Seguridad Ligada Al Personal

 

SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

La estructura de este punto de la norma es:  8.1. Seguridad en la definición del trabajo y los recursos. 8.1.1. Inclusión de la seguridad en las responsabilidades laborales. 8.1.2. Selección y política de personal. 8.1.3. Términos y condiciones de la relación laboral. 8.2. Seguridad en el desempeño de las funciones del empleo. 8.2.1. Supervisión de las obligaciones. 8.2.2. Formación y capacitación en seguridad de la información. 8.2.3. Procedimiento disciplinario. 8.3. Finalización o cambio del puesto de trabajo. 8.3.1. Cese de responsabilidades. 8.3.2. Restitución de activos. 8.3.3. Cancelación de permisos de acceso.

 

8.1. Seguridad en la definición del trabajo y los recursos.

8.1.1. Inclusión de la seguridad en las responsabilidades laborales. Control:  Control:  Se deberían definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la política de seguridad de la información de la organización. control:   Posibles Soluciones a este control: Elementos de la descripción de trabajo trabajo  

Callio Technologies  Technologies 

Diversas Plantillas relacionadas (inglés)

funciones   Modelo de descripción de funciones Seguridad   Ejemplo 1: Descripción Asesor de Seguridad Ejemplo 2: Descripciones de posiciones y funciones en seguridad seguridad  

GesConsultor   GesConsultor

GesConsultor es una herramienta de pago (alquiler mensual) de gestión de SGSIs, que incluye un módulo de gestión de roles y responsabilidades.

8.1.2. Selección y política de personal. Control: 

GesConsultor   GesConsultor

 

Se deberían realizar revisiones de verificación de antecedentes de los candidatos al empleo, contratistas y terceros y en concordancia con las regulaciones, ética y leyes relevantes y deben ser proporcionales a los requerimientos del negocio, la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos.  Posibles Soluciones a este control:  

Relación para el chequeo de referencias   referencias CALLIO

Diversas Plantillas relacionadas (inglés). Autorización previa al chequeo de referencias  referencias 

BSI SHOP  SHOP 

Código de buenas prácticas en inglés, publicado por BSI, relativo a la comprobación de antecendentes para empleados en entornos de seguridad.

BS 7858:2006+A2:2009

ASIS International  International 

Guía en inglés de cómo realizar comprobaciones de antecedentes a la hora de contratar personal.

guideline   Screening guideline

Asociación que proporciona opiniones relevantes a entidades legales National Association of  estatales, nacionales e internacionales en relación a asuntos relacionados Professional Background con la industria de selección y supervisión del personal. De origen EEUU Screeners existen capítulos en LatAm y Europa, entre otros países y regiones. CNI

NAPBS

NS/02: Seguridad en el personal. Habilitación de seguridad. Publicada por la Autoridad Delegada para la Seguridad de la Información Clasificada de España.

NS/02  NS/02 

8.1.3. Términos y condiciones de la relación laboral. Control: 

Como parte de su obligación obligació n contractual, empleados, contratistas y terceros deberían aceptar y firmar los términos y condiciones del contrato de empleo, el cual establecerá sus obligaciones y las obligaciones de la organización para la seguridad de información.   Posibles Soluciones a este control:  

Confidencialidad  Acuerdo de Confidencialidad  Ejemplo 1: acuerdo de confidencialidad   confidencialidad CALLIO TECHNOLOGIES

Diversas Plantillas relacionadas (inglés) Ejemplo 2: acuerdo de no revelación   revelación Contrato del personal  personal 

 

8.2. Seguridad en el desempeño de las funciones del empleo.

8.2.1. Supervisión de las obligaciones. Control: 

La Dirección debería requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las políticas y los procedimientos establecidos de la organización.   Posibles Soluciones a este control:  

Relación para la supervisión del personal   personal CALLIO TECHNOLOGIES

Diversas Plantillas relacionadas (inglés) Formulario de supervision del personal   personal

8.2.2. Formación y capacitación en seguridad de la información. Control: 

Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deberían recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.  también 8.2.3 (Consultar también  8.2.3  y  13.1 13.1)) 

 

Posibles Soluciones a este control:  

AGPD   AGPD

En esta página la Agencia Española de Protección de Datos pone a disposición de los ciudadanos información, consejos así como recursos y materiales para fomentar un uso seguro de Internet.

Agencia Protección de Datos Training Program StartUp   Up Training of  Security Staff   User Consent Consent  

CALLIO

Plantillas con consejos para desarrollar programas de formación del personal (inglés).

ENISA   ENISA

Documento en español publicado por ENISA (Agencia Europea de Seguridad de las Redes y de la Información) conteniendo plantillas de cuestionarios, con respuestas, sobre aspectos de seguridad de la información.

ENISA

ENISA   ENISA

ENISA ha producido material útil (clips de vídeo, ilustraciones, posters, salvapantallas) que hará que los empleados sean conscientes de los riesgos de seguridad de la información y recordarles las buenas prácticas. El material de ENISA están disponibles en distintos idiomas incluido el español para ser descargados y usados en cualquier programa de formación de seguridad de la información y en la actividad de sensibilización desde la web de la empresa.

ENISA

ENISA   ENISA

INTECO   INTECO

INTECO   INTECO

Material de capacitación para PYMES que puede ser utilizada por individuos o presentado en una sala de formación por los instructores que participan en el esfuerzo de su organización en temas de seguridad. Las guías de referencia de "formación de ENISA formadores" proporcionan información adicional y referencias externas para formadores y presentadores para utilizar durante el entrenamiento en concienciación de seguridad. Una forma de despertar el interés de los empleados por la seguridad de la información es formarles en aspectos que afectan a su uso privado de las TIC. Los manuales de INTECO pueden ayudar a preparar programas de formación sobre: qué es y cómo prevenir el sexting en adolescentes, seguridad y privacidad en la Web 2.0, seguridad y privacidad en Manuales de comercio electrónico, uso de videojuegos por menores, uso seguro del DNI electrónico en seguridad Inteco Internet, configuración de privacidad y seguridad en las redes sociales, ciberbullying y grooming, protección de WI-FI en el hogar, protección y uso seguro del teléfono móvil, menores de edad en las redes sociales e Internet, I nternet, cómo actuar ante ataques a la propia imagen en Internet, aspectos legales de la privacidad en Internet, etc. Curso introductorio gratuito de 20h. a los Sistemas de Gestión de la Seguridad de la Información (SGSI) según la norma UNE-ISO/IEC 27001. Se dan a conocer los conceptos básicos necesarios para introducir al usuario en la gestión de la Seguridad de la Información, así como conocer la dimensión y alcance que suponen la implantación, certificación y mantenimiento de un SGSI en una organización, en base a la norma ISO/IEC 27001.

Cada vídeo presenta una lección sobre un tema de seguridad. Unos tienen un enfoque INFORMATION SECURITY generalista e introductorio y otros más específicos, incluso con cierto nivel de dificultad y ENCYCLOPEDIA   ENCYCLOPEDIA en ese caso orientado a técnicos y especialistas. Al final de cada lección encontrarás un conjunto de preguntas que te servirán de autoevaluación.. ISO27001Security  

Concienciación para directivos: caso de estudio en inglés sobre el valor de negocio de ISO 27001.

Inteco.es

INTYPEDIA

iso27001security  

ISQ   ISQ

Formación en inglés sobre en qué consiste y cómo informar de Incidentes de seguridad. Sirve como modelo de formación útil a implantar internamente por una organización. IQS dispone de material diverso de demostración y tambien para su adquisición y traducción al español.

ISQ

Kirkpatrick   Kirkpatrick

El Modelo Kirkpatrick es una metodología ampliamente extendida de evaluación de la eficacia de acciones de formación. Previo registro, en este sitio se tiene acceso gratuito a información y herramientas sobre el modelo. El libro oficial es de pago (también traducido al español).

Kirkpatrick Partners   Partners

Lista recopilatoria de diversos juegos de simulación en gestión de servicios TI, Management Games and Simulations   Simulations continuidad de negocio, gestión del riesgo, entre otros y para y laroles formación en diferentes aspectos como toma de conciencia, organización del personal a desempeñar en

Listado de soluciones  

 

los diferentes casos.

Microsoft   Microsoft

Microsoft Security Awareness Toolkit: conjunto de herramientas en inglés de Microsoft para planificar, diseñar y desplegar un programa de concienciación en seguridad de la información en una organización.

MindfulSecurity.com   MindfulSecurity.com

Portal en inglés con recursos, enlaces e ideas sobre concienciación en seguridad de la información.

Wikipedia   Wikipedia

Enlaces a distintas plataformas de aprendizaje en línea (LMS: software instalado en un servidor, que se emplea para administrar, distribuir y controlar las actividades de formación no presencial o e-Learning de una institución u organización).

Microsoft Security Awareness Toolkit   Toolkit Technet  Technet  mindfulsecurity  

Learning Management systems  

8.2.3. Procedimiento disciplinario. Control: 

Debería existir un proceso formal disciplinario para empleados que produzcan brechas en la seguridad.  Posibles Soluciones a este control:  

CALLIO   CALLIO

Documentos y plantillas relacionadas con aspectos de proceso disciplinario (inglés).

SEINHE   SEINHE

Consideraciones relativas al proceso disciplinario laboral en España.

Application of Disciplinary MeasuresExample MeasuresExample of a Disciplinary Process  Process  Persons to Contact - Security IncidentsProgression sProgression in Disciplinary Incident Measures Measures   Reporting Security Incidents Review of Reported Incidents  Incidents   disciplinario   Proceso disciplinario

Jurisprudencia del Tribunal Supremo español relativa al despido de trabajadores por uso inapropiado de medios Tribunal Supremo  Supremo 

derechoycambiosocial.com   derechoycambiosocial.com INTECO   INTECO

informáticos. Hacer28079140012011100178 clic en el enlace e introducir "Texto a buscar": paraenlael campo sentencia STS 1323/2011 y 28079140012007101065 para la sentencia STS 6128/2007.

Jurisprudencia Tribunal Supremo  Supremo 

Análisis de la sentencia STS 1323/2011 del Tribunal S Supremo upremo Despido_por_uso_indebido_de_internet.pdf   español. Guía de INTECO en español sobre la utilización de las tecnologías de la información en el ámbito laboral y sus consideraciones legales.

Guía Inteco  Inteco 

 

8.3. Finalización o cambio del puesto de trabajo.

8.3.1. Cese de responsabilidades responsabilidades.. Control: 

Las responsabilidades para ejecutar la finalización de un empleo o el cambio de éste deberían estar claramente definidas y asignadas.   6.1.5)  (consultar 6.1.5) (consultar 8.1.3) 8.1.3)  (sección 8.1) 8.1)  Posibles Soluciones a este control: Espacio pendiente de posibles aportaciones. 

8.3.2. Restitución de activos. Control: 

Todos los empleados, contratistas y terceros deberían devolver todos los activos de la organización que estén en su posesión a la finalización de su empleo, contrato o acuerdo.   Guía: 

El proceso de finalización debería estar formalizado para incluir el retorno previo de los software, documentos corporativos y equipos. 

 

Otros activos de la organización como dispositivos móviles de computo, tarjetas de crédito, tarjetas de acceso, manuales, software e información guardada en medios electrónicos, el ectrónicos, también necesitan ser devueltos.  En casos donde el empleado, contratista o tercero compra el equipo de la organización o usa su propio equipo, se debería seguir procedimientos para asegurar que toda la información relevante es transferida a la organización y borrado con seguridad del equipo (consultar 10.7.1 10.7.1)).  En casos donde un empleado, contratista o tercero tiene tie ne conocimiento que es importante para las operaciones en curso, esa información debe ser documentada docum entada y transferida a la organización.   Posibles Soluciones a este control:  

Espacio pendiente de posibles aportaciones. 

8.3.3. Cancelación de permisos de acceso. Control: 

Se deberían retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del empleo, contrato o acuerdo, o ser revisada en caso de cambio.   Guía: 

Tras la finalización, se deberían reconsiderar los derechos de acceso de un individuo a los activos asociados con los sistemas de información y a los servicios. Esto determinara si es necesario retirar los derechos de acceso.  Los cambios en un empleo deberían reflejarse en la retirada de todos los derechos de acceso que no sean aprobados para el nuevo empleo.  Los derechos de acceso deberían ser retirados o adaptados, incluyendo acceso físico y lógico, llaves, tarjetas de identificación, instalaciones del proceso de información ( consultar 11.2.4 11.2.4)), subscripciones y retirada de cualquier documentación que los identifica como un miembro actual de la organización.   Si un empleado, contratista o usuario de d e tercero saliente ha sabido contraseñas para activos restantes de las cuentas, deberían ser cambiadas hasta la finalización o cambio del empleo, contrato o acuerdo.   Los derechos de acceso para activos de información y equipos se deberían reducir o retirar antes que el empleo termine o cambie, dependiendo de la evaluación de los factores de riesgo como:  

a) si la finalización o cambio es iniciado por el empleado, contratista o usuario de tercero, o por la gerencia y la razón de la finalización;  

 

b) las responsabilidades actuales del empleado u otro usuario;   c) el valor de los activos a los que se accede actualmente.   Información adicional: 

En ciertas circunstancias los derechos de acceso pueden ser asignados en base a la disponibilidad hacia más personas que el empleado, contratista o usuario de tercero saliente.   En estas circunstancias, los individuos salientes deberían ser removidos de cualquier lista de grupos de acceso y se deben realizar arreglos para advertir a los demás empleados, contratistas contrati stas y usuarios de terceros involucrados de no compartir esta información con la persona saliente. sa liente.   En casos de gerencia terminada, contrariedad con los empleados, contratistas o usuarios de terceros pueden llevar a corromper información deliberadamente o a sabotear las instalaciones del procesamiento de información.  En casos de renuncia de personal, estos pueden ser tentados a recolectar información para usos futuros.   Posibles Soluciones a este control:  

Espacio pendiente de posibles aportaciones. Pagina de Raymundo. SEGURIDAD LIGADA AL PERSONAL

ISO/IEC 17799 (denominada también como ISO 27002)

> Seguridad > Seguridad de la información > Seguridad ligada a Recursos Humanos El principal objetivo de este punto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y que sean adecuados para los roles para los que han sido considerados, c onsiderados, reduciendo el riesgo de robo, fraude o mal m al uso de las instalaciones. Análisis de antecedentes, referencias y formación  formación   Se deben verificar referencias anteriores de todos los candidatos, contratistas y terceros. La información a recopilar será la siguiente: s iguiente:

       

   

la disponibilidad de referencias satisfactorias sobre actitudes. act itudes. la comprobación (de los datos completos y precisos) del Curriculum Vitae del candidato. la confirmación de las certificaciones académicas y profesionales una comprobación de la identificación (con pasaporte o DNI)

Asignación de responsabilidades  responsabilidades 

 

Las funciones y responsabilidades de los empleados, contratistas y terceros deben ser definidas y documentadas en concordancia con la política de seguridad de la organización. Estas funciones de seguridad y responsabilidades deben incluir los siguientes requisitos:

   

 

Implementadas y realizadas en concordancia con la política de seguridad de la organización. Deben proteger a los activos de un acceso no autorizado, modificación, destrucción o interferencia.

Las funciones de seguridad y la responsabilidad responsabilidad deben ser definidas y comunicadas claramente a los candidatos al trabajo durante el proceso de selección. En cuanto a las responsabilidades de la gerencia, debe asegurarse de que los empleados, contratistas y terceros:

 



     

  

cuenten con un resumen apropiado de sus responsabilidades y roles en la seguridad de información antes de garantizar el acceso a información sensible o a los sistemas de información; que estén provistos con una guía que establezca las expectativas de seguridad de su rol dentro de la organización que se encuentren motivados de cumplir las políticas de seguridad de la organización; alcancen un nivel de conocimiento de seguridad relevante en sus roles y responsabilidades dentro de la organización

En cuanto a las responsabilidades para realizar la finalización de un empleo o el cambio de este deben ser claramente definidas y asignadas. La comunicación de la finalización de las responsabilidades deben incluir requisitos de seguridad en curso y responsabilidades legales, responsabilidades responsabilidades contenidas dentro de cualquier acuerdo de confidencialidad y términos y condiciones por un periodo definido después del término del contrato de empleo o de terceros. Las responsabilidades y tareas que son todavía válidas después de la finalización del empleo deben ser contenidas en el contrato laboral en los contratos de terceros. Confidencialidad   Confidencialidad Como parte de su obligación contractual, empleados, empleados, contratistas y terceros deben aceptar y firmar los términos y condiciones del contrato, el cual establecerá sus obligaciones y las obligaciones de la organización para la seguridad de la información. Los términos y condiciones del empleo deben reflejar la política de organización de la organización además de aclarar y establecer: Que todos los empleados, contratistas y terceros a los que se les ha dado acceso a información sensible deben firmar un acuerdo de confidencialidad y de no divulgación antes de darle el acceso a las instalaciones de procesamiento de información. Las responsabilidades y derechos del contratista contratist a de empleados o cualquier otro usuario. Las responsabilidades del empleado, contratista o terceros para gestionar la información recibida de otras compañías o terceros. Asignación y devolución de activos  activos   Toda la información y los activos asociados con el proceso de información deben tener un responsable designado en la organización. Los propietarios de los activos deben ser responsables de:

 





   



asegurar que la información y los activos asociados con las instalaciones de procesamiento de información son apropiadamente clasificadas definir y revisar periódicamente las restricciones de acceso y las clasificaciones, tomando en cuenta políticas de control aplicables. La propiedad debe ser asignada a:

 

  proceso de negocios;   un conjunto definido de actividades; un conjunto definido de datos. o  o o

Todos los empleados, contratistas y terceros deben devolver todos los activos de la organización que estén en su posesión hasta la finalización de su empleo, contrato o acuerdo. El proceso de finalización debe ser formalizado para incluir el retorno previo del software, documentos corporativos y equipos. Otros activos de la organización como dispositivos móviles de cómputo, tarjetas de crédito, tarjetas de acceso, manuales, software e información guardada en medios electrónicos, también necesitan ser devueltos. En casos donde el empleado, contratista o tercero compra el equipo de la organización o usa su propio equipo, se debe seguir procedimientos para asegurar que toda la información relevante es transferida a la organización y es eliminada con seguridad del equipo. Formación y concienciación  concienciación  La concienciación y formación deben empezar con una inducción formal de la política de seguridad de la organización y las expectativas, antes conceder acceso a la información o al servicio. La formación debe incluir requisitos de seguridad, responsabilidades legales y controles del negocio, así como prácticas en el uso correcto de los recursos de tratamiento de información, procedimientos de acceso (log-on), uso de aplicaciones y proceso disciplinario. Proceso disciplinario  disciplinario  Debe existir un proceso formal disciplinario para empleados que han incumplido algún punto de la política de seguridad y de las normas establecidas. El

proceso

disciplinario

no

debe

comenzar

sin

una

verificación

previa

del

incumplimiento.

http://protegete.jccm.es/protegete/opencms/Administracion/Seguridad/SeguridadInformacion/seg uridad.html