Seguridad relativa a los recursos humanos según ISO 27001

ISO 27001

Según ISO 27001, la implantación de un Sistema de Gestión de Seguridad de la información aporta a las compañías un conjunto de políticas de seguridad, procedimientos y otros mecanismos necesarios para controlar y establecer todas las reglas de seguridad de la información de una organización.

No hace falta destacar que la información es uno de los activos más importantes de una empresa. Esta no solo está relacionada directamente con el capital económico de la compañía. En muchas ocasiones también recoge datos clave del personal que forma parte de la misma como por ejemplo direcciones, datos de contacto, horarios, números de cuesta o incluso enfermedades.

Es por esto por lo que a la hora de implantar un Sistema de Seguridad de la Información según ISO 27001, el personal de la propia organización deberá de ocupar un papel muy importante dentro de dicho sistema.

Además de tener en cuenta la información relacionada con los trabajadores, también habrá que trabajar en inculcar en estos la importancia de contar con un Sistema de Gestión de Seguridad de la Información, así como aquellos requisitos que tengan que adoptar para que este pueda ser implantado sin ningún tipo de problema por su parte.

El capital humano es un activo clave a la hora de implantar un Sistema de Gestión de Seguridad de la Información según ISO 27001. De manera que habrá que contar con este como un activo propio. En esta ocasión se hace referencia a los aspectos que el Anexo A de la norma recoge de cara a tratar los recursos humanos.

Tres periodos de los Recursos Humanos en ISO 27001

ISO 27001 recoge tres momentos importantes dentro de la vida del trabajador en los que este debe conocer y por tanto cumplir con las responsabilidades respectivas en relación a la seguridad de la información dentro de la compañía: Antes del empleo, durante el empleo y tras finalizar el empleo.

1) Antes del empleo. Dos aspectos deberán de tenerse en cuenta antes de que el trabajador se incorpore al puesto de trabajo:

• La investigación de antecedentes: esta se debe de llevar a cabo de acuerdo con las leyes y normas y códigos éticos que se han de aplicación en un determinado país y debe ser proporcional a las necesidades del negocio, la clasificación de la información a la que se accede y los riesgos que se hayan percibido.
• Términos y condiciones de empleo: tanto empleados como contratistas deben establecer los términos y condiciones en su contrato de trabajo en lo que respecta a la seguridad de la información, tanto hacia el empleado como hacia la organización.

2) Durante el empleo:

• Responsabilidades de gestión: la dirección deberá exigir a los empleados y contratistas que apliquen la seguridad de la información de acuerdo con las políticas y procedimientos establecidos en la organización.
• Concienciación, educación y capacitación en seguridad de la información: todos los empleados de la organización y, cuando corresponda, los contratistas deben recibir una adecuada educación, concienciación y capacitación con actualizaciones periódicas sobre las políticas y procedimientos de la organización, según corresponda a su puesto de trabajo.
• Proceso disciplinario: Debe existir un proceso disciplinario formal que haya sido comunicado a los empleados, que recoja las acciones a tomar ante aquellos que hayan provocado alguna brecha en la seguridad.

3) Finalización del empleo o cambio en el puesto de trabajo. Las responsabilidades en seguridad de la información y obligaciones que siguen vigentes después del cambio o finalización del empleo se deben definir, comunicar al empleado o contratista y se deben cumplir.

Un caso real

Hace unos días saltaba la alarma en una compañía británica en la que un antiguo empleado borró los servidores AWS en señal de venganza. Esto se debió a una mala gestión de los recursos humanos en relación al Sistema de Gestión de Seguridad de la Información, si es que la empresa contaba con él.

Este acto tuvo consecuencias fatídicas, ya que la empresa perdió un número muy considerable de clientes. Entre ellos una cuenta correspondiente a una importante empresa de transportes europea, cuya perdida se traduce en un daño económico de millones miles y miles de dólares.

En muchas ocasiones no se es consciente de la gran cantidad de aspectos, personal, dispositivos y protocolos que afectan a la seguridad de la información en una empresa. Contar con un Software que ayude a la compañía a gestionar este aspecto le permitirá no solo evitar robos, violaciones o ataques contra la información de la compañía, sino que también contribuirá a llevar a cabo una evaluación contante en el tiempo que contribuirá a la mejora continua de este tipo de procesos.

Software ISO 27001

El Software ISOTools Excellence ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

El Software se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.