Tras la publicación, por parte del Incibe, del documento “Políticas de seguridad para la Pyme: gestión de Recursos Humanos”, desde GRUPO DATA, nos hacemos eco de las siguientes medidas de seguridad y recomendaciones, orientadas a la gestión del personal y seguridad de la información. 

Para implementar correctamente las medidas de seguridad, en base a lo establecido en el art. 24 y 32 del RGPD, es importante asegurarse que todo el personal tiene conocimiento real sobre sus derechos, deberes y responsabilidades en relación a la información (y datos de carácter personal) que trata con motivo del desempeño de sus funciones, así como de las posibles sanciones que se les podrían imponer en virtud de una actuación negligente.

De este modo, a título ejemplificativo, a continuación, detallamos algunas recomendaciones a implementar en la gestión del personal:

1. Reflejar los aspectos más importantes, relativos a la seguridad de la información en el contrato de trabajo.

El empresario, con el departamento de recursos humanos, establecerán qué aspectos relevantes en relación a la seguridad de la información deben ser reflejados en el contrato de trabajo. Se considerarán todas las responsabilidades y derechos legales en lo relacionado con la propiedad intelectual o con datos de carácter personal.

2. Firmar acuerdos de confidencialidad con la empresa.

Los empleados y colaboradores firmarán acuerdos relativos a la confidencialidad de la información de la empresa, que contendrán la siguiente información: 

• Partes intervinientes;
• qué información tendrá carácter confidencial;
• compromisos por ambas partes;
• posibles sanciones y legislación aplicable.

3. Verificar las referencias de los candidatos y verificar los datos del CV. 

En ciertas ocasiones (sobre todo para puestos de especial criticidad o con acceso a información muy confidencial) detallaremos las comprobaciones a realizar antes de incorporar a algún candidato a la plantilla. Será necesario determinar las referencias que han de ser revisadas y qué datos del currículum tienen que verificarse. Además, indicaremos qué puestos concretos necesitarán una acreditación especial de estar libre de antecedentes penales.

4. Acciones de formación y concienciación en ciberseguridad y seguridad de la información.

Estableceremos las actividades oportunas para mantener a tu plantilla concienciada y formada en todo momento en aspectos relativos a la seguridad de la información. 

5. Establecer políticas para la imposición de sanciones en caso de actuarse negligentemente en relación con la seguridad de la información.

Elaboraremos un procedimiento disciplinario formal que recoja las sanciones a aplicar en aquellos casos en los que se haya producido una negligencia en relación con la seguridad de la información (fuga o pérdida de datos confidenciales o sensibles, actuaciones intencionadas, ataques a la reputación en redes sociales, permitir ataques de terceros como infecciones por malware, etc.). Este procedimiento debe ser notificado a los empleados y estar accesible en todo momento.

6. Informar sobre cómo deberán cumplir el deber de confidencialidad una vez finalizada la relación laboral y revocar los permisos de acceso. 

Para evitar fugas de información es importante comunicar a los empleados las responsabilidades y obligaciones de seguridad y confidencialidad que deberán cumplir una vez finalizada la relación contractual.

7. Otorgar permisos de acceso a la información en función de los roles desempeñados por cada uno.

Si queremos garantizar que cada empleado solo acceda a la información oportuna, deberemos darle de alta en los sistemas de acuerdo con las políticas de control de acceso (físico y lógico) correspondientes. 

En este punto, entre otras, realizaremos las siguientes acciones:

• Entregar las tarjetas de acceso físico; n asignar las cuentas de correo electrónico;
• conceder los permisos de acceso a servicios, aplicativos y recursos compartidos; 
• asignar el puesto de trabajo, los dispositivos y equipos.

8. Asegurarse de que los empleados aceptan y comprendes las políticas y cláusulas de seguridad de la información.

Del mismo modo que en su incorporación damos los accesos y permisos oportunos a los nuevos empleados para que puedan realizar su trabajo, al finalizar la relación contractual los revocaremos:

• Recogiendo las tarjetas de acceso y los dispositivos entregados;
• eliminando sus cuentas de correo;
• eliminando sus permisos de acceso a sistemas y aplicativos. 

Desde GRUPO DATA, como consultora especializada en materia de protección de datos y seguridad de la información, nos encontramos a su disposición para la implementación de las soluciones y medidas de seguridad en base a la situación de su compañía.

 

 

Publicado el 28 de Enero de 2022
Por María González
Responsable del Departamento Jurídico