ISO 27002.es

El portal de ISO 27002 en Español


Enlace Apadrinado

Video Info

7. Seguridad Ligada a los recursos humanos

El objetivo del presente dominio es la necesidad de educar e informar al personal desde su ingreso y en forma continua, cualquiera sea su situación de actividad, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de seguridad y asuntos de confidencialidad.

Es necesario reducir los riesgos de error humano, comisión de actos ilícitos, uso inadecuado de instalaciones y recursos y manejo no autorizado de la información, junto a la definición de posibles sanciones que se aplicarán en caso de incumplimiento.


Se requiere explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado, así como, garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad de la organización en el transcurso de sus tareas normales.


Suele ser responsabilidad del Área de Recursos Humanos incluir las funciones relativas a la seguridad de la información en las descripciones de puestos de los empleados, informar a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información, gestionar los Compromisos de Confidencialidad con el personal y coordinar las tareas de capacitación de usuarios respecto a las necesidades actuales en seguridad.


El Responsable del Área Jurídica participa en la confección del Compromiso de Confidencialidad a firmar por los empleados y terceros que desarrollen funciones en el organismo, en el asesoramiento sobre las sanciones a ser aplicadas por incumplimiento de las Políticas en seguridad y en el tratamiento de incidentes de seguridad que requieran de su intervención.


Objetivo de control


Objetivo

El objetivo es el de asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios.

7.1 Antes de la contratación

Las responsabilidades de la seguridad se deberían definir antes de la contratación laboral mediante la descripción adecuada del trabajo y los términos y condiciones del empleo.


Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se deberían seleccionar adecuadamente, especialmente para los trabajos sensibles.


Los empleados, contratistas y usuarios de terceras partes de los servicios de procesamiento de la información deberían firmar un acuerdo sobre sus funciones y responsabilidades con relación a la seguridad.


Conjuntamente con RRHH, de debería asegurar que se emplea un proceso de verificación de antecedentes proporcional a la clasificación de seguridad de aquella información a la que va a acceder el empleado a contratar. Dicho simplemente, el proceso de contratación de un administrador de sistemas TI debería ser muy diferente del de un administrativo. Haga comprobaciones de procedencia, formación, conocimientos, etc.


Actividades de control del riesgo

7.1.1 Investigación de antecedentes: Se deberían realizar revisiones de verificación de antecedentes de los candidatos al empleo en concordancia con las regulaciones, ética y leyes relevantes y deben ser proporcionales a los requerimientos del negocio, la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos.


7.1.2 Términos y condiciones de contratación: Como parte de su obligación contractual, empleados, contratistas y terceros deberían aceptar y firmar los términos y condiciones del contrato de empleo, el cual establecerá sus obligaciones y las obligaciones de la organización para la seguridad de información.


Métricas asociadas

Porcentaje de nuevos empleados o pseudo-empleados (contratistas, consultores, temporales, etc.) que hayan sido totalmente verificados y aprobados de acuerdo con las políticas de la empresa antes de comenzar a trabajar.


Enlaces a soluciones recomendadas

ASIS International: Guía en inglés de cómo realizar comprobaciones de antecedentes a la hora de contratar personal.


BSI: Código de buenas prácticas en inglés, publicado por BSI, relativo a la comprobación de antecendentes para empleados en entornos de seguridad.


CNI: NS/02: Seguridad en el personal. Habilitación de seguridad. Publicada por la Autoridad Delegada para la Seguridad de la Información Clasificada de España.


Elena Larrauri / James B. Jacobs: Estudio legal sobre la solicitud de certificado de antercedentes penales a trabajadores en España.


GesConsultor: GesConsultor es una herramienta de pago (alquiler mensual) de gestión de SGSIs, que incluye un módulo de gestión de roles y responsabilidades.


National Association of Professional Background Screeners: Asociación que proporciona opiniones relevantes a entidades legales estatales, nacionales e internacionales en relación a asuntos relacionados con la industria de selección y supervisión del personal. De origen EEUU existen capítulos en LatAm y Europa, entre otros países y regiones.



Objetivo de control


Objetivo

El objetivo es el de asegurarse de que los empleados y contratistas están en conocimiento y cumplen con sus responsabilidades en seguridad de la información.


7.2 Durante la contratación

Se debería definir las responsabilidades de la Dirección para garantizar que la seguridad se aplica en todos los puestos de trabajo de las personas de la organización.


A todos los usuarios empleados, contratistas y terceras personas se les debería proporcionar un adecuado nivel de concienciación, educación y capacitación en procedimientos de seguridad y en el uso correcto de los medios disponibles para el procesamiento de la información con objeto de minimizar los posibles riesgos de seguridad.


Se debería establecer un proceso disciplinario normal para gestionar las brechas en seguridad.


La responsabilidad con respecto a la protección de la información no finaliza cuando un empleado se va a casa o abandona la organización. Asegure que esto se documenta claramente en materiales de concienciación, contratos de empleo, etc.


Contemple la posibilidad de una revisión anual por RRHH de los contratos junto con los empleados para refrescar las expectativas expuestas en los términos y condiciones de empleo, incluyendo su compromiso con la seguridad de la información.


Actividades de control del riego

7.2.1 Responsabilidades de gestión: La Dirección debería requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las políticas y los procedimientos.


7.2.2 Concienciación, educación y capacitación en SI: Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deberían recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.


7.2.3 Proceso disciplinario: Debería existir un proceso formal disciplinario comunicado a empleados que produzcan brechas en la seguridad.


Métricas asociadas

Respuesta a las actividades de concienciación en seguridad medidas por (por ejemplo) el número de e-mails y llamadas relativas a iniciativas de concienciación individuales.


Enlaces a soluciones recomendadas

AGPD: En esta página la Agencia Española de Protección de Datos pone a disposición de los ciudadanos información, consejos así como recursos y materiales para fomentar un uso seguro de Internet.


CCN-CERT: CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). Dispone de cursos online públicos de formación en análisis de riesgos y Esquema Nacional de Seguridad, además de convocatorias de cursos presenciales y privados.


derechoycambiosocial.com: Análisis de la sentencia STS 1323/2011 del Tribunal Supremo español.


ENISA: Documento en español publicado por ENISA (Agencia Europea de Seguridad de las Redes y de la Información) conteniendo plantillas de cuestionarios, con respuestas, sobre aspectos de seguridad de la información.


ENISA: ENISA ha producido material útil (clips de vídeo, ilustraciones, posters, salvapantallas) que hará que los empleados sean conscientes de los riesgos de seguridad de la información y recordarles las buenas prácticas. El material de ENISA están disponibles en distintos idiomas incluido el español para ser descargados y usados en cualquier programa de formación de seguridad de la información y en la actividad de sensibilización desde la web de la empresa.


ENISA: Material de capacitación para PYMES que puede ser utilizada por individuos o presentado en una sala de formación por los instructores que participan en el esfuerzo de su organización en temas de seguridad. Las guías de referencia de "formación de formadores" proporcionan información adicional y referencias externas para formadores y presentadores para utilizar durante el entrenamiento en concienciación de seguridad.


INTECO: Una forma de despertar el interés de los empleados por la seguridad de la información es formarles en aspectos que afectan a su uso privado de las TIC. Los manuales de INTECO pueden ayudar a preparar programas de formación sobre: qué es y cómo prevenir el sexting en adolescentes, seguridad y privacidad en la Web 2.0, seguridad y privacidad en comercio electrónico, uso de videojuegos por menores, uso seguro del DNI electrónico en Internet, configuración de privacidad y seguridad en las redes sociales, ciberbullying y grooming, protección de WI-FI en el hogar, protección y uso seguro del teléfono móvil, menores de edad en las redes sociales e Internet, cómo actuar ante ataques a la propia imagen en Internet, aspectos legales de la privacidad en Internet, etc.


INTECO: Curso introductorio gratuito de 20h. a los Sistemas de Gestión de la Seguridad de la Información (SGSI) según la norma UNE-ISO/IEC 27001. Se dan a conocer los conceptos básicos necesarios para introducir al usuario en la gestión de la Seguridad de la Información, así como conocer la dimensión y alcance que suponen la implantación, certificación y mantenimiento de un SGSI en una organización, en base a la norma ISO/IEC 27001.


INTECO: Guía de INTECO en español sobre la utilización de las tecnologías de la información en el ámbito laboral y sus consideraciones legales.


INFORMATION SECURITY ENCYCLOPEDIA: Cada vídeo presenta una lección sobre un tema de seguridad. Unos tienen un enfoque generalista e introductorio y otros más específicos, incluso con cierto nivel de dificultad y en ese caso orientado a técnicos y especialistas. Al final de cada lección encontrarás un conjunto de preguntas que te servirán de autoevaluación.


ISO27001Security: Concienciación para directivos: caso de estudio en inglés sobre el valor de negocio de ISO 27001. .


ISQ: Formación en inglés sobre en qué consiste y cómo informar de Incidentes de seguridad. Sirve como modelo de formación útil a implantar internamente por una organización. IQS dispone de material diverso de demostración y tambien para su adquisición y traducción al español.


Kirkpatrick: El Modelo Kirkpatrick es una metodología ampliamente extendida de evaluación de la eficacia de acciones de formación. Previo registro, en este sitio se tiene acceso gratuito a información y herramientas sobre el modelo. El libro oficial es de pago (también traducido al español).


LAMP Security: LAMPSecurity training está diseñado mediante una serie de imágenes de máquinas virtuales vulnerables junto con la documentación complementaria diseñada para enseñar seguridad en linux, apache, php, mysql.


Management Games and Simulations: Lista recopilatoria de diversos juegos de simulación en gestión de servicios TI, continuidad de negocio, gestión del riesgo, entre otros y para la formación en diferentes aspectos como toma de conciencia, organización del personal y roles a desempeñar en los diferentes casos.


Microsoft: Microsoft Security Awareness Toolkit: conjunto de herramientas en inglés de Microsoft para planificar, diseñar y desplegar un programa de concienciación en seguridad de la información en una organización.


MindfulSecurity.com: Portal en inglés con recursos, enlaces e ideas sobre concienciación en seguridad de la información.


NIST: SP800-50: Guía para generar un plan de concienciación y formación en seguridad de la información publicado por el NIST (National Institute of Standards and Technology) de EEUU.


NIST: SP800-16: Guía para un plan de formación basado en funciones y responsabilidades publicado por el NIST (National Institute of Standards and Technology) de EEUU. Va acompañado de 2 anexos: AppendixA-D y Appendix_E.


NOTICEBORED: Conjunto de herramientas y servicios de concienciación. En general, no gratuitas, aunque algunos elementos sí son de libre acceso.


SEINHE: Consideraciones relativas al proceso disciplinario laboral en España.


Tribunal Supremo: Jurisprudencia del Tribunal Supremo español relativa al despido de trabajadores por uso inapropiado de medios informáticos. Hacer clic en el enlace e introducir en el campo "Texto a buscar": 28079140012011100178 para la sentencia STS 1323/2011 y 28079140012007101065 para la sentencia STS 6128/2007.


Wikipedia: Enlaces a distintas plataformas de aprendizaje en línea (LMS: software instalado en un servidor, que se emplea para administrar, distribuir y controlar las actividades de formación no presencial o e-Learning de una institución u organización).



Objetivo de control


Objetivo

El objetivo es el de proteger los intereses de la organización durante el proceso de cambio o finalización de empleo por parte de empleados y contratistas.

7.3 Cese o cambio de puesto de trabajo

Se deberían establecer las responsabilidades para asegurar que el abandono de la organización por parte de los empleados, contratistas o terceras personas se controla, que se devuelve todo el equipamiento y se eliminan completamente todos los derechos de acceso.


Los cambios en las responsabilidades y empleos en la organización se deberían manejar, en el caso de su finalización en línea con esta sección, y para el caso de nuevos empleos como se describe en la sección 7.1.


La devolución de los activos de la organización cuando un empleado se marcha sería mucho más sencilla de verificar si el inventario de activos ha sido actualizado y verificado regularmente.


Examine qué accesos necesita revocar en primer lugar cuando un empleado presenta su carta de dimisión: ¿cuáles son los sistemas más críticos o vulnerables?.


Haga un seguimiento del uso del e-mail por estas personas antes de salir definitivamente de la empresa, por si comienzan a sacar información confidencial (sujeto a las políticas aplicables y a consideraciones legales sobre privacidad).


Actividades de control del riego

7.3.1 Cese o cambio de puesto de trabajo: Las responsabilidades para ejecutar la finalización de un empleo o el cambio de éste deberían estar claramente definidas, comunicadas a empleado o contratista y asignadas efectivamente.


Métricas asociadas

Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la organización, separados por las categorías de activos (pendientes de desactivación) e inactivos (pendientes de archivo y borrado).


Enlaces a soluciones recomendadas

Universidad Javeriana: Procedimiento interno para la devolución, manejo y disposición de activos.