Home / Event / ISO 27001 Anexo A: Responsabilidades y roles de los empleados

ISO 27001 Anexo A: Responsabilidades y roles de los empleados

ISO 27001 Anexo A: Responsabilidades y roles de los empleados
Mar
23

ISO 27001 Anexo A: Responsabilidades y roles de los empleados

Redacción original: André Säckel
Traducción: Yutzil Arango

Es bien sabido que el ciberdelito es una seria amenaza para las empresas de todos los sectores y tamaños. El repertorio va desde el espionaje hasta el sabotaje y el chantaje. Sin embargo: el peligro no solo surge de Internet. Sus propios empleados también pueden ser un factor de riesgo importante. Especialmente si su empresa no ha tomado las medidas adecuadas, consulte el Anexo A.7 de ISO 27001.

Un sistema de gestión de seguridad de la información (SGSI) bien estructurado de acuerdo con la norma ISO 27001, proporciona la base para la implementación efectiva de una estrategia holística de seguridad de la información. El enfoque sistemático ayuda a proteger los datos confidenciales de la empresa frente a pérdidas y usos indebidos, y a identificar y analizar de forma fiable los riesgos potenciales para la empresa y a hacerlos manejables mediante las medidas adecuadas. Hay mucho más que solo los aspectos del seguridad informática. La implementación de las medidas en el Anexo A de la norma es particularmente valiosa en la práctica.

TISAX para la industria automotriz

Anexo A: Relevante para la práctica de ISO 27001

Además de la parte de requisitos orientados al sistema de gestión (capítulos 4 a 10), la norma ISO en el Anexo A contiene una lista extensa de 35 objetivos de control (controles) con 114 medidas específicas para varios aspectos de seguridad en 14 capítulos.

Nota: Las declaraciones a las que se hace referencia como “medidas” en el Apéndice A son en realidad objetivos individuales (controles). Describen cómo debería ser un resultado que cumpla con los estándares de medidas adecuadas (individuales).

Las empresas deben utilizar estos controles como base para el diseño individual y más profundo de su política de seguridad de la información. Con respecto al tema del personal, el objetivo de la medida “seguridad del personal” del Anexo A.7 es de especial interés.

Las medidas no se basan en la desconfianza de los empleados, sino en procesos de personal claramente estructurados.

A lo largo de todas las fases del empleo, los procesos de personal aseguran que las responsabilidades y deberes se asignen con miras a la seguridad de la información y que se controle el cumplimiento. Las violaciones de la política de seguridad de la información, tanto intencionales como no intencionales, no son imposibles, pero se hacen mucho más difíciles. Y si lo peor llega a suceder, la organización cuenta con un SGSI eficaz para tratarla adecuadamente.

La seguridad de la información no es cuestión de desconfianza

De ninguna manera es motivo de desconfianza si una empresa emite pautas adecuadas para dificultar el acceso no autorizado desde el interior o incluso mejor para prevenirlo por completo. Porque una cosa está clara: en caso de un despido inminente o ya pronunciado, la insatisfacción de un empleado puede conducir al robo de datos dirigido. Esto sucede especialmente si el despedido cree que tiene derechos de propiedad sobre los datos del proyecto. Por el contrario, ya se puede presentar una solicitud para un trabajo específico con la intención de realizar una actividad delictiva.

Otros escenarios indican un comportamiento de negligencia grave o simplemente descuido, que pueden tener consecuencias igualmente graves. Sucede que todos los departamentos de TI no se adhieren a sus propias reglas: demasiado engorroso, demasiado lento. En la oficina, es el manejo descuidado de contraseñas o teléfonos inteligentes desprotegidos. Pero también conexión descuidada de memorias USB encontradas, documentos abiertos en la pantalla, documentos secretos en oficinas vacías: la lista de posibles omisiones es larga.

¿Qué dice la norma ISO 27001 en el Anexo A.7?

Medidas antes del empleo

Antes de contratar a un nuevo empleado, la organización debe asegurarse de que comprendan sus responsabilidades futuras y sean adecuados para su función, de acuerdo con el Apéndice A.7.1. En la parte de requisitos (Capítulo 7.2), la norma habla de “competencia”.

Como medida de referencia orientada a objetivos, los solicitantes de un puesto de trabajo reciben primero un control de seguridad que cumple con los principios éticos y las leyes aplicables. Esta revisión debe ser adecuada en relación con los requisitos del negocio, la clasificación de la información a obtener y los posibles riesgos (A.7.1.1). Para poder lograr esto, lo siguiente debe estar disponible, asegurado o verificado, entre otras cosas:

  • un procedimiento para obtener información (cómo y bajo qué condiciones),
  • una lista de criterios legales y éticos que deben observarse,
  • La revisión de seguridad debe ser adecuada a los riesgos y necesidades comerciales,
  • la plausibilidad y autenticidad de los currículums vitae, títulos y otros documentos,
  • la confiabilidad y competencia del solicitante para el puesto previsto.

 

Durante el empleo: Responsabilidad de la Alta Dirección

Los empleados deben conocer sus responsabilidades en materia de seguridad de la información. Este es el objetivo de A.7.2. Y lo que es aún más importante: los empleados deben estar a la altura de esta responsabilidad.

La primera medida (A.7.2.1) tiene como objetivo el deber de la dirección de instar a sus empleados a implementar la seguridad de la información de acuerdo con los lineamientos y procedimientos establecidos. Para ello, se deben regular al menos los siguientes puntos:

  • ¿Cómo anima la alta dirección a los empleados a implementarlo? ¿Dónde están los riesgos?
  • ¿Cómo se asegura de que los empleados estén familiarizados con las pautas que se han introducido para abordar la seguridad de la información?
  • ¿Cómo verifica si los empleados cumplen con los requisitos para lidiar con la seguridad de la información?
  • ¿Cómo motiva a sus empleados a implementar y aplicar de manera segura las pautas y procedimientos?

 

Fin del empleo: Responsabilidades

El Apéndice A.7.3 de ISO 27001 establece el objetivo de un proceso de terminación o cambio efectivo para proteger los intereses de la empresa. Este objetivo se centra en las responsabilidades en caso de despido o cambio de empleo. En consecuencia, las responsabilidades y obligaciones relacionadas con la seguridad de la información que permanecen después de la terminación o el cambio de empleo deben definirse, comunicarse y aplicarse. Tiene sentido tener en cuenta estos aspectos:

Acuerdos en los contratos de trabajo sobre cómo los empleados deben lidiar con las responsabilidades y obligaciones continúas relacionadas con la seguridad de la información después de la terminación del empleo.

Mecanismos de control para asegurar el cumplimiento de estos acuerdos

Proceso para hacer cumplir el cumplimiento de las responsabilidades y obligaciones en curso

DQS de México: experiencia y confianza

Las empresas que cuentan con sistemas de gestión, los valoran como herramientas para la Alta Dirección, que crean transparencia, reducen costos y brindan seguridad a la organización. Sin embargo, los sistemas de gestión pueden hacer mucho más cuando son evaluados y certificados por un tercero independiente, como lo es DQS de México; generando así mayor confianza en el desempeño de su empresa frente a las partes interesadas.

Certifíquese en ISO 9001

Top
Solicite su cotizaciónSolicite una llamadaContáctenosCalendario de cursos