Controles de personas: ISO/IEC 27002:2022 promueve conciencia, educación y protección

ISO/IEC 27002:2022

El 2022 es un año de novedades en la Organización Internacional de Normalización (ISO). Una de las publicaciones más recientes es ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de la información. El estándar contiene controles que se detallan desde la cláusula 5 hasta la 8 y se denominan temas. Estos controles pueden ser

• físicos, si se trata de objetos físicos;
• propiedades de seguridad de la información (confiabilidad, disponibilidad e integridad).
• personas, si se refieren a individuos;
• tecnológicos, si se trata de tecnología.

A lo largo de varios artículos nos hemos propuesto explicar de qué se trata la nueva norma ISO/IEC 27002, qué controles la componen y qué guía ofrece. En este texto abordaremos todo lo referente al punto 6 del estándar, que tiene que ver con los controles de personas. El 6.1 nos remite al cribado, cuyo propósito es asegurar que todo el personal sea elegible y adecuado para las funciones para las que se le considera y siga siendo elegible y adecuado durante su empleo.
Aparte de enfatizar la importancia de chequear los antecedentes de todo nuevo empleado, la norma indica que es importante garantizar que todo trabajador involucrado con la seguridad de la compañía:

• tiene la competencia necesaria para desempeñar la función de seguridad;
• se puede confiar (en el empleado) para asumir el rol, especialmente si el rol es crítico para la organización.

En cuanto a los términos y condiciones de empleo (6.2) el control principal precisa que los acuerdos contractuales de empleo deben establecer las responsabilidades del personal y de la organización para la seguridad de la información. Este tema es tan importante que en ninguna circunstancia puede quedar relegado.

Algunos apartados cuentan con información adicional, en vez de solo el título, control y guía. Este es el caso del punto 6.2, cuyos datos adicionales indican que:

• Se puede utilizar un código de conducta para establecer las responsabilidades de seguridad de la información del personal con respecto a la confidencialidad, la ética, el uso apropiado de la información de la organización y otros activos asociados, así como las prácticas respetables esperadas por la organización.
• Se puede exigir a una parte externa, con la que está asociado el personal del proveedor, que celebre acuerdos contractuales en nombre de la persona contratada.

El 6.3 es un control preventivo que se enfoca en RR. HH y seguridad. Su nombre es concientización, educación y capacitación en seguridad de la información y tiene como objetivo asegurar que el personal y las partes interesadas relevantes conozcan y cumplan con sus responsabilidades de seguridad de la información. En las personas recae la responsabilidad de preservar la confidencialidad, disponibilidad e integridad de la información, en ello descansa la confianza de clientes internos y externos, accionistas, administradores, proveedores, clientes, y todas las partes interesadas, incluyendo a la comunidad y a la sociedad.

Cuando a pesar de los controles y la prevención suceden vulneraciones a la seguridad y hemos identificado que hay involucrados que actuaron con buena o mala intención es preciso aplicar medidas. En esos casos el punto 6.4 Proceso disciplinario puede resultar esclarecedor por cuanto indica cómo se tiene que proceder.

La guía indica que el proceso disciplinario no debe iniciarse sin la verificación previa de que se ha producido una violación de la política de seguridad de la información. El proceso disciplinario formal debe prever una respuesta graduada que tenga en cuenta factores tales como:

1. la naturaleza (quién, qué, cuándo, cómo) y la gravedad del incumplimiento y sus consecuencias;
2. si el delito fue intencional (malicioso) o no intencional (accidental);
3. si se trata o no de una primera o reiterada infracción;
4. si el infractor fue debidamente capacitado o no.

El resto de los componentes del apartado 6 de ISO/IEC 27002 son:

6.6 Acuerdos de confidencialidad o no divulgación: este control persigue mantener la confidencialidad de la información accesible por el personal o partes externas. Por eso es imprescindible que los acuerdos de confidencialidad o no divulgación que reflejen las necesidades de la organización para la protección de la información deben ser identificados, documentados, revisados regularmente y firmados por el personal y otras partes interesadas relevantes.

6.7 Trabajo a distancia: busca garantizar la seguridad de la información cuando el personal está trabajando de forma remota. Para ello es menester que se implementen medidas de seguridad cuando el personal trabaja de forma remota para proteger la información a la que se accede, procesa o almacena fuera de las instalaciones de la organización.

6.8 Reporte de eventos de seguridad de la información:  se propone garantizar la seguridad de la información cuando el personal está trabajando de forma remota. Esto se logra cuando la organización proporciona un mecanismo para que el personal informen eventos de seguridad de la información observados o sospechados a través de los canales apropiados de manera oportuna.

Software Seguridad de la Información ISOTools

La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

Si quiere conocer el software puede accede a las demostraciones gratuitas que celebramos semanalmente aquí.