En la actualidad debido a la Pandemia de Covid19 debemos adecuar nuestra forma de trabajo y a nuestro equipo para trabajar en casa o a distancia, por ellos te presentamos algunos puntos en base a la Norma ISO 27001 de Seguridad Informática para que trabajen sin ningún problema en donde quiera que estén.
Esta norma establece tres momentos importantes dentro de la vida del colaborador en los que él debe conocer y por tanto cumplir con las responsabilidades respectivas en relación a la seguridad de la información dentro de la compañía: Antes del empleo, durante el empleo y tras finalizar el empleo.
1) Antes del empleo. Dos aspectos deberán de tenerse en cuenta antes de que el trabajador se incorpore al puesto de trabajo:
- La investigación de antecedentes: esta se debe de llevar a cabo de acuerdo con las leyes y normas y códigos éticos que se han de aplicación en un determinado país y debe ser proporcional a las necesidades del negocio, la clasificación de la información a la que se accede y los riesgos que se hayan percibido. Si no cuentas con él te recomendamos diseñar un Proceso de Investigación de antecedentes interno o hacer un Estudio Socioeconómico que incluya las características que tu deseas obtener como empresa y realizarlo al Candidato que ya se tenga filtrado para cubrir una vacante.
- Términos y condiciones de empleo: tanto colaboradores como proveedores deben establecer los términos y condiciones en su contrato de trabajo en lo que respecta a la seguridad de la información, tanto hacia los colaboradores como hacia la organización. Estos los debes incluir en el contrato de prestación de servicio o en un Contrato de confidencialidad.
2) Durante el empleo:
- Responsabilidades: la dirección deberá exigir a los colaboradores y proveedores que apliquen la seguridad de la información de acuerdo con las políticas y procedimientos establecidos en la organización. Estos puntos los puedes desarrollar en un proceso de asignación de puestos, perfil de puestos, Política de seguridad Interna o Externa, o un documento que contenga todas las políticas de la empresa.
- Concientización, educación y capacitación en seguridad de la información: todos los colaboradores de la organización y, cuando corresponda, los proveedores deben recibir una adecuada educación, concienciación y capacitación con actualizaciones periódicas sobre las políticas y procedimientos de la organización, según corresponda a su puesto de trabajo. Estos puntos los puedes cubrir con Programa de Capacitación Anual, Expediente del empleado con evidencia de sus conocimientos y puedes integrar exámenes o certificaciones, así como realizar comunicados a los proveedores cada que exista una mejora en las Políticas y Procedimientos.
- Proceso disciplinario: Debe existir un proceso disciplinario formal para los colaboradores que haya sido comunicado, que recoja las acciones a tomar ante aquellos que hayan provocado alguna brecha en la seguridad. Deberás incluir que pasa si algún colaborador viola la Política de Seguridad Informática.
3) Finalización del empleo o cambio en el puesto de trabajo. Las responsabilidades en seguridad de la información y obligaciones que siguen vigentes después del cambio o finalización del empleo se deben definir, comunicar al colaborador o proveedor y se deben cumplir. Debes integrar algunas condiciones en caso de finalización del empleo que determine a que está obligado el colaborador en caso de no divulgación de información o información confidencial, también debes agregar comunicados a los clientes y proveedores donde describas la fecha y cierre de relación laboral con dicho colaborador.
Para que todo este proceso se pueda llevar a cabo hay productos y herramientas que pueden ayudarte a lograrlo y sobre todo a tener la visibilidad en todo momento del uso de los datos e información que cada uno de los colaboradores pueda llegar a manejar sobre todo en estas nuevas condiciones de trabajo a distancia que hace fácil violar cualquiera de estas prácticas.
En PowerSelf contamos con herramientas para tener el control, visibilidad y protección de información adecuados para evitar que la organización en general se vea comprometida por alguna perdida de la misma.
