👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Criterios CC6.2, CC6.3, CC6.5 y CC6.7.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayuda a documentar los procesos críticos para proteger la información y los activos de tu empresa al comenzar (onboarding) y terminar (offboarding) la relación laboral con tus colaboradores. Estos procesos son un control fundamental para la gestión del ciclo de vida de los usuarios, un área clave en cualquier auditoría de SOC 2.
¿Qué tengo que hacer? 🚀
Documentar este proceso consiste en describir las actividades de contratación y desvinculación que realizas en tu empresa, asegurando que cuentes con las medidas de seguridad necesarias.
¡A continuación, te contamos las consideraciones más importantes!
Para Contrataciones (Onboarding):
Establecer responsabilidades
Debes definir las responsabilidades del colaborador y de la empresa, y dejarlas por escrito en los contratos. Es fundamental que incluyan cláusulas de confidencialidad para proteger tu información durante y después de la relación laboral.
Entregar políticas clave
Proporcionar al nuevo colaborador las políticas, procedimientos y el código de conducta es una actividad esencial para iniciar su capacitación y concientización.
Otorgar accesos
Al otorgar los accesos y permisos, es crucial seguir el principio de mínimo privilegio. Esto cumple directamente con los criterios CC6.2 (autorización de acceso) y CC6.3 (aprovisionamiento de acceso), asegurando que cada nuevo colaborador tenga únicamente los permisos estrictamente necesarios para su función. Para ello, te recomendamos implementar un “Procedimiento de Gestión de Accesos”.
¡Te recomendamos leer también el artículo sobre nuestro módulo de Accesos para que conozcas los beneficios que puedes obtener al usarlo!
Para Desvinculaciones (Offboarding):
Remoción de accesos lógicos
Debes establecer plazos claros para la remoción de todos los accesos a sistemas y aplicaciones tras el cese de la relación laboral. Este proceso de remoción oportuna es fundamental para cumplir con los criterios CC6.3 (eliminación de accesos) y CC6.5 (terminación de acceso).
Devolución de activos y accesos físicos
Si provees dispositivos de trabajo (portátiles, teléfonos) o tarjetas de acceso físico, debes asegurar su devolución. La recuperación de estos elementos es un control clave para la gestión del acceso físico, como lo requiere el criterio CC6.7.
Gestión de dispositivos propios (BYOD)
Si el colaborador usaba su propio equipo, el proceso debe asegurar que todos los accesos sean removidos y que toda la información de la empresa sea eliminada de forma segura de su dispositivo.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Establece obligaciones de confidencialidad que perduren incluso después de finalizar la relación laboral con el colaborador para asegurar la protección de tu información en todo momento.
Las cláusulas de confidencialidad son de suma importancia. Asegúrate de tenerlas en tus contratos, no solo con empleados, sino también con clientes y proveedores.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.