SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

La estructura de este punto de la norma es:

8.1. Seguridad en la definicin del trabajo y los recursos. 8.1.1. Inclusin de la seguridad en las responsabilidades laborales. 8.1.2. Seleccin y poltica de personal. 8.1.3. Trminos y condiciones de la relacin laboral. 8.2. Seguridad en el desempeo de las funciones del empleo. 8.2.1. Supervisin de las obligaciones. 8.2.2. Formacin y capacitacin en seguridad de la informacin. 8.2.3. Procedimiento disciplinario. 8.3. Finalizacin o cambio del puesto de trabajo. 8.3.1. Cese de responsabilidades. 8.3.2. Restitucin de activos. 8.3.3. Cancelacin de permisos de acceso.

8.1. Seguridad en la definicin del trabajo y los recursos.

8.1.1. Inclusin de la seguridad en las responsabilidades laborales. Control: Se deberan definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la poltica de seguridad de la informacin de la organizacin. Posibles Soluciones a este control: Elementos de la descripcin de trabajo Diversas Plantillas relacionadas (ingls) Modelo de descripcin de funciones Ejemplo 1: Descripcin Asesor de Seguridad Ejemplo 2: Descripciones de posiciones y funciones en seguridad GesConsultor es una herramienta de pago (alquiler mensual) de gestin de SGSIs, que incluye un mdulo de gestin de roles y responsabilidades.

Callio Technologies

GesConsultor

GesConsultor

8.1.2. Seleccin y poltica de personal.

Control:

Se deberan realizar revisiones de verificacin de antecedentes de los candidatos al empleo, contratistas y terceros y en concordancia con las regulaciones, tica y leyes relevantes y deben ser proporcionales a los requerimientos del negocio, la clasificacin de la informacin a la cual se va a tener acceso y los riesgos percibidos. Posibles Soluciones a este control:
Relacin para el chequeo de referencias CALLIO Diversas Plantillas relacionadas (ingls). Autorizacin previa al chequeo de referencias BSI SHOP ASIS International Cdigo de buenas prcticas en ingls, publicado por BSI, relativo a la comprobacin de antecendentes para empleados en entornos de seguridad. Gua en ingls de cmo realizar comprobaciones de antecedentes a la hora de contratar personal. BS 7858:2006+A2:2009 Screening guideline

Asociacin que proporciona opiniones relevantes a entidades legales National Association of estatales, nacionales e internacionales en relacin a asuntos relacionados Professional Background con la industria de seleccin y supervisin del personal. De origen EEUU Screeners existen captulos en LatAm y Europa, entre otros pases y regiones. CNI NS/02: Seguridad en el personal. Habilitacin de seguridad. Publicada por la Autoridad Delegada para la Seguridad de la Informacin Clasificada de Espaa.

NAPBS

NS/02

8.1.3. Trminos y condiciones de la relacin laboral.

Control: Como parte de su obligacin contractual, empleados, contratistas y terceros deberan aceptar y firmar los trminos y condiciones del contrato de empleo, el cual establecer sus obligaciones y las obligaciones de la organizacin para la seguridad de informacin. Posibles Soluciones a este control:
Acuerdo de Confidencialidad Ejemplo 1: acuerdo de confidencialidad CALLIO TECHNOLOGIES Diversas Plantillas relacionadas (ingls) Ejemplo 2: acuerdo de no revelacin Contrato del personal

8.2. Seguridad en el desempeo de las funciones del empleo.

8.2.1. Supervisin de las obligaciones.

Control: La Direccin debera requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las polticas y los procedimientos establecidos de la organizacin. Posibles Soluciones a este control:
Relacin para la supervisin del personal CALLIO TECHNOLOGIES Diversas Plantillas relacionadas (ingls) Formulario de supervision del personal

8.2.2. Formacin y capacitacin en seguridad de la informacin.

Control: Todos los empleados de la organizacin y donde sea relevante, contratistas y usuarios de terceros deberan recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en polticas y procedimientos organizacionales como sean relevantes para la funcin de su trabajo. (Consultar tambin 8.2.3 y 13.1)

Posibles Soluciones a este control:

En esta pgina la Agencia Espaola de Proteccin de Datos pone a disposicin de los ciudadanos informacin, consejos as como recursos y materiales para fomentar un uso seguro de Internet. Agencia Proteccin de Datos Training Program StartUp Training of Security Staff User Consent ENISA

AGPD

CALLIO

Plantillas con consejos para desarrollar programas de formacin del personal (ingls).

ENISA

Documento en espaol publicado por ENISA (Agencia Europea de Seguridad de las Redes y de la Informacin) conteniendo plantillas de cuestionarios, con respuestas, sobre aspectos de seguridad de la informacin. ENISA ha producido material til (clips de vdeo, ilustraciones, posters, salvapantallas) que har que los empleados sean conscientes de los riesgos de seguridad de la informacin y recordarles las buenas prcticas. El material de ENISA estn disponibles en distintos idiomas incluido el espaol para ser descargados y usados en cualquier programa de formacin de seguridad de la informacin y en la actividad de sensibilizacin desde la web de la empresa. Material de capacitacin para PYMES que puede ser utilizada por individuos o presentado en una sala de formacin por los instructores que participan en el esfuerzo de su organizacin en temas de seguridad. Las guas de referencia de "formacin de formadores" proporcionan informacin adicional y referencias externas para formadores y presentadores para utilizar durante el entrenamiento en concienciacin de seguridad.

ENISA

ENISA

ENISA

ENISA

INTECO

Una forma de despertar el inters de los empleados por la seguridad de la informacin es formarles en aspectos que afectan a su uso privado de las TIC. Los manuales de INTECO pueden ayudar a preparar programas de formacin sobre: qu es y cmo prevenir el sexting en adolescentes, seguridad y privacidad en la Web 2.0, seguridad y privacidad en Manuales de comercio electrnico, uso de videojuegos por menores, uso seguro del DNI electrnico en seguridad Inteco Internet, configuracin de privacidad y seguridad en las redes sociales, ciberbullying y grooming, proteccin de WI-FI en el hogar, proteccin y uso seguro del telfono mvil, menores de edad en las redes sociales e Internet, cmo actuar ante ataques a la propia imagen en Internet, aspectos legales de la privacidad en Internet, etc. Curso introductorio gratuito de 20h. a los Sistemas de Gestin de la Seguridad de la Informacin (SGSI) segn la norma UNE-ISO/IEC 27001. Se dan a conocer los conceptos bsicos necesarios para introducir al usuario en la gestin de la Seguridad de la Informacin, as como conocer la dimensin y alcance que suponen la implantacin, certificacin y mantenimiento de un SGSI en una organizacin, en base a la norma ISO/IEC 27001.

INTECO

Inteco.es

Cada vdeo presenta una leccin sobre un tema de seguridad. Unos tienen un enfoque INFORMATION SECURITY generalista e introductorio y otros ms especficos, incluso con cierto nivel de dificultad y ENCYCLOPEDIA en ese caso orientado a tcnicos y especialistas. Al final de cada leccin encontrars un conjunto de preguntas que te servirn de autoevaluacin.. ISO27001Security Concienciacin para directivos: caso de estudio en ingls sobre el valor de negocio de ISO 27001. Formacin en ingls sobre en qu consiste y cmo informar de Incidentes de seguridad. Sirve como modelo de formacin til a implantar internamente por una organizacin. IQS dispone de material diverso de demostracin y tambien para su adquisicin y traduccin al espaol. El Modelo Kirkpatrick es una metodologa ampliamente extendida de evaluacin de la eficacia de acciones de formacin. Previo registro, en este sitio se tiene acceso gratuito a informacin y herramientas sobre el modelo. El libro oficial es de pago (tambin traducido al espaol). Lista recopilatoria de diversos juegos de simulacin en gestin de servicios TI, continuidad de negocio, gestin del riesgo, entre otros y para la formacin en diferentes aspectos como toma de conciencia, organizacin del personal y roles a desempear en

INTYPEDIA

iso27001security

ISQ

ISQ

Kirkpatrick

Kirkpatrick Partners Listado de soluciones

Management Games and Simulations

los diferentes casos.

Microsoft

Microsoft Security Awareness Toolkit: conjunto de herramientas en ingls de Microsoft para planificar, disear y desplegar un programa de concienciacin en seguridad de la informacin en una organizacin. Portal en ingls con recursos, enlaces e ideas sobre concienciacin en seguridad de la informacin. Enlaces a distintas plataformas de aprendizaje en lnea (LMS: software instalado en un servidor, que se emplea para administrar, distribuir y controlar las actividades de formacin no presencial o e-Learning de una institucin u organizacin).

Microsoft Security Awareness Toolkit Technet

MindfulSecurity.com Wikipedia

mindfulsecurity Learning Management systems

8.2.3. Procedimiento disciplinario.

Control: Debera existir un proceso formal disciplinario para empleados que produzcan brechas en la seguridad. Posibles Soluciones a este control:
Application of Disciplinary MeasuresExample of a Disciplinary Process Persons to Contact - Security IncidentsProgression in Disciplinary Measures Reporting Security Incidents Review of Reported Incidents Proceso disciplinario

CALLIO

Documentos y plantillas relacionadas con aspectos de proceso disciplinario (ingls).

SEINHE

Consideraciones relativas al proceso disciplinario laboral en Espaa. Jurisprudencia del Tribunal Supremo espaol relativa al despido de trabajadores por uso inapropiado de medios informticos. Hacer clic en el enlace e introducir en el campo "Texto a buscar": 28079140012011100178 para la sentencia STS 1323/2011 y 28079140012007101065 para la sentencia STS 6128/2007.

Tribunal Supremo

Jurisprudencia Tribunal Supremo

derechoycambiosocial.com INTECO

Anlisis de la sentencia STS 1323/2011 del Tribunal Supremo Despido_por_uso_indebido_de_internet.pdf espaol. Gua de INTECO en espaol sobre la utilizacin de las tecnologas de la informacin en el mbito laboral y sus consideraciones legales. Gua Inteco

8.3. Finalizacin o cambio del puesto de trabajo.

8.3.1. Cese de responsabilidades.

Control: Las responsabilidades para ejecutar la finalizacin de un empleo o el cambio de ste deberan estar claramente definidas y asignadas. (consultar 6.1.5) (consultar 8.1.3) (seccin 8.1) Posibles Soluciones a este control:Espacio pendiente de posibles aportaciones.
8.3.2. Restitucin de activos.

Control: Todos los empleados, contratistas y terceros deberan devolver todos los activos de la organizacin que estn en su posesin a la finalizacin de su empleo, contrato o acuerdo. Gua: El proceso de finalizacin debera estar formalizado para incluir el retorno previo de los software, documentos corporativos y equipos.

Otros activos de la organizacin como dispositivos mviles de computo, tarjetas de crdito, tarjetas de acceso, manuales, software e informacin guardada en medios electrnicos, tambin necesitan ser devueltos. En casos donde el empleado, contratista o tercero compra el equipo de la organizacin o usa su propio equipo, se debera seguir procedimientos para asegurar que toda la informacin relevante es transferida a la organizacin y borrado con seguridad del equipo (consultar 10.7.1). En casos donde un empleado, contratista o tercero tiene conocimiento que es importante para las operaciones en curso, esa informacin debe ser documentada y transferida a la organizacin. Posibles Soluciones a este control: Espacio pendiente de posibles aportaciones.

8.3.3. Cancelacin de permisos de acceso.

Control: Se deberan retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la informacin y a las instalaciones del procesamiento de informacin a la finalizacin del empleo, contrato o acuerdo, o ser revisada en caso de cambio. Gua: Tras la finalizacin, se deberan reconsiderar los derechos de acceso de un individuo a los activos asociados con los sistemas de informacin y a los servicios. Esto determinara si es necesario retirar los derechos de acceso. Los cambios en un empleo deberan reflejarse en la retirada de todos los derechos de acceso que no sean aprobados para el nuevo empleo. Los derechos de acceso deberan ser retirados o adaptados, incluyendo acceso fsico y lgico, llaves, tarjetas de identificacin, instalaciones del proceso de informacin (consultar 11.2.4), subscripciones y retirada de cualquier documentacin que los identifica como un miembro actual de la organizacin. Si un empleado, contratista o usuario de tercero saliente ha sabido contraseas para activos restantes de las cuentas, deberan ser cambiadas hasta la finalizacin o cambio del empleo, contrato o acuerdo. Los derechos de acceso para activos de informacin y equipos se deberan reducir o retirar antes que el empleo termine o cambie, dependiendo de la evaluacin de los factores de riesgo como: a) si la finalizacin o cambio es iniciado por el empleado, contratista o usuario de tercero, o por la gerencia y la razn de la finalizacin;

b) las responsabilidades actuales del empleado u otro usuario; c) el valor de los activos a los que se accede actualmente. Informacin adicional: En ciertas circunstancias los derechos de acceso pueden ser asignados en base a la disponibilidad hacia ms personas que el empleado, contratista o usuario de tercero saliente. En estas circunstancias, los individuos salientes deberan ser removidos de cualquier lista de grupos de acceso y se deben realizar arreglos para advertir a los dems empleados, contratistas y usuarios de terceros involucrados de no compartir esta informacin con la persona saliente. En casos de gerencia terminada, contrariedad con los empleados, contratistas o usuarios de terceros pueden llevar a corromper informacin deliberadamente o a sabotear las instalaciones del procesamiento de informacin. En casos de renuncia de personal, estos pueden ser tentados a recolectar informacin para usos futuros. Posibles Soluciones a este control: Espacio pendiente de posibles aportaciones. Pagina de Raymundo.

SEGURIDAD LIGADA AL PERSONAL

ISO/IEC 17799 (denominada tambin como ISO 27002)

> Seguridad > Seguridad de la informacin > Seguridad ligada a Recursos Humanos
El principal objetivo de este punto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y que sean adecuados para los roles para los que han sido considerados, reduciendo el riesgo de robo, fraude o mal uso de las instalaciones. Anlisis de antecedentes, referencias y formacin Se deben verificar referencias anteriores de todos los candidatos, contratistas y terceros. La informacin a recopilar ser la siguiente:

la disponibilidad de referencias satisfactorias sobre actitudes. la comprobacin (de los datos completos y precisos) del Curriculum Vitae del candidato. la confirmacin de las certificaciones acadmicas y profesionales una comprobacin de la identificacin (con pasaporte o DNI)

Asignacin de responsabilidades

Las funciones y responsabilidades de los empleados, contratistas y terceros deben ser definidas y documentadas en concordancia con la poltica de seguridad de la organizacin. Estas funciones de seguridad y responsabilidades deben incluir los siguientes requisitos:

Implementadas y realizadas en concordancia con la poltica de seguridad de la organizacin. Deben proteger a los activos de un acceso no autorizado, modificacin, destruccin o interferencia.

Las funciones de seguridad y la responsabilidad deben ser definidas y comunicadas claramente a los candidatos al trabajo durante el proceso de seleccin. En cuanto a las responsabilidades de la gerencia, debe asegurarse de que los empleados, contratistas y terceros:

cuenten con un resumen apropiado de sus responsabilidades y roles en la seguridad de informacin antes de garantizar el acceso a informacin sensible o a los sistemas de informacin; que estn provistos con una gua que establezca las expectativas de seguridad de su rol dentro de la organizacin que se encuentren motivados de cumplir las polticas de seguridad de la organizacin; alcancen un nivel de conocimiento de seguridad relevante en sus roles y responsabilidades dentro de la organizacin

En cuanto a las responsabilidades para realizar la finalizacin de un empleo o el cambio de este deben ser claramente definidas y asignadas. La comunicacin de la finalizacin de las responsabilidades deben incluir requisitos de seguridad en curso y responsabilidades legales, responsabilidades contenidas dentro de cualquier acuerdo de confidencialidad y trminos y condiciones por un periodo definido despus del trmino del contrato de empleo o de terceros. Las responsabilidades y tareas que son todava vlidas despus de la finalizacin del empleo deben ser contenidas en el contrato laboral en los contratos de terceros. Confidencialidad Como parte de su obligacin contractual, empleados, contratistas y terceros deben aceptar y firmar los trminos y condiciones del contrato, el cual establecer sus obligaciones y las obligaciones de la organizacin para la seguridad de la informacin. Los trminos y condiciones del empleo deben reflejar la poltica de organizacin de la organizacin adems de aclarar y establecer: Que todos los empleados, contratistas y terceros a los que se les ha dado acceso a informacin sensible deben firmar un acuerdo de confidencialidad y de no divulgacin antes de darle el acceso a las instalaciones de procesamiento de informacin. Las responsabilidades y derechos del contratista de empleados o cualquier otro usuario. Las responsabilidades del empleado, contratista o terceros para gestionar la informacin recibida de otras compaas o terceros. Asignacin y devolucin de activos Toda la informacin y los activos asociados con el proceso de informacin deben tener un responsable designado en la organizacin. Los propietarios de los activos deben ser responsables de:

asegurar que la informacin y los activos asociados con las instalaciones de procesamiento de informacin son apropiadamente clasificadas definir y revisar peridicamente las restricciones de acceso y las clasificaciones, tomando en cuenta polticas de control aplicables. La propiedad debe ser asignada a:

o o o

proceso de negocios; un conjunto definido de actividades; un conjunto definido de datos.

Todos los empleados, contratistas y terceros deben devolver todos los activos de la organizacin que estn en su posesin hasta la finalizacin de su empleo, contrato o acuerdo. El proceso de finalizacin debe ser formalizado para incluir el retorno previo del software, documentos corporativos y equipos. Otros activos de la organizacin como dispositivos mviles de cmputo, tarjetas de crdito, tarjetas de acceso, manuales, software e informacin guardada en medios electrnicos, tambin necesitan ser devueltos. En casos donde el empleado, contratista o tercero compra el equipo de la organizacin o usa su propio equipo, se debe seguir procedimientos para asegurar que toda la informacin relevante es transferida a la organizacin y es eliminada con seguridad del equipo. Formacin y concienciacin La concienciacin y formacin deben empezar con una induccin formal de la poltica de seguridad de la organizacin y las expectativas, antes conceder acceso a la informacin o al servicio. La formacin debe incluir requisitos de seguridad, responsabilidades legales y controles del negocio, as como prcticas en el uso correcto de los recursos de tratamiento de informacin, procedimientos de acceso (log-on), uso de aplicaciones y proceso disciplinario. Proceso disciplinario Debe existir un proceso formal disciplinario para empleados que han incumplido algn punto de la poltica de seguridad y de las normas establecidas. El proceso disciplinario no debe comenzar sin una verificacin previa del incumplimiento.

http://protegete.jccm.es/protegete/opencms/Administracion/Seguridad/SeguridadInformacion/seg uridad.html