Seguridad de Recursos Humanos 1. Antes de Desarrollar El objetivo de la Seguridad de Recursos Humanos busca que los Empleados, Contratistas y Terceros entiendan sus responsabilidades y que si son convenientes para los papeles que ellos desempeñan, para recudir así el riego de Robo, Fraude o el mal uso de las Instalaciones, explicando antes de realizar el trabajo las responsabilidades frente a este y firmando una constancia de sus responsabilidades.
•
Papeles y responsabilidades
Control: El papel de la seguridad y la responsabilidad de los Empleados (Empleados, Contratistas y Terceros) deberán estar definidos y documentados, dependiendo de las políticas de la organización. Guía de Implementación: • Implementar y actuar conforme a la Política de Seguridad de la información de la organización. • Proteger la información de acceso no autorizado para prevenir descubrimiento, modificación o destrucción. • Realizar procesos o actividades de seguridad. • Asegurar que la responsabilidad esta asignada a la persona encargada. • Los acontecimientos de seguridad que se informen ponen en riesgo a la organización. Los papeles de seguridad y responsabilidades deben ser definidos y claramente comunicados a personal trabajo durante el proceso de selección para el empleo. Otra Información: La descripción del trabajo de seguridad y responsabilidad no puede ser conocida por personal no autoriza de la organización, de lo contrario debe de ser comunicado.
•
Selección
Control: La verificación a fondo nos dara a conocer sobre todos los candidatos del empleo (trabajo) los riegos percibidos, la cual se debe de realizar conforme a leyes y a los requerimientos de la organización. Guía de implementación: La comprobación de la verificación debe de tener en cuenta todo aislamiento relevante como la protección de los datos relevantes y si es permitido incluir lo siguiente: • Disponibilidad de las referencias. • Comprobación del Currículum (Datos personales). • Comprobación de las notas académicas y profesionales. • Comprobación de la identidad. • Verificación más detallada (Pasado Judicial). Si al Candidato (Empleados, Contratistas y Terceros) se le es llamado al empleo, implica que la persona tiene acceso a las instalaciones o la información, si la persona deberá manejar información sensible, la organización puede considerar comprobaciones más detalladas. Los procedimientos deberían definir criterios y limitaciones para comprobaciones de verificación del personal. De igual forma el proceso de selección también debe de ser aplicado para los Contratistas y Terceros, en el cual las agencias que proporcionan a los Contratistas y Terceros deben especificar claramente las responsabilidades del personal para definir si se han cumplido las metas pactadas. A los candidatos se les debe de informar de antemano sobre las actividades de selección.
•
Términos y condiciones de empleo
Control: Los candidatos deben de estar de acuerdo a firmar los términos y condiciones del empleo y de la organización, en el cual se les informara de las responsabilidades de la seguridad de la información. Guía de implementación: Los términos y las condiciones de empleo: • Que los candidatos con acceso sensible a la información deben de firmar una confidencialidad de no divulgar la información de la organización. • Responsabilidad de la clasificación de información y administración de los activos de la organización para los candidatos. • Responsabilidad del candidato a la hora de manejar la información recibida de otras empresas. • Responsabilidad de la organización para el manejo de información personal de los candidatos. • Responsabilidad con los acuerdos pactados fuera de la organización o fuera de horas de trabajo. • Acciones que se deben de tomar frente a incumplimiento de las exigencias de seguridad por parte del candidato. Si es necesario, las responsabilidades contenidas dentro de los términos y las condiciones de empleo deben seguir durante un período definido después del final del empleo. Otra Información: Un código de conducta puede ser usado para cubrir las responsabilidades del candidato, en cuanto a la confidencialidad, la protección de los datos, la ética, el uso apropiado del equipo e instalaciones de la organización.
2. Durante el Empleo El Objetivo es informar y asegurar a los Trabajadores (Empleados, Contratistas y Terceros) son conscientes de las posibles amenazas de la seguridad de la información y sus responsabilidades, que son equipados para mantener la política de seguridad y reducir el riesgo de error humano. Un nivel adecuado de conciencia, educación, y entrenamiento en procedimientos de seguridad y el correcto uso de instalaciones de procesamiento de información deben ser proporcionados a todos los Trabajadores para reducir al mínimo riesgos de seguridad posibles.
•
Responsabilidad de la administración
Control: La Administración deberá requerir a los Trabajadores aplicar la seguridad acuerdo a las políticas establecidas. Guía de implementación: Las responsabilidades de la Administración deberá asegurar a los Trabajadores: • Estar informados de sus papeles de seguridad antes de acceder a la información. • Proveer a los Trabajadores con pasos para las nuevas expectativas de seguridad. • Motivación para la realización de las políticas de seguridad. • Alcanzar un buen nivel de conocimiento de seguridad frente a sus papeles y responsabilidades en la organización. • Métodos apropiados de trabajo para la organización. • Seguir teniendo las habilidades apropiadas Otra información: Si los trabajadores no hacen caso de sus responsabilidades de seguridad pueden causar daño a la organización. Tener en cuenta que los trabajadores motivados pueden ser más confiables. La
poca Administración puede causar que los Trabajadores no se sientan valorados y se refleje con baja seguridad en la organización. • Conciencia de seguridad de Información, educación, y conocimiento Control: Los trabajadores de la organización, deberan recibir informacion de las politicas y procedimientos de la organización para conocer sus funciones y desempeñarlas. Guía de Implementación: Se debe de dar una inducción (enseñar) a los Trabajadores de la organización para definir las politicas de seguridad y las espectativas para poder acceder a la información. En la induccion se deben especificar las exigencias (uso de software), responsabilidades (uso correcto) y el control de la organización. Otra Información: En la induccion se incluira sobre las posibles amenazas y procedimientos para realizar informes. La capacitación a los Trabajadores promoverá la conciencia en la seguridad de la información, los problemas e incidentes y como responder según su papel laboral. •
Proceso disciplinario
Control: Habrá un proceso disciplinario para empleados que generen un hueco de seguridad (errores). Guía de implementación: Dicho proceso no será iniciado sin la previa verificación. Dicho proceso disciplinario brindara un trato justo al Trabajador sospechoso. El proceso se realizará en base a la gravedad del caso y su impacto en la organización. En casos de mala conducta se hará el retiro inmediato de derechos y privilegios y si es el caso se procede al despido inmediato. Otra Información: Dicho proceso será usado para prevenir a los Trabajadores, en las violaciones de las políticas y procedimientos de seguridad de la organización.
3. Terminación o Cambio de Empleo Asegurar que los empleados, contratistas o terceros realicen un cambio de empleo de una manera ordenada. La salida de un empleado, contratista o tercero será supervisado, y se revisara que todo el equipo y retiro de los accesos se cumplan correctamente. El cambio de responsabilidades y cargos de la organización se manejara como la terminación de la responsabilidad o empleo, y cualquier nuevo empleo será manejado. •
Terminación de Responsabilidades
Control: Las responsabilidades para la terminación del empleo o cambio de responsabilidad deben ser claramente definidas y asignadas. Guía de Implementación: La comunicación de terminación de responsabilidades incluirá necesidades de seguridad y responsabilidades legales, específicamente, responsabilidades contenidas dentro de los acuerdos de confidencialidad y las condiciones de empleo. Las responsabilidades y deberes aún válidos después de la terminación de empleo deben estar contenidos en los contratos del empleado, del con-
tratista o tercero. Los cambios de responsabilidad o de empleo deben ser manejados como la terminación respectiva de la responsabilidad o el empleo, y la responsabilidad nueva o empleo deben ser controlados. Otra Información: Recursos Humanos junto con el gerente de supervisión son generalmente los responsables de la terminación de procesos de la persona que se marcha. En el caso de un contratista, este proceso de terminación de responsabilidad puede ser emprendido por una agencia responsable del contratista, y en caso de otro usuario esto será manejado por su organización. Puede ser necesario informar a empleados, clientes, contratistas, o usuarios terceros de cambios de personal y disposiciones de operaciones.
•
Vuelta de Activo
Control: Todos los empleados, contratistas o terceros deberán devolver el activo de la organización que esté en su poder, a la terminación de su empleo, contrato o acuerdo. Guía de Implementación: El proceso de terminación debe ser formalizado para incluir la devolución de todo el software, documentos corporativos y equipos. Otros activos de la organización como dispositivos móviles, calculadoras, tarjetas de crédito, tarjetas de acceso y la información almacenada sobre medios de comunicación electrónicos también deben ser devueltos. En casos donde un empleado, contratista o tercero compren el equipo de la organización o usen su equipo personal, se realizara un proceso para asegurar que toda la información relevante sea transferida a la organización y borrada del equipo. En casos donde un empleado, el contratista o tercero tienen conocimiento importante para las operaciones de la empresa, esa información debe ser documentada y transferida a la organización. •
Retiro de Derechos de Acceso
Control: Los derechos de acceso de todos los empleados, contratistas y terceros a información e instalaciones de procesamiento de la información deben ser suspendidos en la terminación de su empleo. Guía de Implementación: Cuando hay terminación de contrato los derechos de acceso del individuo deben ser reconsiderados: • Determinar si es necesario quitar derechos de acceso. • Los cambios de un empleo implican el retiro de todos los derechos de acceso que no fueron aprobados al nuevo empleo. • Los derechos de acceso que deben ser quitados o adaptados incluyen físico, acceso lógico, llaves, tarjetas de identificación, suscripciones, y el retiro de cualquier documentación que los identifica como un miembro de la organización. • Si un empleado se marcha, y tenia conocimiento de contraseñas para cuentas que permanecen activas, estas deberán ser cambiados sobre la terminación o el cambio de empleo.
Los derechos de acceso a la información e instalaciones de procesamiento de información deben ser removidos antes de que el empleo termine o se cambie, dependiendo de la evaluación de factores de riesgo tales como: • Si la terminación o el cambio son iniciados por el empleado. • Las responsabilidades corrientes del empleado. • El valor del activo actualmente accesible. Otra Información: En los casos de terminación iniciada por la dirección: • Empleados disgustados, podrán generar información corrupta o sabotaje de las instalaciones de procesamiento de la información. • En el caso de personas resignadas, pueden tentarlos para robar la información para su uso futuro.