Issuu on Google+

SISTEMA DE SEGURIDAD DE LA INFORMACIÓN DOMINIO RECURSOS HUMANOS ISO 27001


Sistema de Seguridad de la Información – ISO 27001 •

• •

Define un Marco para el establecimiento de objetivos y establece las directrices y principios de acción en lo referente a seguridad de la información. Tiene en cuenta requerimientos legales, de negocio y contractuales. Se alinea el contexto estrategico de gestión del riesgo de la organización en el que se desarrolla el SGSI Establece los criterios de evaluación del riesgo.


MODELO PHVA


Dominios ISO 27001 1. 2. 3. 4. 5. 6.

Política de Seguridad Organización de Seguridad Clasificación y Control de Activos Aspectos humanos de la seguridad Seguridad Física y Ambiental Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Legal


Dominios ISO 27001


SEGURIDAD ASOCIADA A LOS RECURSOS HUMANOS CONTROLES • Seguridad en la Definición del Trabajo y los Recursos. • Seguridad en el Desempeño de las Funciones. • Finalización o cambio del puesto de trabajo.


Seguridad en la Definición del Trabajo y los Recursos • Inclusión de la Seguridad en las Responsabilidades Laborales. • Selección y Política de Personal. • Términos y condiciones de la Relación Laboral.


Seguridad en la Definici贸n del Trabajo y los Recursos Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios.


Las responsabilidades de la seguridad se deberían definir antes de la contratación laboral mediante la descripción adecuada del trabajo y los términos y Condiciones del empleo. Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se deberían seleccionar adecuadamente, especialmente para los trabajos sensibles. Los empleados, contratistas y usuarios de terceras partes de los servicios de procesamiento de la información deberían firmar un acuerdo sobre sus funciones y responsabilidades con relación a la seguridad.


• Conjuntamente con RRHH, asegure que se emplea un proceso de verificación de antecedentes proporcional a la clasificación de seguridad de aquella información a la que va a acceder el empleado a contratar. • Dicho simplemente, el proceso de contratación de un administrador de sistemas TI debería ser muy diferente del de un administrativo. Haga comprobaciones de procedencia, formación, conocimientos, etc.


Seguridad en el Desempeño de las Funciones. • Supervisión de las Obligaciones. • Formación y Capacitación en la Seguridad de la Información. • Procedimiento Disciplinario.


Seguridad en el Desempeño de las Funciones. Asegurar que los empleados, contratistas y terceras partes son conscientes de las amenazas de seguridad, de sus responsabilidades y obligaciones y que están equipados para cumplir con la política de seguridad de la organización en el desempeño de sus labores diarias, para reducir el riesgo asociado a los errores humanos.


Se debería definir las responsabilidades de la Dirección para garantizar que la seguridad se aplica en todos los puestos de trabajo de las personas de la organización. A todos los usuarios empleados, contratistas y terceras personas se les debería proporcionar un adecuado nivel de concienciación, educación y capacitación en procedimientos de seguridad y en el uso correcto de los medios disponibles para el procesamiento de la información con objeto de minimizar los posibles riesgos de seguridad. Se debería establecer un proceso disciplinario normal para gestionar las brechas en seguridad.


• La responsabilidad con respecto a la protección de la información no finaliza cuando un empleado se va a casa o abandona la organización. Asegure que esto se documenta claramente en materiales de concienciación, contratos de empleo, etc. • Contemple la posibilidad de una revisión anual por RRHH de los contratos junto con los empleados para refrescar las expectativas expuestas en los términos y condiciones de empleo, incluyendo su compromiso con la seguridad de la información.


Finalización o Cambio de Puesto de Trabajo • Cese de Responsabilidades • Restitución de Activos • Cancelación de Permisos de Acceso


Finalizaci贸n o Cambio de Puesto de Trabajo

Garantizar que los empleados, contratistas y terceras personas abandonan la organizaci贸n o cambian de empleo de forma organizada.


• Se deberían establecer las responsabilidades para asegurar que el abandono de la organización por parte de los empleados, contratistas o terceras personas se controla, que se devuelve todo el equipamiento y se eliminan completamente todos los derechos de acceso. • Los cambios en las responsabilidades y empleos en la organización se deberían manejar, en el caso de su finalización en línea con esta sección, y para el caso de nuevos empleos como se describe en el control “Seguridad en la Definición de los puestos de trabajo”.


• La devolución de los activos de la organización cuando un empleado se marcha sería mucho más sencilla de verificar si el inventario de activos ha sido actualizado y verificado regularmente. • Examine qué accesos necesita revocar en primer lugar cuando un empleado presenta su carta de dimisión: ¿cuáles son los sistemas más críticos o vulnerables?. • Haga un seguimiento del uso del e-mail por estas personas antes de salir definitivamente de la empresa, por si comienzan a sacar información confidencial (sujeto a las políticas aplicables y a consideraciones legales sobre privacidad).


ยกMUCHAS GRACIAS!


presentación del ingeniero Jhon Eder Giraldo