Saltar al tema
¿Cuál es el objetivo del Anexo A.7.1?
El anexo A.7.1 trata sobre antes del empleo. El objetivo de este Anexo es garantizar que los empleados y contratistas comprendan sus responsabilidades y sean aptos para las funciones para las que están considerados. También cubre lo que sucede cuando esas personas dejan o cambian de rol.
Es una parte importante del sistema de gestión de seguridad de la información (SGSI), especialmente si desea obtener la certificación ISO 27001.
A.7.1.1 Detección
Un buen control abarca la verificación de antecedentes y controles de competencia de todos los candidatos a un empleo. Estos deben llevarse a cabo de acuerdo con las leyes, regulaciones y éticas pertinentes, y deben ser proporcionales a los requisitos del negocio, la clasificación de la información a la que se accederá y los riesgos percibidos asociados.
Por ejemplo, el personal que accede a activos de información de nivel superior que conllevan más riesgos puede estar sujeto a controles mucho más estrictos que el personal que sólo tiene acceso a información pública o maneja activos con amenazas limitadas. Establecer controles de recursos humanos adecuados y proporcionados en todas las etapas del empleo ayuda a reducir la probabilidad de amenazas accidentales o maliciosas.
La evaluación también debe realizarse para los contratistas (a menos que su organización matriz cumpla con sus controles de seguridad más amplios, por ejemplo, tenga su propia norma ISO 27001 y realice sus propias verificaciones de antecedentes).
Un auditor esperará ver un proceso de selección con procedimientos claros que se apliquen de manera consistente cada vez para ayudar también a evitar cualquier riesgo de preferencia/prejuicio. Idealmente, esto estará alineado con el proceso general de contratación de la organización.
A.7.1.2 Términos y condiciones de empleo
El acuerdo contractual con los empleados y contratistas debe establecer sus responsabilidades y las de la organización en materia de seguridad de la información. Estos acuerdos son un buen lugar para establecer responsabilidades generales e individuales clave en materia de seguridad de la información, ya que tienen peso legal, lo que significa que están respaldados por la ley.
Esto también es muy importante en lo que respecta al RGPD y la nueva Ley de Protección de Datos de 2018. Deben hacer referencia y cubrir una amplia gama de áreas de control, incluido el cumplimiento general del SGSI, así como el uso aceptable más específicamente, la propiedad de los DPI, la devolución de activos, etc.
Recomendamos trabajar con un abogado de recursos humanos si no está seguro, ya que las consecuencias de equivocarse en los contratos laborales desde una perspectiva de seguridad de la información (y otras dimensiones) pueden ser importantes.
¿Cuál es el objetivo del Anexo A.7.2?
El objetivo de este Anexo es garantizar que los empleados y contratistas conozcan y cumplan con sus responsabilidades de seguridad de la información durante el empleo.
A.7.2.1 Responsabilidades de la dirección
Un buen control describe cómo los empleados y contratistas aplican la seguridad de la información de acuerdo con las políticas y procedimientos de la organización.
Las responsabilidades impuestas a los gerentes deben incluir requisitos para: Garantizar que sus responsables comprendan las amenazas, vulnerabilidades y controles de seguridad de la información relevantes para sus funciones laborales y reciban capacitación periódica (según A7.2.2); Garantizar la aceptación del apoyo proactivo y adecuado a las políticas y controles de seguridad de la información pertinentes; y Reforzar los requisitos de los términos y condiciones de empleo.
Los gerentes desempeñan un papel fundamental a la hora de garantizar la conciencia y la escrupulosidad en materia de seguridad en toda la organización y en el desarrollo de una "cultura de seguridad" adecuada.
A.7.2.2 Concientización, educación y capacitación sobre seguridad de la información
Todos los empleados y contratistas relevantes deben recibir educación y capacitación adecuadas para realizar su trabajo de manera adecuada y segura. También deben recibir actualizaciones periódicas de las políticas y procedimientos de la organización cuando se modifiquen, junto con una buena comprensión de la legislación aplicable que les afecta en el puesto.
Es común que el equipo de seguridad de la información se asocie con RR.HH. o un equipo de Aprendizaje y Desarrollo para llevar a cabo evaluaciones de habilidades, conocimientos, competencias y concientización y para planificar e implementar un programa de concientización, educación y capacitación durante todo el ciclo de vida laboral (no solo en inducción). Debe poder demostrar esa capacitación y cumplimiento a los auditores.
También considere cuidadosamente cómo se brinda la capacitación y la concientización para brindarle al personal y al contratista la mejor oportunidad de comprenderla y seguirla; esto significa una atención cuidadosa al contenido y al medio de entrega.
¿Cuál es el objetivo del Anexo A.7.3?
El anexo A.7.3 trata sobre la terminación y el cambio de empleo. El objetivo de este Anexo es proteger los intereses de la organización como parte del proceso de cambio y terminación de empleo.
A.7.3.1 Terminación o cambio de responsabilidades laborales
Las responsabilidades y obligaciones de seguridad de la información que siguen siendo válidas después de la terminación o cambio de empleo deben definirse, comunicarse al empleado o contratista y hacerse cumplir. Los ejemplos incluyen mantener la información confidencial y no dejar información que pertenezca a la organización.
Es realmente importante garantizar que la información permanezca protegida después de que un empleado o contratista abandone la organización, ya que las personas mismas son los almacenes de datos ambulantes. Los términos y condiciones contractuales deben reforzar esto, y el proceso de salida y/o el proceso de terminación del contrato (incluida la devolución de activos) deben incluir un recordatorio a las personas de que tienen algunas responsabilidades para con la organización incluso después de haber dejado la organización.
Un auditor querrá ver evidencia de que los que abandonaron han devuelto sus activos y que el proceso se cerró y documentó para demostrar que los activos están actualizados en el inventario de activos (A8.1.1), cuando corresponda también.
No se trata sólo de despido y salida. Si un empleado cambia de función, por ejemplo, pasa de operaciones a ventas, debe realizar una revisión para demostrar que ya no tiene acceso a activos de información que no son necesarios en la nueva función y que se le proporciona acceso a los activos de información necesarios para el futuro.
A.7.2.3 Proceso disciplinario
Es necesario que exista un proceso disciplinario documentado y comunicado (de acuerdo con A7.2.2 anterior). Si bien aquí se centra en las medidas disciplinarias tras violaciones de seguridad, también puede vincularse con otras razones disciplinarias. Si su organización ya cuenta con un proceso disciplinario de recursos humanos reconocido, asegúrese de que cubra la seguridad de la información de la manera requerida por la norma ISO 27001:2013.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
