Una forma de garantizar que las personas conozcan todos los roles y las responsabilidades en una empresa será definidas de forma clara en las políticas y los procedimientos.
Pero esta solución tiene una limitación, solo cubre a las personas que trabajan en la organización o tienen acceso a la información.
Cuando la empresa selecciona a los candidatos adecuados, es importante que se garantice que la información se encontrará adecuadamente protegida incluso en las primeras etapas. ¿Cómo se puede conseguir esto cuando un candidato aún no ha tenido acceso a las políticas y procedimientos de la empresa? Durante el post de hoy queremos establecer una serie de términos y condiciones de seguridad para los trabajadores según la norma ISO 27001.
Cómo hacer que los términos y condiciones de seguridad sean importantes
Los términos y condiciones de trabajo son las reglas generales por las que los jefes y los trabajadores o el personal contratado que trabajan en nombre de la empresa acuerdan para realizar el trabajo. De forma norma se presentan durante el proceso de pre empleo en documentos como los términos y condiciones de empleo, contrato de trabajo, etc.
Los documentos cumplen con una gran lista de elementos como el tiempo de trabajo, la remuneración y las condiciones del lugar de trabajo. Sin embargo, con la creciente preocupación sobre el impacto potencial de la pérdida o divulgación no autorizada, o la alteración de la información, las empresas deberán comenzar a incluir elementos de protección de información de diferentes acuerdos.
En diferentes situaciones los términos y condiciones de empleo son requisitos legales para el establecimiento de una relación de trabajo, incluyendo términos y condiciones de seguridad que se encuentran relacionados con la confidencialidad, protección de datos, ética, utilización apropiada de los equipos e instalaciones de la empresa y el uso de las mejores prácticas, una empresa puede mejorar su protección o soporte en caso de que se realicen acciones legales que involucren incidentes de seguridad de la información.
Contratos de trabajo contractuales según ISO 27001
La norma de gestión, ISO 27001 no nos dice que debe incluir en términos de seguridad y condiciones de empleo, solo qué objetivos tienen que conseguirse, mediante el control de los términos y condiciones de empleo. Es necesario que se declare de manera formal a los empleados, contratistas, y a las empresas las mismas responsabilidades para la seguridad de la información.
Es necesario que se cumpla con dicho objetivo, las empresas tienen tres alternativas:
- Se incluye el contenido completo de todas las políticas de seguridad de la información según el acuerdo. Si bien dicha opción facilita la cobertura ideal para presentar el comportamiento esperado hacía la seguridad de la información en una etapa temprana de empleo, esto puede hacer que el documento sea confuso, ilegible o ineficaz en la práctica.
- Incluir versiones resumidas de todas las políticas de seguridad de la información. Los documentos cortos son mucho más legibles, pero si se resumen mucho, los elementos más importantes pueden quedar fuera y no se conocidos hasta que la persona tenga contacto con las políticas completas, proporcionando una sensación de seguridad falta para las partes interesadas.
- Incluir una parte de contenido completo y parte de las versiones resumidas de las políticas de seguridad de la información mucho más relevantes. Este enfoque representa la relación más rentable en relación con la preservación de la seguridad y el uso práctico, y se puede conseguir resumiendo sólo las políticas que se califican como menos riesgosas según los resultados objetivos de una evaluación de riesgos. Debe mantener el contenido completo de las políticas que cubren todos los riesgos de áreas.
Aspectos de las políticas de seguridad de la información
A la hora de trabajar con versiones resumidas para las alternativas “b” o “c”, es necesario que se vean las recomendaciones que ofrece la norma ISO 27002, siendo un estándar de soporte para la implantación de ISO 27001 en los controles del Anexo A. La norma ISO 27002 recomienda que los aspectos incluyan:
- Condiciones para conseguir el acceso a la información sensible, y que estas condiciones deben cumplirse antes de que el personal nuevo pueda acceder a las instalaciones y a la información.
- Derechos y responsabilidades de todas las partes involucradas con respecto a los requisitos legales, tales como los requisitos para la protección de la información protegida o privado pajo el GDPR de la Unión Europea.
- Responsabilidades con respecto a la clasificación y el manejo de todos los activos que se relacionan con la información, ya sea propiedad de la empresa o recibida de terceros.
- Las acciones que se deben tomar si las partes involucradas violan los requisitos de seguridad.
Es muy importante tener en cuenta que los términos y condiciones de seguridad deberán continuar, durante un periodo que sea definido una vez finalice la relación laboral.
Tomado de: https://www.pmg-ssi.com