Mejorando los Sistemas de Gestión ISO | Blog KAWAK

La Seguridad de la Información y el Talento Humano | KAWAK®

Escrito por Tania Monroy - María Mónica Pérez | 12/03/2021 02:39:45 PM

Las personas en la organización son lo más importante en una empresa y son las protagonistas en la materialización de la estrategia corporativa. Por consiguiente en esta posibilidad de contribuir al logro de las metas organizacionales, los colaboradores, en todos sus niveles, necesitan un adecuado acceso a la información. Es bien sabido que las metas se pueden lograr mejor si contamos con información para orientar las acciones. Este acceso a la información por parte de los empleados si bien puede contribuir a un mejor desempeño, también puede implicar un riesgo para la organización. 

Por lo anterior, el manejo de información debe ser una actividad que la organización tome con mucha seriedad y que implique que tanto colaboradores como contratistas, la manejen de manera muy consciente ya que cualquier descuido puede materializar riesgos que traen problemas legales, contractuales, de sostenibilidad, entre otros. En este artículo nos enfocaremos en describir los controles que estipula la declaración de aplicabilidad SoA que se pueden implementar en los tres momentos en que un empleado o contratista transita por una organización: en la selección, durante el empleo y en el retiro. 

Antes de asumir el empleo: lograr que los empleados y contratistas comprendan sus responsabilidades y sean idóneos para los roles asignados.

Selección:

La selección de personal es de los procesos más importantes para una organización. Es desde ese proceso en dónde podemos hacer predicciones sobre la futura contribución por parte del empleado y también, en este proceso nos damos cuenta de la sensibilidad, de la  conciencia y confiabilidad que puede tener con respecto al acceso y al manejo de la información

Las empresas definimos un perfil requerido para el cargo vacante y con base en este se realiza una búsqueda en el mercado laboral. El primer filtro para la selección de personal son los candidatos que encajan con ese perfil. Una de las primeras tareas que realiza el personal de este proceso es comprobar, por diferentes medios, la veracidad y precisión de la información de los candidatos. Las verificaciones son para darse cuenta que lo que se recibe de información en la hoja de vida o curriculum vitae corresponde a la realidad. Las personas encargadas de la selección de personal verifican: identidad, referencias, veracidad de los títulos académicos, antecedentes legales y penales y la experiencia laboral declarada. Este proceso de verificación es uno de los primeros controles que las empresas ejerce para tratar los riesgos a nivel de información.

La veracidad en los datos del candidato es un predictor sobre la honestidad y la consciencia del futuro colaborador con respecto al manejo de la información. Cualquier incongruencia o imprecisión en la hoja de vida o en el proceso de selección quiebra la confianza en la que se delega el acceso de la información de la empresa. 

Las verificaciones en la selección de personal también pueden ampliarse a aquellas personas que tienen contratos temporales o por servicio con la organización. 

Términos y condiciones del empleo: 

Una vez el candidato o contratista ha sido seleccionado y cumple con las condiciones para el cargo o servicio, se inicia el proceso de contratación. Este proceso es muy importante porque se estipulan los acuerdos entre el colaborador/contratista y la organización con respecto a temas tales como niveles de servicio, responsabilidades legales, cláusulas de seguridad, acceso, confidencialidad y divulgación de la información.  Así mismo es importante conocer los detalles o procesos que la empresa cuenta cuando se evidencie un incumplimiento en el manejo de la información por parte del empleado o contratista. 

Posterior al proceso de contratación, los colaboradores pasan por un proceso de inducción que les permite conocer los detalles importantes de la organización que le facilitarán el logro de los objetivos de su cargo. En este proceso la organización aclara las expectativas respecto al acceso y manejo de la información en la empresa. Así mismo, tendrá claridad sobre: las plataformas de información a las que tendrá acceso; las políticas de gestión de dicha información y el manejo que se le puede dar al compartir con otras áreas o empresas, entre otras.  

Durante la vigencia del empleo: asegurarse de que los empleados y contratistas, tomen conciencia de sus responsabilidades en la seguridad de la información de la empresa.

Cuando iniciamos a ejecutar el trabajo debemos cumplir los acuerdos o cláusulas de confidencialidad de la información de clientes, proveedores, empleados, productos, secretos comerciales, etc. de la organización. Normalmente la dirección de la empresa define estas políticas, acuerdos y cláusulas que los empleados y contratistas deben entender de manera muy clara y por supuesto cumplir en el día a día de su trabajo.

Programas de educación en seguridad de la información:

Para que este proceso de seguridad de la información surta el efecto deseado, un primer paso importante que la empresa debe realizar es el de analizar y definir la información que debe ser protegida por sus empleados y contratistas; un segundo paso, será precisar y ejecutar un programa de educación y formación para los empleados, contratistas o a quién sea pertinente, con el objetivo de generar conciencia en la responsabilidad y procedimientos que se deben seguir para proteger la información mientras se ejecuta el trabajo o la labor.

Otro paso también muy importante y necesario es comunicar de forma concreta y efectiva las actualizaciones de políticas y procedimientos que se deben seguir para proteger la información a su cargo. Con ello, lograremos que la generación de conciencia sea efectiva y ayudamos a que las personas puedan entender de forma rápida y fácil sus responsabilidades frente a la seguridad de la información de la compañía. 

Procesos disciplinarios :

Por otro lado es importante que los empleados y contratistas tengan claro el proceso disciplinario que ejecutará la compañía en caso de incumplimiento de las políticas y acuerdos firmados entre las partes sobre la seguridad de la información. La empresa debe contar con un proceso formal, el cual debe ser comunicado, para emprender acciones contra los empleados que hayan cometido una violación a la seguridad de la información a su cargo.

Terminación o cambio de empleo: proteger los intereses de la organización como parte del proceso de cambio o terminación del empleo.

Terminación  del  contrato:

Una vez se termine el contrato laboral es importante ejecutar procesos de retiro que impliquen actividades para garantizar el correcto manejo de la información por parte del ex colaborador o ex contratista.  Estas tareas involucran: cambio de claves, restricción de acceso a las plataformas de información de la empresa, entre otros.

En ocasiones las empresas no hacen un proceso juicioso de retiro de los colaboradores que ponen en riesgo legal, o contractual a la organización por manejo inadecuado o descuidado de la información confidencial. También es importante en este proceso de retiro recordar la responsabilidad que tiene el ex colaborador o ex contratista con respecto al manejo de la información incluso cuando la relación se ha dado por terminada. 

Esperamos que esta información haya sido de utilidad y te inspires para realizar los ajustes respectivos y crear los controles necesarios para manejar los riesgos asociados a la información de la empresa con tus empleados y con tus contratistas. 

Con KAWAKpuedes obtener todos beneficios de la seguridad de la información ISO 27001 para que tus procesos sean eficientes. Somos una solución integral que te puede ayudar con esto y mucho más. ¡Conoce nuestros módulos para la gestión simple y organizada de tu empresa!