Por un lado las personas son el activo más importante en una organización pero a su vez podemos considerar que los errores humanos son normalmente el mayor riesgo para la seguridad de la información

Los controles para la seguridad de la información que se consideran en este capítulo de ISO 27001 abordan las medidas para la seguridad a abordar en la fase de contratación, durante el empleo y en la fase de término o finalización del empleo

Citando la norma:

Objetivo 1:
PREVIO AL EMPLEO

Asegurar que los empleados y contratistas entulturaiendan sus responsabilidades y que sean aptos para los roles para los cuales están siendo considerados

Controles:

  • 7.1.1 Selección
  • 7.1.2 Términos y condiciones de empleo

Objetivo 2:
Durante el empleo

Asegurar que los empleados y contratistas sean conscientes de y cumplan con las responsabilidades de seguridad de la información

Controles:

  • 7.2.1 Responsabilidades de la dirección
  • 7.2.2 Concientización, educación y formación en seguridad de la información
  • 7.2.3 Proceso disciplinario

Objetivo 3:
Finalización o cambio de la relación laboral o empleo

Controles:

  • 7.3.1 Responsabilidades en la desvinculación

7.1 PREVIO AL EMPLEO

Se establecen controles para la verificación de los antecedentes de los candidatos a un empleo. La aplicabilidad de este control tiene que ver con:

  • Los requisitos del negocio en cuanto a las funciones que va a desempeñar el candidato y los requisitos definidos para el puesto en relación a la Seguridad de la información
  • La clasificación de la información a la que va acceder el candidato y los riesgos asociados

Una de las limitaciones para implementar este control son las leyes o normas vigentes relacionadas con la protección de datos personales y el tratamiento ético en los contratos.

Vamos ver los controles con detalle

7.1.1 Selección

En el proceso de selección podremos aplicar una serie de controles para verificar temas de seguridad así como la formación y experiencia del contrato. El tema es simple, La norma nos propone una serie de medidas para que evaluemos la necesidad de aplicarlas

Medidas de Seguridad den el proceso de Selección de personal

  • Comprobar si existen referencias satisfactorias tanto en el ámbito profesional como en el personal
  • Comprobar la veracidad del currículum vitae del postulante;
  • Confirmar las calificaciones académicas y profesionales declaradas;
  • Comprobar de forma independiente la identidad (pasaporte DNI etc.)
  • Comprobaciones en detalle: Deudas, antecedentes penales etc.

Competencias en Seguridad de la información

  • Comprobar si tiene la capacitación necesaria para desempeñar sus funciones (Formación, experiencia)
  • Verificar en lo posible el perfil del candidato en relación a su confiabilidad si va a desempeñar una tarea sensible para la organización en materia de Seguridad de la Información

CONTRATISTAS

Igualmente podemos establecer controles similares antes de firmar contratos con terceros

PROCESOS DE PROMOCION

Los procesos de selección no solo tienen que ver con contratación de personal nuevo sino que también podemos aplicar medidas para la seguridad de la información análogas en los procesos de promoción dentro de la organización

7.1.2 Términos y condiciones de empleo

Este control nos pide incluir en los contratos con los empleados y subcontratas las obligaciones y responsabilidades ligadas a la Seguridad de la Información

Quizás no sea totalmente disuasorio, pero teniendo en cuenta que muchos de los comportamientos anómalos dentro de una organización son debidos a relajación de las propia organización, el mantener informados a los trabajadores de las condiciones de trabajo es una muy buena medida preventiva de conductas indebidas para la seguridad de la información.

Tenga en cuenta que en las primeras etapas de un contrato no se producen normalmente violaciones a las políticas de seguridad, pero con el tiempo las diversas circunstancias particulares pueden ser desencadenantes de conductas no apropiadas.

La norma nos propone algunas medidas concretas que deberíamos tomar si son aplicables:

  • Todos los empleados y contratistas con acceso a información sensible deben firmar acuerdos de confidencialidad o de no divulgación antes de que tengan los permisos para acceder a dicha información
  • Los empleados y contratistas deben estar informados de sus responsabilidades y derechos legales tales como las relativas a derecho de copia o legislación de protección de datos
  • Los empleados y contratistas deben tener información de sus responsabilidades para
  • La clasificación de información
    • La gestión de activos de información
    • Las instalaciones de procesamiento de información
    • Los servicios de información a los que accede
    • El manejo de información de otras organizaciones o partes externas
  • Los empleados y contratistas deben estar informados de las acciones a ser tomadas si el empleado o contratista desatiende los requisitos de la seguridad de la organización

7.2 Durante el empleo

También deberemos asegurarnos de que durante el desempeño de las funciones o actividades cada empleado conozca y cumpla con sus obligaciones y tareas asignadas relativas a la Seguridad de la Información

Para ello se nos proponen los siguientes controles

7.2.1 Responsabilidades de la dirección

Este apartado responde a la pregunta del auditor:

¿De qué forma la dirección les exige a los empleados que cumplan con las políticas, normas y procedimientos establecidos para la Seguridad de la Información?

La norma nos incluye los siguientes puntos para cumplir con este control

  • ¿Se ha formado y capacitado a los empleados en sus responsabilidades sobre la seguridad de la Información antes de que tengan acceso a los activos de información?
  • ¿Se les ha informado de los resultados que la organización espera de sus funciones en relación a la seguridad de la información?
  • ¿Se ha motivado y concienciado suficientemente a los empleados para que cumplan con sus obligaciones en las tareas de la Seguridad de la información?
  • ¿Se ha obtenido un feedback del acuerdo de los trabajadores con los métodos de trabajo seguros y la parte que les afecta de las políticas de la seguridad de la información?
  • ¿Se realiza un proceso de formación continua para mantener las habilidades en el desarrollo de las tareas de la Seguridad de la Información?
  • ¿Existe un canal de información que garantice el anonimato para denunciar los fallos y violaciones a las normas sobre la Seguridad de la Información?

7.2.2 Concientización, educación y formación en seguridad de la información

Citando la norma:

"Todos los empleados de la organización y, cuando sea pertinente, contratistas, deberían recibir concientización, entrenamiento y formación adecuada y actualizaciones regulares en políticas y procedimientos organizacionales, relevantes para su función laboral."

La norma nos da algunas indicaciones de aspectos que deben incluirse en la formación y sensibilización

  • La formación debe incluir el compromiso de la dirección con la seguridad de la información en toda la organización
  • La importancia del conocimiento y el cumplimiento de las obligaciones aplicables de seguridad de la información contenida en las políticas, normas, contratos etc.
  • La responsabilidad de los empleados y contratistas de sus propias acciones u omisiones en la protección de la información
  • Los procedimientos básicos de la seguridad de la información, por ejemplo:
    • Procedimiento de notificación de incidentes de seguridad
    • Procedimientos sobre uso de contraseñas seguras
    • Controles sobre software malicioso
    • Limpieza de escritorios
    • Etc.

Los recursos que disponen para obtener más información sobre cuestiones de la seguridad de la información (puntos de contacto, manuales o especificaciones etc.)

7.2.3 Proceso disciplinario

Este control nos propone implantar un sistema disciplinario para los incumplimientos de la seguridad de la información. Un procedimiento que sea formal y comunicado a los empleados

El proceso disciplinario debería:

  • Asegurarse de que la infracción se ha cometido
  • Evitar tratamientos injustos o incorrectos de los empleados
  • Considerar respuestas graduales tomando en cuenta la gravedad, el impacto, si es deliberada o si existe repetición

NOTA: un sistema disciplinario no siempre tiene que tener medidas correctivas o negativas. También podemos considerar un sistema disciplinario con medidas positivas que premien el buen desempeño o se establezcan sistemas de que involucren a los empleados (competiciones, gamificación etc.)

7.3 Finalización o cambio de la relación laboral o empleo

El objetivo es el de proteger la información en un escenario de finalización de contrato o cambio de empleo

Esta es una parte que lamentablemente se pasa por alto en numerosas organizaciones y que tiene un importante potencial de riesgo para la seguridad de la información y que debemos considerar dentro de un SGSI

7.3.1 Responsabilidades en la desvinculación

Se trata de establecer y comunicar al empleado las responsabilidades sobre la seguridad de la información después de finalizar un contrato o ante el cambio de empleo

La norma nos propone este control que incluye las siguientes cuestiones:

  • Incluir en las responsabilidades de la desvinculación requisitos sobre la seguridad de la información tales como
    • Responsabilidades legales cuando sean aplicables o necesarias
    • Responsabilidades incluidas en los acuerdos de confidencialidad
  • Establecer periodos de vigencia para después de la desvinculación en los términos y condiciones del empleo de:
    • Deberes y responsabilidades que permanecen validos después de la desvinculación
    • Cambiar o actualizar las responsabilidades en los términos y condiciones del empleo ante cambios de empleo dentro de la organización