| Objetivo | Lograr que el personal comprenda sus responsabilidades de seguridad de la información y que apliquen la seguridad de la información de acuerdo a las políticas y los procedimientos establecidos. |
| Controles | Nivel 1 - GH.1-1: las condiciones laborales del personal, ya sea mediante contrato, estatuto o normativa interna, incluyen cláusulas o disposiciones que establecen sus responsabilidades en materia de seguridad de la información.
Nivel 2 - GH.1-2: las responsabilidades del personal respecto a la seguridad de la información están documentadas.
- GH.1-3: las responsabilidades en seguridad de la información son comunicadas al personal al momento de su incorporación.
Nivel 3 - GH.1-4: existe un procedimiento documentado para la desvinculación del personal que contempla la revocación de accesos físicos y lógicos, y la devolución de activos.
- GH.1-5: la organización cuenta con un proceso disciplinario formalizado que aplica ante incumplimientos de las políticas de seguridad, de acuerdo con la normativa laboral o administrativa vigente.
Nivel 4 - GH.1-6: los documentos contractuales o reglamentarios relacionados con la incorporación y desvinculación del personal se revisan periódicamente para asegurar su vigencia y adecuación.
- GH.1-7: se registran y revisan los desvíos e incumplimientos de las obligaciones contractuales relacionadas a seguridad de la información.
|
| Guía de implementación | Contratos
En los contratos laborales con el personal, deben incluirse cláusulas relativas a la seguridad de la información que definan las responsabilidades.
En los casos de contratos de funcionarios públicos esto se contempla, por ejemplo, en el Decreto 500/991. Procedimientos para la desvinculación
Se recomienda contar con procedimientos formales a la hora de la desvinculación del personal, definiendo al menos la revocación de los derechos de acceso, tanto a nivel físico como lógico, la devolución de los activos de la organización, además de las responsabilidades y acuerdos de no divulgación, estableciendo el tiempo que continuarán siendo válidos estos aspectos luego de la desvinculación. Proceso disciplinario
Se recomienda contar con un proceso disciplinario, formalizado antes las autoridades, que contemple todos los aspectos legales internos cuando el personal incumpla con las políticas establecidas. También debe tenerse en cuenta para este procedimiento la normativa laboral a las que están sometidas las partes. |
| Instituciones de salud | Es recomendable que, al menos los roles y responsabilidades del personal que tenga acceso a datos personales y de salud, se encuentren debidamente documentados, indicando en cada caso el tipo de información al que puede acceder. Esto incluye también al personal que se desempeña de manera temporal en la institución de salud. |
| Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
| Guía de evidencia para auditoría | - Listado de personal contratado en el período auditado.
- Contratos firmados del personal que pertenezcan al período auditado.
- Listado de personal desvinculado en el período auditado.
- Registros de cumplimiento con las actividades definidas en los procedimientos de desvinculación de personal durante el período auditado, por ejemplo, planillas, formularios de solicitud de revocación de permisos, notas, cartas de desvinculación, correos donde se demuestre el cumplimiento con los procedimientos definidos, etc.
- Acuerdos de no divulgación firmados del período auditado.
- Plantilla de contrato, estatuto o reglamento con cláusulas de seguridad.
- Registro de entrega/aceptación de políticas de seguridad.
- Procedimiento de desvinculación formalizado.
- Registro de revisión periódica de documentos (contratos, procedimientos).
- Registro de desvíos e incumplimientos contractuales.
- Documento del proceso disciplinario formal.
Registro de mejora basada en resultados de revisión o incidentes. |
| Normativa asociada | Ley N° 19.823, Declaración de interés general del código de ética en la función pública
Decreto 500/991 Procedimiento administrativo y disciplinario aplicable al funcionario público de la administración central. |
