Lo primero y lo más importante que pueden hacer los departamentos de recursos humanos cuando se trata de seguridad de la información es ser proactivos en lugar de reactivos. Concretamente, los empleados en ISO 27001 son una preocupación para el sistema que involucra capacitación, definición de roles y establecimiento de protocolos entre otras consideraciones.
Por supuesto, es necesario redactar políticas y procedimientos para los empleados en ISO 27001 que cubran a los trabajadores actuales, pero también a los que nuevos empleados o, incluso, a los que cambien de posición dentro de la organización.
El objetivo de estas políticas para empleados en ISO 27001 es garantizar la seguridad de la información desde el primer momento en que el empleado empieza a desarrollar sus tareas. Y esto requiere valorar cómo considerar los términos y condiciones de seguridad en los empleados.
Términos y condiciones de seguridad para los empleados en ISO 27001
El propósito esencial de los términos y condiciones es definir las reglas con las que jugarán la organización, los empleados, contratistas, y cualquier parte interesada, para garantizar la seguridad de la organización.
Usualmente, estos términos y condiciones se incluyen en el cuerpo del contrato de trabajo, de tal forma que el empleado se adhiere a ellos al firmar el documento. Al hacer esto, la organización encuentra un punto de apoyo importante en caso de tener que emprender acciones legales con respecto a incidentes relacionados con vulneraciones a la seguridad de la información.
Sin embargo, hemos de suponer que generalmente, al firmar, el empleado no se preocupa por leer la letra menuda o por presentar alguna objeción a los términos y condiciones estipulados. Por eso es preciso tener algunas consideraciones.
Acuerdos contractuales para los empleados en ISO 27001
ISO 27001 no nos dice qué hay que incluir con precisión en los términos y condiciones. Pero si nos dice qué objetivo debemos alcanzar, y lo hace en el control A.7.1.2. El objetivo propuesto es “declarar formalmente a los empleados, contratistas y a la organización misma sus responsabilidades para la seguridad de la información”.
Esto es lo solicitado. ¿Cómo hacerlo? Veamos algunos aspectos que deben considerarse:
1. Todos los empleados y contratistas que tienen acceso a información confidencial deben firmar un acuerdo de confidencialidad o de no divulgación, antes de tener acceso a las instalaciones o a los procesos de tratamiento de la información.
2. Los derechos legales del empleado o contratista deben tratarse, por ejemplo, con respecto a leyes de derecho de autor o a la legislación de protección de datos.
3. Las responsabilidades para la clasificación de la información y la gestión de los activos de la organización, asociados con la información, las instalaciones de procesamiento de datos y los servicios de información manejados por el empleado o contratista.
4. También deben abordarse las responsabilidades del empleado o contratista para el manejo de la información recibida de otras organizaciones o partes externas.
5. Asimismo, hay que tener en cuenta las acciones a tomar en el caso de que el empleado ignore los requisitos de seguridad de la organización.
Estos aspectos, relativos a los empleados en ISO 27001, deben comunicarse a los candidatos a empleos durante el proceso previo a la contratación. La organización debe asegurarse de que los empleados manifiesten su conformidad con todos esos términos y condiciones relacionados con la seguridad de la información, en base a su nivel de acceso y responsabilidad.
Los términos y condiciones para los empleados en #ISO27001 ayudan a garantizar la seguridad de la información. ¿Qué tener en cuenta? Clic para tuitearPolíticas de seguridad de la información
ISO 27002, documento de apoyo a ISO 27001, también cuenta con un Anexo A que incluye controles muy útiles, sobre todo para la redacción de las políticas de seguridad de la información. Algunos aspectos a tener en cuenta, según este control, son:
- Condiciones para conceder acceso a información confidencial. Entre otras recomendaciones aparece la firma de acuerdo de confidencialidad ya señalado.
- Derechos y responsabilidades de empleados y otras partes interesadas, lo cual incluye para la Unión Europea, lo prescrito en el GDPR.
Capacitación y concienciación
Se debe establecer un programa de concienciación sobre seguridad de la información de acuerdo con las políticas de seguridad de la información de la organización, y los procedimientos relevantes, teniendo en cuenta la información a proteger y los controles que apliquen a la organización.
Un programa de concienciación sobre seguridad de la información tiene como objetivo hacer que los empleados y contratistas sean conscientes de sus responsabilidades, más allá de los documentos que han firmado.
El programa debe incluir actividades de sensibilización, como campañas, y publicación de materiales impresos o disponibles en un sitio web, teniendo en cuenta los roles del empleado, las expectativas de la organización y los requisitos de ISO 27001.
La capacitación para los empleados en ISO 27001, puede hacer uso de recursos internos, pero también puede acudir a programas de formación externos altamente cualificados y certificados como el siguiente:
Diplomado de Seguridad de la Información ISO 27001
Conocer los requisitos de ISO 27001, la forma en que se pueden implementar, cómo mantener el sistema de seguridad de la información y tener la capacidad de auditarlo son las competencias que adquieren los profesionales que realizan este Diplomado de Seguridad de la Información ISO 27001.
Ya puedes inscribirte en este diplomado; pero antes, no dejes de consultar si puedes acceder a una de las becas de la Escuela Europea de Excelencia.
