación
En las revisiones de verificación se deberían tener en cuenta la legislación pertinente a la
privacidad, la protección de datos personales y / o el empleo y, cuando se permite, debería
incluir lo siguiente:
a) disponibilidad de referencias de comportamiento satisfactorio, por ejemplo una laboral y
otra personal;
b) una verificación (para determinar la totalidad y exactitud) de la hoja de vida del
candidato;
c) confirmación de las calificaciones profesionales y académicas declaradas;
d) verificación de la identidad independiente (pasaporte o documento similar);
e) verificación de los detalles adicionales tales como créditos o antecedentes criminales.
Cuando un trabajo, bien sea por designación inicial o por promoción, implica que la persona
tenga acceso a los servicios de procesamiento de la información y, en particular, si en ellas se
maneja información sensible, como por ejemplo información financiera o de alta
confidencialidad, la organización debería considerar verificaciones adicionales más detalladas.
Los procedimientos deberían definir los criterios y las limitaciones para las revisiones de
verificación, por ejemplo quién es elegible para seleccionar al personal y cómo, cuándo y por
qué se realizan las verificaciones.
También deberían llevar a cabo un proceso de selección para los contratistas y los usuarios de
terceras partes. Cuando los contratistas son suministrados por una agencia, el contrato con la
agencia debería especificar claramente las responsabilidades de la agencia para la selección y
los procedimientos de notificación que es necesario seguir si la selección no se ha completado o si los resultados arrojan dudas o preocupación. De la misma manera, el acuerdo con la
tercera parte (véase el numeral 6.2.3) debería especificar claramente todas las
responsabilidades y los procedimientos de notificación para la selección.
La información sobre todos los candidatos que se consideran para los cargos dentro de la
organización se debería recolectar y manejar según la legislación adecuada existente en la
jurisdicción correspondiente. Dependiendo de la legislación que se aplique, se debería informar
con anticipación a los candidatos sobre las actividades de selección.
8.1.3 Términos y condiciones laborales
Control
Como parte de su obligación contractual, los empleados, contratistas y usuarios de terceras
partes deberían estar de acuerdo y firmar los términos y condiciones de su contrato laboral, el
cual debe establecer sus responsabilidades y las de la organización con relación a la seguridad
de la información.
Guía de implementación
Los términos y condiciones laborales deberían reflejar la política de seguridad de la
organización, además debería aclarar y establecer:
a) que todos los empleados, contratistas y usuarios de terceras partes que tengan acceso
a información sensible deberían firmar un acuerdo de confidencialidad o no-divulgación
antes de tener acceso a los servicios de procesamiento de información;
b) los derechos y responsabilidades legales de los empleados, los contratistas y cualquier
otro usuario, por ejemplo con respecto a las leyes de derechos de copia o la legislación
sobre protección de datos (véanse los numerales 15.1.1 y 15.1.2);
c) responsabilidades para la clasificación de la información y la gestión de los activos
asociados con sistemas y servicios de información manejados por el empleado, el
contratista o el usuario de tercer aparte (véanse los numerales 7.2.1 y 10.7.3);
d) responsabilidades del empleado, el contratista o el usuario de tercera parte para el
manejo de la información recibida de otras empresas o de partes externas;
e) responsabilidades de la organización para el manejo de la información personal,
incluyendo la información personal creada como resultado o durante el contrato laboral
con la organización (véase el numeral 15.1.4);
f) responsabilidades que van más allá de las instalaciones de la organización y de las
horas laborales, por ejemplo en el caso de trabajo en el domicilio (véanse los numerales
9.2.5 y 11.7.1);
g) acciones a tomar si el empleado, el contratista o el usuario de tercera parte hace caso
omiso de requisitos de seguridad de la organización (véase el numeral 8.2.3).
La organización debería garantizar que los empleados, los contratistas y los usuarios de
terceras partes están de acuerdo con los términos y las condiciones respecto a la seguridad de
la información según la naturaleza del acceso que tendrán a los activos de la organización
asociados con los sistemas y servicios de información.
Cuando sea apropiado, las responsabilidades contenidas en los términos y condiciones
laborales deberían continuar durante un periodo definido después de la terminación del
contrato laboral (véase el numeral 8.3)
Información adicional
Se puede utilizar un código de conducta que cubra las responsabilidades de los empleados,
contratistas y usuarios de terceras partes con relación a la confidencialidad, la protección de
datos, la ética, el uso adecuado de las instalaciones y los equipos de la organización, asÍ como
las prácticas acreditadas confiables esperadas por la organización. El contratista o los usuarios
de terceras partes se pueden asociar con una organización externa a la cual, a su vez, se le
puede exigir que entre en acuerdos contractuales a nombre de la persona contratada.
8.2 DURANTE LA VIGENCIA DEL CONTRATO LABORAL
Objetivo: asegurar que todos los empleados, contratistas y usuarios de terceras partes
estén conscientes de las amenazas y preocupaciones respecto a la seguridad de la
información, sus responsabilidades y sus deberes, y que estén equipados para apoyar la
política de seguridad de la organización en el transcurso de su trabajo normal, al igual
que reducir el riesgo de error humano.
Es conveniente definir las responsabilidades de la dirección para garantizar que se aplica
la seguridad durante todo el contrato laboral de una persona dentro de la organización.
Se debería brindar un nivel adecuado de concientización, educación y formación en los
procedimientos de seguridad y el uso correcto de los servicios de procesamiento de
información a todos los empleados, contratistas y usuarios de terceras partes para
minimizar los posibles riesgos de seguridad. Es conveniente establecer un proceso
disciplinario formal para el manejo de las violaciones de la seguridad.
8.2.1 Responsabilidades de la dirección
Control
La dirección debería exigir que los empleados, contratistas y usuarios de terceras partes
apliquen la seguridad según las políticas y los procedimientos establecidos por la organización.
Guía de implementación
Las responsabilidades de la dirección deberían incluir el garantizar que los empleados, los
contratistas y los usuarios de terceras partes:
a) estén adecuadamente informados sobre las funciones y las responsabilidades respecto
a la seguridad de la información antes de que se les otorgue acceso a información o
sistemas de información sensibles;
b) tengan las directrices para establecer las expectativas de seguridad de sus funciones
dentro de la organización;
c) estén motivados para cumplir las políticas de seguridad de la organización;
d) logren un grado de concientización sobre la seguridad correspondiente a sus funciones
y responsabilidades dentro de la organización (véase el numeral 8.2.2);
e) estén de acuerdo con los términos y las condiciones laborales, las cuales incluyen la
política de seguridad de la información de la organización y los métodos apropiados de
trabajo;
f) sigan teniendo las calificaciones y las habilidades apropiadas.
Información adicional
Si los empleados, contratistas y usuarios de terceras partes no están concientes de sus
responsabilidades, pueden causar un daño considerable a la organización. Es probable que el
personal motivado sea más confiable y cause menos incidentes de seguridad de la información.
Una gestión pobre puede hacer que el personal se sienta subvalorado lo que produce un
impacto negativo en la seguridad para la organización. Por ejemplo, la gestión pobre puede
llevar a que se ignore la seguridad o al uso potencial inadecuado de los activos de la
organización.
8.2.2 Educación, formación y concientización sobre la seguridad de la información
Control
Todos los empleados de la organización y, cuando sea pertinente, los contratistas y los
usuarios de terceras partes deberían recibir formación adecuada en concientización y
actualizaciones regulares sobre las políticas y los procedimientos de la organización, según sea
pertinente para sus funciones laborales.
Guía de implementación
La formación en concientización debería empezar con un proceso formal de introducción
diseñado para presentar las políticas de seguridad de la organización y las expectativas antes
de otorgar el acceso a la información o los servicios.
Es recomendable que la formación continua incluya los requisitos de seguridad, las
responsabilidades legales y los controles del negocio, así como la formación en el uso correcto
de los servicios de procesamiento de información como por ejemplo el procedimiento de
registro de inicio, el uso de paquetes de software y la información sobre el proceso disciplinario
(véase el numeral 8.2.3).
Información adicional
Las actividades de concientización, educación y formación sobre seguridad deberían serconvenientes y pertinentes a la función, las responsabilidades y las habilidades de la persona y
deberían incluir información sobre las amenazas conocidas, a quién contactar para obtener
asesoría adicional sobre seguridad y los canales apropiados para reportar los incidentes de
seguridad de la información (véase el numeral 13.1).
La formación para promover la concientización tiene como objetivo permitir que los individuos
reconozcan los problemas e incidentes de seguridad de la información y respondan de acuerdo con las necesidades de su función de trabajo.
8.2.3 Proceso disciplinario
Control
Debería existir un proceso disciplinario formal para los empleados que hayan cometidoalguna violación de la seguridad.
Guía de implementación
No se recomienda iniciar el proceso disciplinario antes de verificar que se ha presentado la
violación de la seguridad (véase el numeral 13.2.3 para la recolección de evidencia).
El proceso disciplinario formal debería garantizar el tratamiento imparcial y correcto para los
empleados de quienes se sospecha han cometido violaciones de la seguridad. El proceso
disciplinario formal debería brindar una respuesta gradual que considere factores tales como la naturaleza y la gravedad de la violación y su impacto en el negocio, si es la primera ofensa o se repite, si el violador estaba capacitado adecuadamente, la legislación correspondiente, los contratos de negocios y otros factores, según el caso. En los casos graves de mala conducta el proceso debería permitir el retiro instantáneo de las funciones, los derechos de acceso y los privilegios y el acompañamiento inmediato fuera de las instalaciones, si es necesario.
Información adicional
El proceso disciplinario también se debería utilizar como disuasión para evitar que los
empleados, los contratistas y los usuarios de terceras partes violen las políticas y los
procedimientos de seguridad de la organización, así como para cualquier otra violación de la seguridad.
8.3 TERMINACIÓN O CAMBIO DE LA CONTRATACIÓN LABORAL
Objetivo: asegurar que los empleados, los contratistas y los usuarios de terceras partessalen de la organización o cambian su contrato laboral de forma ordenada.
Se deberían establecer responsabilidades para asegurar la gestión de la salida de los
empleados, contratistas o usuarios de terceras partes de la organización y que se completa
la devolución de todo el equipo y la cancelación de todos los derechos de acceso.
Los cambios en las responsabilidades y las relaciones laborales dentro de la organización se deberían gestionar como la terminación de la respectiva responsabilidad o contrato laboral según esta sección y todos las contrataciones nuevas se deberían gestionar como se describe en el numeral 8.1.
8.3.1 Responsabilidades en la terminación
Control
Se deberían definir y asignar claramente las responsabilidades para llevar a cabo laterminación o el cambio de la contratación laboral.
Guía de implementación
La comunicación de las responsabilidades en la terminación debería incluir los requisitos
permanentes de seguridad y las responsabilidades legales y, cuando sea apropiado, las
responsabilidades contenidas en cualquier acuerdo de confidencialidad (véase el numeral durante un periodo definido después de terminar la contratación laboral del empleado, el
contratista o el usuario de terceras partes.
Los contratos del empleado, el contratista o el usuario de terceras partes deberían incluir las responsabilidades y deberes válidas aún después de la terminación del contrato laboral.
Los cambios en la responsabilidad o en el contrato laboral deberían ser gestionados como la terminación de la responsabilidad o el contrato laboral respectivo , y la nueva responsabilidad o contrato laboral se debería controlar tal como se describe en el numeral 8.1.
Información adicional
Por lo general, la función de recursos humanos es responsable del proceso total de terminación y actúa junto con el director supervisor de la persona que se va para gestionar los aspectos de seguridad de los procedimientos pertinentes. En el caso de un contratista, este proceso de responsabilidad en la terminación puede ser realizado por la agencia responsable del contratista y en el caso de otro usuario puede ser manejado por su organización.
Puede ser necesario informar a los empleados, clientes, contratistas o usuarios de terceras
partes los cambios en los acuerdos operativos y de personal.
8.3.2 Devolución de activos
Control
Todos los empleados, contratistas o usuarios de terceras partes deberían devolver todos los activos pertenecientes a la organización que estén en su poder al finalizar su contratación laboral, contrato o acuerdo.Guía de implementación
Se debería formalizar el proceso de terminación para incluir la devolución del software
previamente publicado, los documentos corporativos y los equipos. También es necesaria la devolución de otros activos de la organización tales como los dispositivos de cómputo móviles, las tarjetas de crédito, las tarjetas de acceso, el software, los manuales y la información almacenada en medios electrónicos.
Cuando un empleado, contratista o usuario de terceras partes adquiere equipo de la
organización o utiliza su propio equipo, se deberían seguir los procedimientos para garantizar que toda la información pertinente se transfiere a la organización y se elimina con seguridad de tal equipo (véase el numeral 10.7.1).
Cuando un empleado, contratista o usuario de terceras partes tiene un conocimiento que es
importante para la continuación de las operaciones, esa información debería estar
documentada y transferirse a la organización.
8.3.3 Retiro de los derechos de acceso
Control
Los derechos de acceso de todos los empleados, contratistas o usuarios de terceras partes a la información y a los servicios de procesamiento de información se deberían retirar al finalizar su contratación laboral, contrato o acuerdo o se deberían ajustar después del cambio.Guía de implementación
Después de la terminación, se deberían reconsiderar los derechos de acceso de la persona a los activos asociados con los sistemas y servicios de información. Ello determinará si es
necesario retirar los derechos de acceso. Los cambios en un cargo se deberían reflejar en el retiro de todos los derechos de acceso que no estén aprobados para el nuevo cargo. Los
derechos de acceso que se deberían adaptar o retirar incluyen acceso físico y lógico, claves, tarjetas de identificación, servicios de procesamiento de información (véase el numeral 11.2.4),
suscripciones y retiro de cualquier documentación que lo identifique como miembro actual de la organización. Si un empleado, contratista o usuario de terceras partes que se retira tiene contraseñas conocidas para permanecer activo, éstas se deberían cambiar en la terminación o el cambio de empleo, contrato o acuerdo.
Los derechos de acceso a los activos de información y a los servicios de procesamiento de
información se deberían reducir o retirar antes de la finalización o cambio del contrato laboral , dependiendo de la evaluación de factores de riesgo tales como:
a) si la terminación o el cambio es iniciativa del empleado, contratista o usuario de terceras
partes o por la dirección y el motivo de dicha terminación;
b) las responsabilidades actuales del empleado, contratista o cualquier otro usuario;
c) el valor de los activos actualmente accesibles.
Información adicional
En algunas circunstancias los derechos de acceso se pueden asignar con base en la
disponibilidad para otras personas diferentes al empleado, contratista o usuario de terceras
partes que se retira, por ejemplo las identificaciones de usuario para grupo. En dichas
circunstancias, las personas que se retiran se deberían eliminar de todas las listas de acceso de grupo y se deberían formular acuerdos para notificar a los otros empleados, contratistas o usuarios de terceras partes involucrados que ya no compartirán esta información con la persona que se retira.
En los casos de terminación iniciada por la dirección, los empleados, contratistas o usuarios de terceras partes descontentos pueden corromper deliberadamente la información o sabotear los servicios de procesamiento de información. En el caso de las personas que renuncian, ellas pueden intentar recolectar información para uso futuro.
No hay comentarios.:
Publicar un comentario