Seguridad Ligada a los Recursos Humanos

Anexo 7 - ISO 27001

Video Consejo INCIBE

Kit concienciación para empresas


Explicación orientativa


El objetivo del presente dominio es la necesidad de educar e informar al personal desde su ingreso y en forma continua, cualquiera sea su situación de actividad, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de seguridad y asuntos de confidencialidad.

Es necesario reducir los riesgos de error humano, comisión de actos ilícitos, uso inadecuado de instalaciones y recursos y manejo no autorizado de la información, junto a la definición de posibles sanciones que se aplicarán en caso de incumplimiento.

Se requiere explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado.

Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información y se encuentren capacitados para respaldar la Política de Seguridad de la organización en el transcurso de sus tareas normales es esencial y se considera la una de las barreras de seguridad y de protección esenciales en cualquier organización.


Suele ser responsabilidad del Área de Recursos Humanos incluir las funciones relativas a la seguridad de la información en las descripciones de puestos de los empleados, informar a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información, gestionar los Compromisos de Confidencialidad con el personal y coordinar las tareas de capacitación de usuarios respecto a las necesidades actuales en seguridad.

El Responsable del Área Jurídica participa en la confección del Compromiso de Confidencialidad a firmar por los empleados y terceros que desarrollen funciones en el organismo, en el asesoramiento sobre las sanciones a ser aplicadas por incumplimiento de las Políticas en seguridad y en el tratamiento de incidentes de seguridad que requieran de su intervención.

7.1 Antes de la contratación

El objetivo es el de asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios.

La indefinición de las responsabilidades de la seguridad antes de la contratación laboral mediante la descripción adecuada del trabajo y los términos y condiciones del empleo provoca la indefinición de las tareas específicas que cada empleado debe atender en su puesto de trabajo a diario.

Esto transmite a los empleados una cultura de la seguridad de la información basada en que es una cuestión exclusiva asignada al responsable directo y al departamento de TI, del mismo modo que la seguridad física dependería de la empresa o personal designado sin que el resto de personal tenga apenas nada que hacer abriendo la puerta a la explotación de la ingeniería social.

El proceso de selección y contratación de candidatos para el empleo directo y personal designado por los contratistas y los usuarios de terceras partes se deberían seleccionar adecuadamente, especialmente para los trabajos sensibles. La falsificación de certificados es una práctica más habitual de lo que se puede pensar y que respalda unas competencias que realmente no se garantizan poniendo en riesgo la operativa y seguridad de la oganización. 

Los empleados, contratistas y usuarios de terceras partes de los servicios de procesamiento de la información deberían firmar un acuerdo sobre sus funciones y responsabilidades con relación a la seguridad con formas de controlar que lo firmado efectivamente está siendo llevado a la práctica en relación a las políticas y obligaciones aplicables.

7.1.1 Investigación de antecedentes: Se deberían realizar revisiones de verificación de antecedentes de los candidatos al empleo en concordancia con las regulaciones, ética y leyes relevantes y deben ser proporcionales a los requerimientos del negocio, la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos.

7.1.2 Términos y condiciones de contratación: Como parte de su obligación contractual, empleados, contratistas y terceros deberían aceptar y firmar los términos y condiciones del contrato de empleo, el cual establecerá sus obligaciones y las obligaciones de la organización para la seguridad de información.

Porcentaje de nuevos empleados o pseudo-empleados (contratistas, consultores, temporales, etc.) que hayan sido totalmente verificados y aprobados de acuerdo con las políticas de la empresa antes de comenzar a trabajar. 

CPNI - Personnel Security Maturity Model: El modelo de madurez del Centro de protección de infraestructuras críticas del Reino unido "CPNI PerSec" ha sido diseñado para evaluar específicamente la madurez de seguridad del personal de una organización. Este es un factor clave, además de las medidas de seguridad física y cibernética, para fortalecer la resistencia de una organización a las amenazas de seguridad internas y externas más amplias.


BSI: Código de buenas prácticas en inglés, publicado por BSI, relativo a la comprobación de antecendentes para empleados en entornos de seguridad.


CNI: NS/02: Seguridad en el personal. Habilitación de seguridad. Publicada por la Autoridad Delegada para la Seguridad de la Información Clasificada de España.


Elena Larrauri / James B. Jacobs: Estudio legal sobre la solicitud de certificado de antercedentes penales a trabajadores en España.


GesConsultor: GesConsultor es una herramienta de pago (alquiler mensual) de gestión de SGSIs, que incluye un módulo de gestión de roles y responsabilidades.


National Association of Professional Background Screeners: Asociación que proporciona opiniones relevantes a entidades legales estatales, nacionales e internacionales en relación a asuntos relacionados con la industria de selección y supervisión del personal. De origen EEUU existen capítulos en LatAm y Europa, entre otros países y regiones.



7.2 Durante la contratación

El objetivo es el de asegurarse de que los empleados y contratistas están en conocimiento y cumplen con sus responsabilidades en seguridad de la información.

La falta de atención o de definición de las responsabilidades asociada a la seguridad de la información impide la aplicación efectiva y eficaz de las medidas de seguridad en todos los puestos de trabajo aumentando el nivel de vulnerabilidad de la organización drásticamente.

La falta de un adecuado nivel de concientización, educación y capacitación a todos los usuarios empleados, contratistas y terceras personas en procedimientos de seguridad y en el uso correcto de los medios disponibles para el procesamiento de la información aumenta la cantidad, frecuencia e impacto de los posibles riesgos de seguridad.

La falta de mantenimiento de las responsabilidades con respecto a la protección de la información fuera de las horas de trabajo o de las instalaciones corporativas permite el acceso a terceros a sus activos y/o información corporativa más fácilmente (p.ej. acceso a conversaciones confidenciales en ubicaciones públicas, visibilidad por encima del hombro de pantallas de computadoras portátiles o teléfonos inteligentes) .

La falta de métricas o revisiones frecuentes en el grado de implantación de los programas de concienciación y observancia de las medidas de seguridad de la información evita conocer el grado de madurez del personal y el modo de mejorar el nivel para una protección real y eficaz.

Una falta de control en la gestión actualizada de las competencias y concientización de los empleados manteniendo situaciones de mal entrenamiento, descontento, negligencia o deshonestidad de manera intencionada o inadvertida puede acarrear consecuencias, entre otras posibles, como:

• Exposición física del personal de la organización y/o chantajes 
• Recolección de información de la organización para diversos propósitos
• Uso abusivo de los medios técnicos de la organización para diversos propósitos 
• Fraude, robo
• Sobornos por acceso a información sensible/confidencial
• Introducción de datos falsificados y/o corruptos
• Intercepción de las comunicaciones de la empresa (redes, plataformas o sistemas)
• Código malicioso (por ejemplo, virus, bomba lógica,
Caballo de Troya)
• Acceso y venta de información personal de usuarios y clientes
• Errores, sabotajes y/o intrusión y accesos en el sistema

7.2.1 Responsabilidades de gestión: La Dirección debería requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las políticas y los procedimientos.

7.2.2 Concienciación, educación y capacitación en SI: Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deberían recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.

7.2.3 Proceso disciplinario: Debería existir un proceso formal disciplinario comunicado a empleados que produzcan brechas en la seguridad.

Respuesta a las actividades de concienciación en seguridad medidas por (por ejemplo) el número de e-mails y llamadas relativas a iniciativas de concienciación individuales.

AGPD: En esta página la Agencia Española de Protección de Datos pone a disposición de los ciudadanos información, consejos así como recursos y materiales para fomentar un uso seguro de Internet.


CCN: CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). Dispone de cursos online públicos de formación en análisis de riesgos y Esquema Nacional de Seguridad, además de convocatorias de cursos presenciales y privados.


derechoycambiosocial.com: Análisis de la sentencia STS 1323/2011 del Tribunal Supremo español.


ENISA: ENISA ha producido material útil (clips de vídeo, ilustraciones, posters, salvapantallas) que hará que los empleados sean conscientes de los riesgos de seguridad de la información y recordarles las buenas prácticas. El material de ENISA están disponibles en distintos idiomas incluido el español para ser descargados y usados en cualquier programa de formación de seguridad de la información y en la actividad de sensibilización desde la web de la empresa.


ENISA: Material de capacitación para PYMES que puede ser utilizada por individuos o presentado en una sala de formación por los instructores que participan en el esfuerzo de su organización en temas de seguridad. Las guías de referencia de "formación de formadores" proporcionan información adicional y referencias externas para formadores y presentadores para utilizar durante el entrenamiento en concienciación de seguridad.


INCIBE: Cursos en seguridad de la información.


INCIBE: Guías en español sobre la utilización de las tecnologías de la información en el ámbito laboral y sus consideraciones legales.


INFORMATION SECURITY ENCYCLOPEDIA: Cada vídeo presenta una lección sobre un tema de seguridad. Unos tienen un enfoque generalista e introductorio y otros más específicos, incluso con cierto nivel de dificultad y en ese caso orientado a técnicos y especialistas. Al final de cada lección encontrarás un conjunto de preguntas que te servirán de autoevaluación.


ISO27001Security: Caso genérico de concienciación sobre el valor de negocio de ISO 27001.


ISQ: Formación en inglés sobre en qué consiste y cómo informar de Incidentes de seguridad. Sirve como modelo de formación útil a implantar internamente por una organización. IQS dispone de material diverso de demostración y tambien para su adquisición y traducción al español.


Kirkpatrick: El Modelo Kirkpatrick es una metodología ampliamente extendida de evaluación de la eficacia de acciones de formación. Previo registro, en este sitio se tiene acceso gratuito a información y herramientas sobre el modelo. El libro oficial es de pago (también traducido al español).


LAMP Security: LAMPSecurity training está diseñado mediante una serie de imágenes de máquinas virtuales vulnerables junto con la documentación complementaria diseñada para enseñar seguridad en linux, apache, php, mysql.


Management Games and Simulations: Lista recopilatoria de diversos juegos de simulación en gestión de servicios TI, continuidad de negocio, gestión del riesgo, entre otros y para la formación en diferentes aspectos como toma de conciencia, organización del personal y roles a desempeñar en los diferentes casos.


MindfulSecurity.com: Portal en inglés con recursos, enlaces e ideas sobre concienciación en seguridad de la información.


NIST: SP800-50: Guía para generar un plan de concienciación y formación en seguridad de la información publicado por el NIST (National Institute of Standards and Technology) de EEUU.


NIST: SP800-16: Guía para un plan de formación basado en funciones y responsabilidades publicado por el NIST (National Institute of Standards and Technology) de EEUU. Va acompañado de 2 anexos: AppendixA-D y Appendix_E.


NOTICEBORED: Conjunto de herramientas y servicios de concienciación. En general, no gratuitas, aunque algunos elementos sí son de libre acceso.


SMARTFENSE: Plataforma de Concienciación y Entrenamiento en Seguridad de la Información creada y orientada específicamente para público de habla Hispana con información y una serie de herramientas gratuitas sin publicidad relacionadas con la Ingeniería Social.


Tribunal Supremo: Jurisprudencia del Tribunal Supremo español relativa al despido de trabajadores por uso inapropiado de medios informáticos. Hacer clic en el enlace e introducir en el campo "Texto a buscar": 28079140012011100178 para la sentencia STS 1323/2011 y 28079140012007101065 para la sentencia STS 6128/2007.


Wikipedia: Enlaces a distintas plataformas de aprendizaje en línea (LMS: software instalado en un servidor, que se emplea para administrar, distribuir y controlar las actividades de formación no presencial o e-Learning de una institución u organización).

Capacity - IT Academy: Empresa que desarrolla Cursos Especializados, Presenciales, En Videos y a Distancia (online), de preparación para aprobar exitosamente certificaciones de la industria IT.  Formación online en abierto sobre frameworks y productos específicos como  ITIL®, CCNA®, CCNA® Voice, CCNA® Security, Asterisk, Linux, JAVA, PHP, Windows...

Curso MOOC de Ciberseguridad URJC:  Lista completa con los 44 videos explicativos en las diversas materias de las que consta el curso. Es práctico y requiere de ciertos conocimientos en materias técnicas aunque no en Ciberseguridad.

SEToolkit: La ingeniería social es el arte de hackear humanos. En otras palabras, es un conjunto de técnicas (técnicas y no técnicas) que se utilizan para obtener información útil y sensible de otros que utilizan la manipulación psicológica. Una de las herramientas de ingeniería social más poderosas en Social Engineering Toolkit o simplemente SETkit. Fue desarrollado y mantenido por Trustedsec para ayudar a los evaluadores de penetración y piratas informáticos éticos a realizar ataques de ingeniería social.

KnowBe4: Capacitación interactiva y atractiva a pedido a través del navegador combinado con ataques de ingeniería social simulados ilimitados a través de correo electrónico, teléfono y texto.

Áudea ES-CIBER, solución integral de Concienciación en Ciberseguridad, riesgos, privacidad, cumplimiento normativo.

VANESA: Herramienta del CCN-CERT para facilitar la tarea de formación y sensibilización con toda su comunidad de referencia. A través de esta plataforma de retransmisión de vídeo en directo, se pretende reducir los desplazamientos, tanto en los cursos de formación, como en las reuniones de seguimiento de cualquier proyecto.

Hack the Box: Laboratorio de Pen testing gratuito para aprender y mejorar.

GetGoPhish: Marco Open Source para introducir campañas de Phising y verificar el nivel de establecimiento  de las políticas de seguridad en todos los empleados.

Stay Safe Online: Recopilación de enlaces a formación en Ciberseguridad y resursos profesionales.



7.3 Cese o cambio de puesto de trabajo

El objetivo es el de proteger los intereses de la organización durante el proceso de cambio o finalización de empleo por parte de empleados y contratistas.

La no eliminación de los accesos lógicos y físicos permite su posible uso extendido tanto por el personal que ya no forma parte de la organización como por parte de otros que acometerían una suplantación de identidad difícil de trazar.

En el caso de los cambios de puesto no controlado se está permitiendo la acumulación de permisos y privilegios en un único perfil de usuario controlado por un único empleado aumentando el impactor por un error no intencionado, intencionado o por parte de terceros que puedan acceder y explotar los privilegios asociados a estos usuarios.

La devolución de los activos permite evitar la fuga de información y de propiedad intelectual propiedad de la organización, más allá del propio valor del activo.

La salida de personal frecuentemente va acompañada del borrado y/o volcado de grandes volúmenes de datos de la organización (p.ej. información de proyectos, listado de contactos de clientes, informes, herramientas corporativas) a sistemas de información externos para un posible uso directo posterior en las nuevas actividades provocando pérdidas de conocimiento que pueden ser irrecuperables para la continudad de las actividades, además de la posible competencia desleal.

7.3.1 Cese o cambio de puesto de trabajo: Las responsabilidades para ejecutar la finalización de un empleo o el cambio de éste deberían estar claramente definidas, comunicadas a empleado o contratista y asignadas efectivamente.

Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la organización, separados por las categorías de activos (pendientes de desactivación) e inactivos (pendientes de archivo y borrado).

Plantilla del toolkit de implantación: Roles y responsabilidades asociados a la gestión de activos de información.


Universidad Javeriana: Procedimiento de inventario físico de activos fijos en las unidades de la Universidad.


© 2005 Aviso Legal - Términos de uso información iso27000.es