Seguridad relativa a los recursos humanos según ISO 27001

Introducción a la seguridad en recursos humanos según ISO 27001

Según ISO 27001, la implantación de un Sistema de Gestión de Seguridad de la información aporta a las compañías un conjunto de políticas de seguridad, procedimientos y otros mecanismos necesarios para controlar y establecer todas las reglas de seguridad de la información de una organización.

No hace falta destacar que la información es uno de los activos más importantes de una empresa. Esta no solo está relacionada directamente con el capital económico de la compañía. En muchas ocasiones también recoge datos clave del personal que forma parte de la misma, como por ejemplo direcciones, datos de contacto, horarios, números de cuestas o incluso enfermedades.

Es por esto por lo que a la hora de implantar un Sistema de Seguridad de la Información según ISO 27001, el personal de la propia organización deberá de ocupar un papel muy importante dentro de dicho sistema.

Además de tener en cuenta la información relacionada con los trabajadores, también habrá que trabajar en inculcar en estos la importancia de contar con un Sistema de Gestión de Seguridad de la Información, así como aquellos requisitos que tengan que adoptar para que este pueda ser implantado sin ningún tipo de problema por su parte.

El capital humano es un activo clave a la hora de implantar un Sistema de Gestión de Seguridad de la Información según ISO 27001. De manera que habrá que contar con este como un activo propio. En esta ocasión se hace referencia a los aspectos que el Anexo A de la norma recoge de cara a tratar los recursos humanos.

La importancia de un Sistema de Gestión de Seguridad de la Información

En un entorno empresarial cada vez más digitalizado, los riesgos relacionados con la seguridad de la información crecen exponencialmente. Un Sistema de Gestión de Seguridad de la Información es esencial para proteger los datos sensibles de una empresa frente a amenazas como ciberataques, accesos no autorizados o errores humanos.

El SGSI proporciona un enfoque estructurado y sistemático para identificar, evaluar y mitigar riesgos, asegurando la confidencialidad, integridad y disponibilidad de la información. Además, ayuda a cumplir con normativas legales y estándares internacionales, fortaleciendo la confianza de clientes, socios y partes interesadas.

Implementar un SGSI protege los activos más valiosos de la empresa, mejora la resiliencia frente a incidentes y asegura la continuidad del negocio, convirtiéndose en un pilar clave para el éxito sostenible en el entorno competitivo actual.

Relación entre recursos humanos y la seguridad de la información

Los recursos humanos desempeñan un papel fundamental en la seguridad de la información, ya que los empleados, contratistas y terceros son a la vez el mayor activo y el mayor riesgo en este ámbito. Una gestión adecuada del personal, alineada con las políticas y procedimientos de seguridad, es clave para minimizar errores humanos, prevenir negligencias y mitigar posibles amenazas internas.

Desde el proceso de selección y contratación, es crucial realizar verificaciones de antecedentes y garantizar que los empleados comprendan sus responsabilidades en materia de seguridad. Durante el empleo, la formación continua y la concienciación son esenciales para fomentar buenas prácticas y garantizar el cumplimiento de las normativas internas.

Asimismo, en la finalización o cambio de empleo, Recursos Humanos debe asegurarse de la revocación de accesos, la devolución de activos y la continuidad de las obligaciones legales, como la confidencialidad. Esta estrecha relación entre recursos humanos y la seguridad de la información refuerza la protección de los activos organizacionales y contribuye a construir una cultura sólida de seguridad.

Tres etapas clave de los recursos humanos en ISO 27001

ISO 27001 recoge tres momentos importantes dentro de la vida del trabajador en los que este debe conocer y, por tanto, cumplir con las responsabilidades respectivas en relación con la seguridad de la información dentro de la compañía: Antes del empleo, durante el empleo y tras finalizar el empleo.

Antes del empleo: investigaciones y términos contractuales

• La investigación de antecedentes: esta se debe de llevar a cabo de acuerdo con las leyes y normas y códigos éticos que se han de aplicar en un determinado país y debe ser proporcional a las necesidades del negocio, la clasificación de la información a la que se accede y los riesgos que se hayan percibido.
• Términos y condiciones de empleo: tanto empleados como contratistas deben establecer los términos y condiciones en su contrato de trabajo en lo que respecta a la seguridad de la información, tanto hacia el empleado como hacia la organización.

Durante el empleo: responsabilidades y formación en seguridad

• Responsabilidades de gestión: la dirección deberá exigir a los empleados y contratistas que apliquen la seguridad de la información de acuerdo con las políticas y procedimientos establecidos en la organización.
• Concienciación, educación y capacitación en seguridad de la información: todos los empleados de la organización y, cuando corresponda, los contratistas deben recibir una adecuada educación, concienciación y capacitación con actualizaciones periódicas sobre las políticas y procedimientos de la organización, según corresponda a su puesto de trabajo.
• Proceso disciplinario: Debe existir un proceso disciplinario formal que haya sido comunicado a los empleados, que recoja las acciones a tomar ante aquellos que hayan provocado alguna brecha en la seguridad.

Después del empleo: obligaciones continuas y cambios en el puesto 

Las responsabilidades en seguridad de la información y obligaciones que siguen vigentes después del cambio o finalización del empleo se deben definir, comunicar al empleado o contratista y se deben cumplir. Estas obligaciones suelen incluir compromisos legales y contractuales, como la confidencialidad de la información a la que se tuvo acceso durante la relación laboral.

Ejemplo real de gestión deficiente en seguridad de recursos humanos

Hace unos días saltaba la alarma en una compañía británica en la que un antiguo empleado borró los servidores AWS en señal de venganza. Esto se debió a una mala gestión de los recursos humanos en relación con el Sistema de Gestión de Seguridad de la Información, si es que la empresa contaba con él.

Este acto tuvo consecuencias fatídicas, ya que la empresa perdió un número muy considerable de clientes. Entre ellos, una cuenta correspondiente a una importante empresa de transportes europea, cuya perdida se traduce en un daño económico de millones, miles y miles de dólares.

En muchas ocasiones no se es consciente de la gran cantidad de aspectos, personal, dispositivos y protocolos que afectan a la seguridad de la información en una empresa. Contar con un Software que ayude a la compañía a gestionar este aspecto le permitirá no solo evitar robos, violaciones o ataques contra la información de la compañía, sino que también contribuirá a llevar a cabo una evaluación contante en el tiempo que contribuirá a la mejora continua de este tipo de procesos.

Herramientas para mejorar la seguridad de recursos humanos según ISO 27001

El Software ISO 27001 para Riesgos y Seguridad de la Información está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

El Software se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.