Más allá de la ciberseguridad: empleando, manteniendo, transfiriendo y terminando puestos de trabajo.

Este blog está dedicado a temas de ciberseguridad, sin embargo, muchas veces pasamos de largo el tema de contratación, el cual influye de manera directa en la seguridad de los datos que son controlados por las personas que se contratan. En este post vamos a ver los asuntos que debes tener en cuenta cuando se contrata, transfiere o termina un contrato laboral desde el punto de vista de seguridad. 

En la parte de contratación, debes tener en cuenta que se debe verificar la información contenida en la hoja de vida, al igual que el resultado del estudio de seguridad que se debe hacer sobre el postulante al cargo, posterior a estas tareas iniciales, debes tener estos cuatro documentos:

• Contrato de trabajo
• Reglamento interno de la empresa
• Responsabilidad en el uso de recursos informáticos 
• Acuerdo de confidencialidad

Los dos primeros documentos son básicos para cualquier tipo de contratación, el tercero, corresponde a la definición de responsabilidad sobre el uso de los recursos informáticos, que está y que no está permitido hacer dentro de la organización con los recursos informáticos que le han sido asignados al empleado o los recursos informáticos que el empleado traiga para usarlos dentro de la compañía.  

El último de estos documentos corresponde al la protección de la información sensible a la que pueda llegar a tener acceso el empleado, en este documento deberá estar contenidas las acciones que puede hacer y las acciones que no puede hacer con la información de la empresa o de terceros, al igual que las responsabilidades o consecuencias que pueda llegar a tener por su uso no adecuado.

Es común que la organización no tenga un procedimiento adecuado para la transferencia entre diferentes cargos, como por ejemplo el cambio de un área a otra área, con solo esto, los permisos y las responsabilidades cambian, por lo que te recomiendo tener un procedimiento adecuando para estas situaciones. 

Finalmente, debes tener un procedimiento para cuando una persona sea sesada de su cargo, debes involucrar a todas las áreas relacionadas como por ejemplo, Recursos Humanos, Seguridad y Salud en el Trabajo, Jurídica, Informática entre otras, esto dependerá de cada organización. 

Si quieres mayor información, puede apoyarte del marco de seguridad de la información ISO 27001 en su dominio A7 que trata de Seguridad en los Recursos Humanos, estos son los objetivos y controles propuestos: 

• 7. Seguridad relacionada con los recursos humanos
• 7.1 Antes de la contratación
• 7.1.1 Investigación de antecedentes
• 7.1.2 Términos y condiciones de contratación
• 7.2 Durante la contratación
• 7.2.1 Responsabilidades de gestión
• 7.2.2 Concienciación, educación y capacitación en SI
• 7.2.3 Proceso disciplinario
• 7.3 Terminación o cambio de puesto de trabajo
• 7.3.1 Terminación o cambio de responsabilidades de empleo

Como siempre, recuerda que estas recomendaciones son de carácter general, puedes tomarlas como línea guía y agregar o suprimir controles de acuerdo a las características de tu organización.