Guía de Implementación del Marco de Ciberseguridad 5.0

GH.1 Acuerdos contractuales que definan responsabilidades del personal y la organización en SI

Requisito GH.1Establecer acuerdos contractuales con el personal donde figuren sus responsabilidades y las de la organización respecto a la seguridad de la información
ObjetivoLograr que el personal comprenda sus responsabilidades de seguridad de la información y que apliquen la seguridad de la información de acuerdo a las políticas y los procedimientos establecidos.
Controles

Nivel 1

  • GH.1-1: las condiciones laborales del personal, ya sea mediante contrato, estatuto o normativa interna, incluyen cláusulas o disposiciones que establecen sus responsabilidades en materia de seguridad de la información. 

Nivel 2

  • GH.1-2: las responsabilidades del personal respecto a la seguridad de la información están documentadas.
  • GH.1-3: las responsabilidades en seguridad de la información son comunicadas al personal al momento de su incorporación.

Nivel 3

  • GH.1-4: existe un procedimiento documentado para la desvinculación del personal que contempla la revocación de accesos físicos y lógicos, y la devolución de activos.
  • GH.1-5: la organización cuenta con un proceso disciplinario formalizado que aplica ante incumplimientos de las políticas de seguridad, de acuerdo con la normativa laboral o administrativa vigente.

Nivel 4 

  • GH.1-6: los documentos contractuales o reglamentarios relacionados con la incorporación y desvinculación del personal se revisan periódicamente para asegurar su vigencia y adecuación.
  • GH.1-7: se registran y revisan los desvíos e incumplimientos de las obligaciones contractuales relacionadas a seguridad de la información.
Guía de implementación

Contratos
En los contratos laborales con el personal, deben incluirse cláusulas relativas a la seguridad de la información que definan las responsabilidades.
En los casos de contratos de funcionarios públicos esto se contempla, por ejemplo, en el Decreto 500/991.

Procedimientos para la desvinculación
Se recomienda contar con procedimientos formales a la hora de la desvinculación del personal, definiendo al menos la revocación de los derechos de acceso, tanto a nivel físico como lógico, la devolución de los activos de la organización, además de las responsabilidades y acuerdos de no divulgación, estableciendo el tiempo que continuarán siendo válidos estos aspectos luego de la desvinculación.

Proceso disciplinario
Se recomienda contar con un proceso disciplinario, formalizado antes las autoridades, que contemple todos los aspectos legales internos cuando el personal incumpla con las políticas establecidas. También debe tenerse en cuenta para este procedimiento la normativa laboral a las que están sometidas las partes.

Instituciones de saludEs recomendable que, al menos los roles y responsabilidades del personal que tenga acceso a datos personales y de salud, se encuentren debidamente documentados, indicando en cada caso el tipo de información al que puede acceder. Esto incluye también al personal que se desempeña de manera temporal en la institución de salud.
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Listado de personal contratado en el período auditado.
  • Contratos firmados del personal que pertenezcan al período auditado.
  • Listado de personal desvinculado en el período auditado.
  • Registros de cumplimiento con las actividades definidas en los procedimientos de desvinculación de personal durante el período auditado, por ejemplo, planillas, formularios de solicitud de revocación de permisos, notas, cartas de desvinculación, correos donde se demuestre el cumplimiento con los procedimientos definidos, etc.
  • Acuerdos de no divulgación firmados del período auditado.
  • Plantilla de contrato, estatuto o reglamento con cláusulas de seguridad.
  • Registro de entrega/aceptación de políticas de seguridad.
  • Procedimiento de desvinculación formalizado.
  • Registro de revisión periódica de documentos (contratos, procedimientos).
  • Registro de desvíos e incumplimientos contractuales.
  • Documento del proceso disciplinario formal.

Registro de mejora basada en resultados de revisión o incidentes.

Normativa asociadaLey N° 19.823, Declaración de interés general del código de ética en la función pública
Decreto 500/991 Procedimiento administrativo y disciplinario aplicable al funcionario público de la administración central.

Etiquetas