| 25 años generando CONFIANZA
Sistema de Gestión de Seguridad de la Información
ISO 27001 es una norma que protege la información de la organización en la que esté implantada. Esta información puede ser de muchos tipos, como por ejemplo la relativa a la gestión de los Recursos Humanos.
Esta gestión debe abarcar las áreas de selección y contratación de empleados, la formación y la salida de los mismos de la empresa.
Selección y contratación de los empleados
Una persona puede incorporarse a una empresa por primera vez o cambiar de puesto dentro de la misma. Sea como sea esto implica un acceso nuevo a información de carácter sensible para la empresa y, que si tiene implantada la norma ISO-27001 estará protegida. Aun así es necesario plantear acciones preventivas para que un mal uso de la información no provoque riesgos de consecuencias indeseables.
Cuando se va a contratar a una persona, la organización debería comprobar sus antecedentes, dentro de los márgenes de la legislación en privacidad y protección de datos, verificando el contenido de su currículum, las certificaciones académicas y profesionales.
En el contrato que se vaya a firmar deben estar plasmados las condiciones y términos sobre la responsabilidad en seguridad de la información a la que tendrá acceso el nuevo empleado, y que éste deberá aceptar. Estas cláusulas deben contener al menos:
- Responsabilidades sobre la propiedad intelectual y protección de datos.
- Obligación de confidencialidad y de no revelar ningún dato de la organización.
- Responsabilidades sobre el tratamiento de recursos y la clasificación de la información.
- Acciones a llevar a cabo en caso de incumplimiento de requisitos de seguridad y/o de la política.
- Responsabilidades con la información que reciba de otras compañías y la que se trata fuera de la organización.
Formación de empleados
Los empleados deben estar seguros de sus funciones y de las acciones que lleven a cabo en la empresa para no cometer errores que puedan afectar a la integridad de la información de la organización. Para que esto sea así deberán recibir la formación, educación, motivación y concienciación necesaria acerca de procedimientos de seguridad y el correcto uso de la información.
Estas obligaciones son responsabilidad de la organización que, según ISO27001 debe manifestar su liderazgo y compromiso en relación al Sistema de Gestión de la Seguridad de la Información.
Además de recibir esta formación, un empleado debe tener claro con quien debe ponerse en contacto en caso de requerir un asesoramiento de seguridad y qué procedimientos existen para identificar y gestionar incidencias de seguridad.
Cuando se genere una incidencia se aplicará el proceso disciplinario establecido previamente. Tendrán que ser medidas ajustadas a la gravedad de la infracción ocurrida y al entorno donde se produjo.
Finalización del trabajo o cambio de puesto
Desde el momento en que se decide que un empleado saldrá de la empresa hay que llevar a cabo una gestión de dicha salida. Esta gestión debe tratar la retirada de los privilegios y permisos de acceso, del material que estaba utilizando y de cualquier otro que tenga posesión.
Si lo que se produce es un cambio de puesto de trabajo dentro de la misma empresa, a este empleado se le deberán retirar los accesos que ya no le sean necesarios y cambiar cualquier contraseña de acceso a cuentas que ya tampoco vaya a necesitar.
En estos casos influyen aspectos como:
- Causa de finalización del puesto de trabajo.
- Responsabilidades del empleado.
- Valor de la información que manejaba.
Según el caso se podría hasta retirar los derechos de los que disfrutase el empleado un día antes de su salida, y si participara en grupos de trabajo, éstos deberían tenerlo en conocimiento para dejar de compartir información con él.
Software ISO 27001
La Plataforma Tecnológica ISOTools incluye los elementos necesarios para llevar a cabo una buena gestión de los Recursos Humanos, y maneja todos los aspectos de ISO 27001 con el objetivo de automatizar dicho Sistema de Gestión y mantener la integridad, confidencialidad y disponibilidad de la información.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...