👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO/IEC 42001:2023: A.4.6
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para establecer reglas claras y seguras para los dos momentos más importantes en el ciclo de vida de un colaborador: cuando se une a tu equipo y cuando se va. Al final, este proceso es un control de seguridad esencial que protege la información y los activos de tu empresa, y te permitirá:
Generar un inicio seguro (onboarding): Cada nuevo colaborador entiende y acepta formalmente sus responsabilidades de seguridad y uso ético de la IA desde el primer día.
Garantizar una salida segura (offboarding): Establece un proceso riguroso para revocar todos los accesos y recuperar los activos de la empresa (como computadoras) cuando un colaborador se va, minimizando el riesgo de fugas de información o accesos no autorizados.
Formalizar compromisos: A través de la firma de contratos con cláusulas de confidencialidad, creas un marco legal que protege a tu organización.
Proporcionar evidencia de control a un auditor: Un proceso de altas y bajas bien documentado es una prueba clave de que gestionas el acceso a tus sistemas de forma controlada y profesional.
¿Qué tengo que hacer? 🚀
Para crear y formalizar este proceso, te recomendamos comenzar leyendo este artículo y el template que te proporcionamos en su totalidad. Verás que está dividido en dos procedimientos claros: uno para la contratación y otro para la desvinculación.
Dentro del template encontrarás una estructura guiada para cada proceso, cubriendo los requisitos de la norma ISO 42001 y las tareas más relevantes pero será súper importante que lo ajustes a tus operaciones reales, en caso de ser necesario.
A continuación, te explicamos el propósito de los dos grandes procesos que encontrarás en el template:
Proceso de contratación (u onboarding).
Las tareas de este proceso se activan una vez que un candidato ha aceptado la carta oferta (podríamos decir que este proceso empieza cuando termina el Procedimiento de Preselección y Selección de Personal).
El objetivo aquí es establecer cómo se debe integrar al nuevo colaborador de manera segura y formal, considerando por lo menos los siguientes pasos clave:
Elaboración y firma del contrato, asegurando que incluya las cláusulas necesarias de confidencialidad y responsabilidades sobre el uso de la información y los sistemas de IA.
Lectura de políticas para asegurar que el nuevo colaborador lea y entienda los documentos fundamentales, como por ejemplo la Política de Seguridad para Sistemas de IA y cual otra que sea particular y esencial para sus labores.
Entrega de accesos y dispositivos, implementando y manteniendo un proceso controlado para solicitar y entregar únicamente los accesos y equipos necesarios para el puesto del nuevo candidato, garantizando también el registro e inventariado correcto.
Proceso de desvinculación (u offboarding).
Esta es una actividad muy importante, porque busca garantizar una salida limpia, adecuada y segura del colaborador, priorizando la protección de los activos e información compartidos con él. Los pasos que se consideran y documentan en este proceso son los siguientes:
Remoción de accesos, donde se deben establecer las tareas pertinentes para revocar de manera oportuna y completa todos los accesos del colaborador a los sistemas, aplicaciones y datos de la empresa.
Devolución de dispositivos, donde se deben establecer los plazos para que el colaborador regrese todos los activos de la empresa que tenga en su poder, como computadoras o teléfonos, y el protocolo de revisión para asegurar que todo esté en orden con dichos dispositivos.
➡️🤖Un punto clave para la IA y la seguridad: Al solicitar los accesos para un nuevo colaborador aplica siempre el "principio del mínimo privilegio". Esto significa que cada persona debe tener acceso únicamente a la información y sistemas que son estrictamente necesarios para cumplir con sus funciones, y nada más.
Recuerda que nuestro template está estructurado con los lineamientos necesarios para dar cumplimiento a los requisitos normativos y dentro de él encontrarás ejemplos y recomendaciones que te servirán para terminar tu proceso fácilmente, pero recuerda que debes añadir y/o ajustar todo lo que consideres pertinente para alinear el documento a tu empresa.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
El éxito de este proceso depende mucho de tener una comunicación fluida entre Recursos Humanos, el área de TI y el gerente directo del colaborador, así que recomendamos ampliamente asegurar que todos los involucrados estén alineados. Puedes considerar crear un checklist para cada nueva alta o baja y así asegurar que no se olvide ningún paso.
Distingue entre salidas voluntarias e involuntarias para la definición del proceso de remoción de accesos, ya que en el segundo caso debería ser inmediato y, si es posible, ejecutarse justo antes o en el mismo momento de la notificación al colaborador para mitigar cualquier riesgo.
Revisa los accesos periódicamente. Además del proceso de baja, es una buena práctica revisar los permisos de todos los colaboradores al menos una vez al año para asegurar que sigan aplicando el principio del mínimo privilegio y no hayan acumulado accesos que ya no necesitan.
Si tienen un SGSI ya implementado, pueden apoyarse de su Procedimiento de Revisión de Accesos.
No olvides los activos intangibles. El procedimiento se centra en accesos y dispositivos, pero asegúrate de que también haya un proceso para la transferencia del conocimiento y la documentación del colaborador que se va, especialmente si ocupaba un puesto crítico.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti!
Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.