En un mundo de transformación digital, negocios móviles, interconectividad y fuerzas de trabajo remotas, hay un elemento que debe ser una prioridad para cualquier organización: la protección de la información para empleados.
Esto no tendría por qué ser una preocupación ya que es cuestión de incluirlo en las políticas y procedimientos sobre Seguridad de la Información. Sin embargo, esto resultaría efectivo sobre los empleados que ya han seguido un proceso de capacitación y formación. Pero ¿cómo garantizar la protección de la información para empleados, cuando estos apenas ingresan en la organización o están en periodo de prueba? ISO 27001 nos aporta orientación valiosa para hacerlo.
Protección de la información para empleados – Términos y condiciones
ISO 27001 en el anexo A.7.1 se ocupa de los aspectos a tomar en cuenta, con respecto a la seguridad de la información, cuando apenas se considera la contratación de un empleado o contratista, y durante la fase de incorporación a la organización. El objetivo de este anexo es asegurar que, empleados y contratistas, comprendan sus responsabilidades y que estas sean adecuadas para los roles para los que son considerados.
Básicamente, el anexo A.7.1 aborda el tema de la protección de la información para los empleados, en dos etapas: la selección y la contratación.
Protección de la información para empleados durante la selección
El control debe abordar la verificación de antecedentes y la comprobación de la competencia de todos los candidatos al empleo. Esto debe hacerse de acuerdo con las leyes, regulaciones y ética pertinentes, y debe ser proporcional a la confidencialidad de la información que tendrá que conocer el empleado.
Así, el personal que accede a activos de información de nivel superior, que conllevan un mayor riesgo, puede estar sujeto a controles mucho más estrictos que el personal que solo accede a información pública o trata con activos que representan amenazas limitadas.
La implementación de controles de selección, de Recursos Humanos adecuados y proporcionales, en todas las etapas de selección de nuevos empleados, reduce las amenazas accidentales o maliciosas. Esto es válido para empleados como para contratistas.
Un auditor esperará ver procesos de selección claros, que operan de manera consistente para ayudar a evitar riesgos para la información.
Protección de la información para empleados – La contratación
El acuerdo contractual con empleados y contratistas establece sus responsabilidades y las de la organización, con respecto a muchos tópicos, entre ellos la seguridad de la información. Estos acuerdos son un buen lugar para asignar responsabilidades generales e individuales sobre la seguridad de la información, especialmente porque se trata de acuerdos que tienen peso legal. Esto significa que están respaldados por la ley.
Esto también es muy importante en lo que compete a la RGPD y otras leyes sobre protección de datos en otros continentes. El contrato debe cubrir un amplio espectro de áreas de control, lo que incluye el cumplimiento del Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001, así como temas tan importantes como la propiedad intelectual o la devolución de activos cuando cese la relación laboral.
Es importante que este tipo de acuerdos, que establecen términos y condiciones de empleo, sean supervisados por personal de las áreas de Recursos Humanos y Legal.
La organización debe establecer controles y políticas de #ProtecciónDeInformación para empleados en todas las etapas ¿Qué dice #ISO27001 al respecto? #SGSI Clic para tuitearAcuerdos contractuales – Lo que se debe incluir para garantizar la protección de la información para empleados
ISO 27001 no específica qué incluir en los acuerdos contractuales. Pero sí nos dice que es preciso definir a empleados y organización, cuáles son sus responsabilidades en cuanto a la Seguridad de la Información. Esto se puede hacer de varias formas:
- Incorporar las políticas de Seguridad de la Información dentro del acuerdo: es una forma de asegurarse en términos legales, pero puede hacer del contrato un documento pesado, difícil de leer y, por ello, inoperante.
- Incorporar versiones resumidas de las políticas de Seguridad de la Información: es probable que el editor de los documentos, a su criterio, prescinda de uno o varios puntos esenciales.
- Incluir una cláusula mediante la cual, el trabajador se adhiere a un código de conducta: este, a su vez, menciona la obligación de conocer, aceptar y cumplir con las políticas de la organización, entre ellas la de Seguridad de la Información. Esto pospone el tema hasta que el nuevo trabajador pase por un proceso de capacitación, durante el cual conoce los documentos que se ha comprometido a respetar.
- Incluir contenidos completos y versiones resumidas: esto de acuerdo con el nivel de riesgo que implique el empleado y la importancia de la información a la que podrá acceder.
En cuestión de seguridad de la información, es mejor pecar por exceso que por defecto. Muchos incidentes, relacionados con la protección de la información para empleados, no están relacionados con ataques intencionales, sino con el desconocimiento y la falta de conciencia y de responsabilidad de los trabajadores. De ahí la importancia de la formación en Seguridad de la Información y del programa sobre el que hablamos en nuestro apartado final.
Diplomado de Seguridad de la Información ISO/IEC 27001
ISO 27001 es el estándar para la Seguridad de la Información más eficiente en todo el mundo. La certificación ISO 27001 garantiza el cumplimiento de las normas sobre Seguridad de la Información a nivel local, nacional e internacional. Pero este estándar también incluye 114 controles efectivos para garantizar la Seguridad de la Información, y, regresando al tema que nos ocupa hoy, la protección de la información para empleados.
El área de Seguridad de la Información es hoy una de las de mayor proyección en cualquier organización, y la Escuela Europea de Excelencia, consciente de ello, ofrece el Diplomado de Seguridad de la Información ISO/IEC 27001, programa con el que hoy puedes impulsar tu carrera. Inicia ahora.
Una recomendación final: para este programa puedes aplicar a una de las becas de nuestro programa Excellence. Consúltalo aquí.
