Seguridad de Recursos Humanos 1. An Ante tes s de De Desa sarr rrol olla lar r El objetivo de la Seguridad de Recursos Humanos busca que los Empleados, Contratistas y Terceros entiendan sus responsabilidades y que si son convenientes para los papeles que ellos desempeñan, para recudir así el riego de Robo, Fraude o el mal uso de las Instalaciones, explicando explicando antes de realizar el trabajo las responsabilidades frente a este y firmando una constancia de sus responsabilidades.
•
Papeles y responsabilidades
Control: El papel papel de la segurida seguridad d y la responsa responsabili bilidad dad de los Emplead Empleados os (Emplead (Empleados, os, Contrati Contratistas stas y Terceros) erceros) deberán estar definidos y documentados, dependiendo de las políticas de la organización. Guía de Implementación: Implementar y actuar conforme a la Política de Seguridad de la información de la organización. Proteger Proteger la informac información ión de acceso acceso no autorizad autorizado o para prevenir prevenir descubri descubrimien miento, to, modifica modificación ción o destrucción. Realizar procesos o actividades de seguridad. Asegurar que la responsabilidad esta asignada a la persona encargada. Los acontecimientos de seguridad que se informen ponen en riesgo a la organización. • •
• • •
Los papeles de seguridad y responsabilidades deben ser definidos y claramente comunicados a personal trabajo durante el proceso de selección para el empleo. Otra Información: La descripción del trabajo de seguridad y responsabilidad no puede ser conocida por personal no autoriza de la organización, de lo contrario debe de ser comunicado.
•
Selección
Control: La verificación a fondo nos dara a conocer sobre todos los candidatos del empleo (trabajo) los riegos percibidos, la cual se debe de realizar conforme a leyes y a los requerimientos de la organización. Guía de implementación: La comprobación de la verificación debe de tener en cuenta todo aislamiento relevante como la protección de los datos relevantes y si es permitido incluir lo siguiente: Disponibilidad Disponibilidad de las referencias. Comprobación Comprobación del Currículum (Datos personales). Comprobación de las notas académicas y profesionales. Comprobación de la identidad. Verificación más detallada (Pasado Judicial). • • • • •
Si al Candidato (Empleados, Contratistas y Terceros) se le es llamado al empleo, implica que la persona tiene acceso a las instalaciones o la información, si la persona deberá manejar información sensible, la organiza organización ción puede puede conside considerar rar comproba comprobacion ciones es más detallad detalladas. as. Los procedi procedimien mientos tos deberían deberían definir definir criterios y limitaciones para comprobaciones comprobaciones de verificación del personal. De igual forma el proceso de selección también debe de ser aplicado para los Contratistas y Terceros, Terceros, en el cual cual las agen agencia cias s que propor proporcio ciona nan n a los Contr Contrati atista stas s y Tercero erceros s debe deben n especi especific ficar ar claram claramen ente te las responsabilidades del personal para definir si se han cumplido las metas pactadas. A los candidatos se les debe de informar de antemano sobre las actividades de selección.
•
Términos y condiciones de empleo
Control: Los Los candid candidato atos s debe deben n de estar estar de acuerd acuerdo o a firmar firmar los términ términos os y condi condicio ciones nes del emple empleo o y de la organización, organización, en el cual se les informara de las responsabilidades responsabilidades de la seguridad de la información. Guía de implementación: Los términos y las condiciones de empleo: Que los candidatos con acceso sensible a la información deben de firmar una confidencialidad de no divulgar la información de la organización. Respo Responsa nsabil bilida idad d de la clasif clasifica icació ción n de infor informa mació ción n y admi adminis nistra tració ción n de los activo activos s de la organización para los candidatos. Responsabilidad del candidato a la hora de manejar la información recibida de otras empresas. Responsabilidad de la organización para el manejo de información personal de los candidatos. Responsabilidad con los acuerdos pactados fuera de la organización o fuera de horas de trabajo. Acciones que se deben de tomar frente a incumplimiento de las exigencias de seguridad por parte del candidato. •
•
• • • •
Si es necesario, las responsabilidades contenidas dentro de los términos y las condiciones de empleo deben seguir durante un período definido después del final del empleo. Otra Información: Un código de conducta puede puede ser usado para cubrir las responsa responsabilidades bilidades del candidato, candidato, en cuanto a la confidencialidad, la protección de los datos, la ética, el uso apropiado del equipo e instalaciones de la organización.
2. Du Dura rant nte e el el Empl Empleo eo El Objetivo es informar y asegurar a los Trabajadores Trabajadores (Empleados, Contratistas y Terceros) Terceros) son conscientes conscientes de las posibles amenazas de la seguridad de la información y sus responsabilidades, que son equipados para para mante mantene nerr la polít política ica de segur segurid idad ad y reduci reducirr el riesgo riesgo de error error huma humano no.. Un nivel nivel adecu adecuad ado o de conciencia, educación, y entrenamiento en procedimientos de seguridad y el correcto uso de instalaciones de procesamiento de información deben ser proporcionados a todos los Trabajadores para reducir al mínimo riesgos de seguridad posibles.
•
Responsabilidad de la administración
Control: La Administración deberá requerir a los Trabajadores aplicar la seguridad acuerdo a las políticas establecidas. Guía de implementación: Las responsabilidades de la Administración deberá asegurar a los Trabajadores: Estar informados de sus papeles de seguridad antes de acceder a la información. Proveer a los Trabajadores Trabajadores con pasos para las nuevas expectativas de seguridad. Motivación para la realización de las políticas de seguridad. Alca Alcanz nzar ar un buen buen nive nivell de cono conoci cimi mien ento to de segu seguri rida dad d fren frente te a sus sus pape papele les s y responsabilidades responsabilidades en la organización. organización. Métodos apropiados de trabajo para la organización. Seguir teniendo las habilidades apropiadas • • • •
• •
Otra información: Si los trabajadores no hacen caso de sus responsabilidades de seguridad pueden causar daño a la organización. Tener en cuenta que los trabajadores motivados pueden ser más confiables. La
poca Administración puede causar que los Trabajadores no se sientan valorados y se refleje con baja seguridad en la organización. Conciencia de seguridad de Información, educación, y conocimiento •
Control: Los trabajadores de la organización, deberan recibir informacion de las politicas y procedimientos de la organización para conocer sus funciones y desempeñarlas. desempeñarlas. Guía de Implementación: Se debe de dar una inducción (enseñar) a los Trabajadores Trabajadores de la organización para definir las poli ticas de seguridad y las espectativas para poder acceder a la información. En la induccion se deben especificar las exigencias (uso de software), responsabilidades (uso correcto) y el control de la organización. organización. Otra Información: En la induccion se incluira sobre las posibles amenazas y procedimientos para realizar informes. La capacitación a los Trabajadores promoverá promoverá la conciencia en la seguridad de la información, los problemas e incidentes y como responder según su papel laboral.
•
Proceso disciplinario
Control: Habrá un proceso disciplinario para empleados que generen un hueco de seguridad (errores). Guía de implementación: Dicho proceso no será iniciado sin la previa verificación. Dicho proceso disciplinario brindara un trato justo al Trabajador sospechoso. El proceso se realizará en base a la gravedad del caso y su impacto en la organización. En casos de mala conducta se hará el retiro inmediato de derechos y privilegios y si es el caso se procede al despido inmediato. Otra Información: Dicho proceso será usado para prevenir a los Trabajadores, en las violaciones de las políticas y procedimientos procedimientos de seguridad de la organización.
3. Term ermina inación ción o Cambio Cambio de Emple Empleo o Asegurar que los empleados, contratistas o terceros realicen un cambio de empleo de una manera ordenada. La salida de un empleado, contratista o tercero será supervisado, y se revisara que todo el equipo y retiro de los accesos se cumplan correctamente. El cambio de responsabilidades y cargos de la organización se manejara como la terminación de la responsabilidad o empleo, y cualquier nuevo empleo será manejado.
•
Terminación Terminación de Responsabilidades
Control: Las responsabilidades responsabilidades para la terminación del empleo o cambio de responsabilidad responsabilidad deben ser cla ramente definidas y asignadas. Guía de Implementación: La comunicación de terminación de responsabilidades incluirá necesidades de seguridad y responsabilidades ponsabilidades legales, específicamente, responsabilidades responsabilidades contenidas dentro de los acuerdos de confidencialidad y las condiciones de empleo. Las responsabilidades y deberes aún válidos después de la terminación de empleo deben estar contenidos en los contratos del empleado, del con-
tratista o tercero. Los cambios de responsabilidad o de empleo deben ser manejados como la terminación respectiva de la responsabilidad o el empleo, y la responsabilidad nueva o empleo deben ser controlados. Otra Información: Recursos Humanos junto con el gerente de supervisión son generalmente los responsables de la terminación de procesos de la persona que se marcha. En el caso de un contratista, este proceso de terminación de responsabilidad puede ser emprendido por una agencia responsable del contratista, y en caso de otro usuario esto será manejado por su organización. organización. Puede ser necesario informar a empleados, clientes, contratistas, o usuarios terceros de cambios de personal y disposiciones disposiciones de operaciones.
Vuelta de Activo
•
Control: Todos los empleados, contratistas o terceros deberán devolver el activo de la organización que esté en su poder, a la terminación de su empleo, contrato o acuerdo. Guía de Implementación: El proceso de terminación debe ser formalizado para incluir la devolución de todo el software, documentos corporativos y equipos. Otros activos de la organización como dispositivos móviles, calculadoras, tarjetas de crédito, tarjetas de acceso y la información almacenada sobre medios de comunicación electrónicos electrónicos también deben ser devueltos. En casos donde un empleado, contratista o tercero compren el equipo de la organización o usen su equipo personal, se realizara un proceso para asegurar que toda la información relevante sea transferida a la organización y borrada del equipo. En casos donde un empleado, el contratista o tercero tienen conocimiento importante para las operaciones de la empresa, esa información debe ser documentada y transferida a la organización. Retiro de Derechos de Acceso
•
Control: Los derechos de acceso de todos los empleados, contratistas y terceros a información e instalaciones de procesamiento de la información deben ser suspendidos en la terminación de su empleo. Guía de Implementación: Cuando hay terminación de contrato los derechos de acceso del individuo deben ser reconsiderados: Determinar si es necesario quitar derechos de acceso. Los cambios de un empleo implican el retiro de todos los derechos de acceso que no fueron aprobados al nuevo empleo. Los derechos de acceso que deben ser quitados o adaptados incluyen físico, acceso lógico, llaves, tarjetas de identificación, suscripciones, y el retiro de cualquier documentación que los identifica como un miembro de la organización. Si un empleado se marcha, y tenia conocimiento de contraseñas para cuentas que permanecen activas, estas deberán ser cambiados sobre la terminación o el cambio de empleo. • •
•
•
Los derechos de acceso a la información e instalaciones de procesamiento de información deben ser removidos antes de que el empleo termine o se cambie, dependiendo de la evaluación de factores de riesgo tales como: Si la terminación o el cambio son iniciados por el empleado. Las responsabilidades corrientes del empleado. El valor del activo actualmente accesible. • • •
Otra Información: En los casos de terminación iniciada por la dirección: Empleados disgustados, podrán generar información corrupta o sabotaje de las instalaciones de procesamiento de la información. En el caso de personas resignadas, pueden tentarlos tentarlos para robar la información para su uso futuro. •
•
