Como implantar um Sistema de Gestão de Segurança da Informação – SGSI – parte 6
Olá vamos iniciar nosso 6 passo de como implantar um sistema de gestão de segurança da informação também conhecido como SGSI, com base na ABNT ISO/IEC 27001:2013 neste tópico iremos tratar da Segurança em Recursos Humanos, então nessa fase vamos tratar com departamentos como Recursos Humanos ou Gestão de Pessoas.
Antes de contratar qualquer colaborador, devemos elaborar os controles de todos os candidatos ao cargo, levando-se em consideração leis relevantes, regulamentações e ética aplicáveis ao processo.
Deve-se assegurar que o candidato possua a competência necessária para desempenhar a atividade e que seja confiável principalmente se for desempenhar uma atividade crítica para o negócio.
Os acordos contratuais não devem ser revistos e abordados temas como declaração da sua responsabilidade com a segurança da informação e a política de segurança da informação. Termos como Acordo de Confidencialidade (NDA) deve ser requisito para todos os colaboradores.
Deve-se comunicar os papéis e responsabilidades pela segurança da informação antes de sua contratação, garantindo assim o comprometimento no período em que estiver a serviço da organização.
As mesmas medidas devem ser replicadas para seleção e contratação de profissionais terceirizados.
A alta direção deve solicitar a todos os colaboradores que pratiquem a segurança da informação, com as politicas e procedimentos da organização, demonstrar apoio e dar exemplo aos comprimento da segurança da informação.
A organização devem assegurar aos funcionários e partes externas a possibilidade de relatar de forma anônima, as violações nas políticas e nos procedimentos de segurança da informação.
Todos os funcionários da organização deverão receber treinamento e conscientização sobre as políticas, procedimentos e praticas de segurança da informação, relevantes as suas áreas de atuação, além de atualizações regulares. Quando pertinente fornecedores e terceiros também devem receber treinamentos e atualizações em segurança da informação.
O programa deve contemplar diversas atividades e campanhas de segurança da informação, como “Dia da segurança da informação”, “comunicados por e-mail”, “cartilhas de segurança da informação”, entre outras atividades que possa ser mais aderente a organização.
O programa deve ser atualizado regularmente e deve abordar as lições aprendidas dos incidentes de segurança da informação.
Deve existir um processo disciplinar formal e comunicado, implementado para tomar ações com funcionários que tenham cometido uma violação, que ocorra de forma deliberada requer uma ação imediata por parte da organização.
O processo disciplinar pode ser um fator de incentivo e motivação no caso que ocorram sanções positivas relacionadas com o comportamento em segurança da informação.
A responsabilidade e obrigações sobre a segurança da informação permanecem válidas mesmo após a mudança da contratação ou encerramento das atividades, devem ser definidas e comunicadas aos funcionários e terceiros.
Aqui terminando item 7 da norma Segurança em Recursos Humanos, assim iniciaremos a gestão dos ativos na próxima publicação.