ISO 27001 hace posible que una organización incluya los criterios de seguridad de la información

en la gestión de los Recursos Humanos.La seguridad en esta gestión debe tener en cuenta la
selección y contratación, la formación de empleados y la salida de la empresa.Selección y
contrataciónLa incorporación de una persona a una empresa o el ascenso interno implica un
nuevo acceso a sistemas de información sensibles para la organización, y que con ISO-27001 se
podrá proteger. Por esto, deberían realizarse acciones preventivas para evitar riesgos derivados
de un mal uso de la información.Al margen de esto, antes de contratar a una persona se debería
comprobar todos sus antecedentes, teniendo en cuenta la legislación en privacidad y protección
de datos, incluyendo el contenido del currículum, las certificaciones académicas y profesionales.

A la hora de firmar el contrato existirán una serie de términos y condiciones que definirán las
responsabilidades en seguridad de la información a la que tendrán acceso, y que el candidato
deberá aceptar. Se tratan de cláusulas en las que debe aparecer:Responsabilidades y derechos
relativos a leyes de propiedad intelectual o protección de datos.Compromiso de
confidencialidad y no revelación de información.Responsabilidades ligadas a la clasificación de
la información y tratamiento de recursos.Medidas que se tomarán en caso de incumplimiento
de políticas y requisitos de seguridad.Responsabilidades sobre la información recibida de otras
compañías y la que se maneja fuera de la empresa.

Formación de empleadosEs imprescindible que todos los empleados, y otras terceras partes,
reciban una formación, educación, estén motivados y concienciados sobre los procedimientos
de seguridad y el correcto uso de los recursos de la información para que ningún empleado se
sienta infravalorado y cometa errores que afecten a la integridad de la información de la
empresa.Esta responsabilidad recae sobre la organización, que según ISO 27001 deberá mostrar
su liderazgo y compromiso con el Sistema de Gestión de Seguridad de la Información.Además
los empleados deberían saber con quién contactar para asesoramientos en seguridad y tener
claros los procedimientos para la identificación y gestión de incidencias de seguridad.En caso de
generación de incidencias deberá existir un proceso disciplinario establecido a aplicar cuando
sea necesario. Estas medidas deberán ser adecuadas a la gravedad de la infracción cometida y
al entorno en el que se cometió.

Finalización o cambio de puesto de trabajoCuando un empleado o una tercera parte finaliza su

relación con una empresa, es necesario asegurar la gestión de su salida hasta la completa
retirada de los privilegios y permisos de accesos, el material que utilice y que tenga en
posesión.Deberá haber una persona responsable que se encargue de supervisar estas medidas
de finalización de puestos de trabajo.Si no existe salida de la empresa sino que se produce un
cambio de puesto de trabajo, los accesos que no sean necesarios para el nuevo puesto deberán
ser retirados, así como cambiar cualquier contraseña de cuentas a las que tuviera acceso.

Es influyente la causa de la finalización del puesto de trabajo, las responsabilidades del

empleado y el valor de la información que manejaba para proceder de una forma u otra,
pudiendo ser necesaria la retirada de los derechos citados un día antes de la salida del empleado.
Si participara en grupos de trabajo, éstos deberán estar informados de la marcha para no
compartir información sensible con el individuo en cuestión.Software para la norma ISO 27001La
Plataforma Tecnológica ISOTools está capacitada para incluir los aspectos relativos a la gestión
de Recursos Humanos en una empresa, y manejar los elementos de ISO27001 que harán posible
conservar la integridad, confidencialidad y disponibilidad de la información.