Política de incorporación y cese - PYME

La Política de incorporación y cese (P07S) sirve como un control crítico para organizaciones que buscan gestionar el ciclo de vida completo de la gestión de accesos de usuarios de forma segura, conforme y auditable. Esta política está específicamente adaptada para pequeñas y medianas empresas (PYME), como indica la “S” en su número de documento y la asignación de responsabilidad a roles como Director General y Responsable de oficina/RR. HH., en lugar de equipos especialistas como un Director de Seguridad de la Información (CISO) dedicado o un Centro de operaciones de seguridad (SOC). No obstante, cumple los requisitos de marcos clave, incluido ISO/IEC 27001:2022. El propósito de la política es definir, estandarizar y documentar procesos para la incorporación de nuevos empleados, contratistas y proveedores terceros de servicios, garantizando a la vez controles robustos para su proceso de terminación o cambio de puesto interno. Aplica el principio de mínimo privilegio al aprovisionar accesos, utiliza listas de verificación de incorporación y cese para formalizar la verificación de la entrega y devolución de activos asignados, y exige registros documentados para cambios de cuentas y activos. Las actividades de terminación se centran en la revocación inmediata de acceso, la recuperación de activos corporativos y el cierre seguro de identidades digitales para controlar el riesgo de acceso no autorizado o exposición de datos. Los roles y responsabilidades se designan para ajustarse a estructuras típicas de PYME. El Director General mantiene la supervisión del programa y la aprobación de acceso con privilegios elevados; el Responsable de oficina o RR. HH. inicia la incorporación/desvinculación y el mantenimiento de listas de verificación; y TI (proveedor interno o externo) gestiona cuentas y hardware. Los responsables de departamento garantizan que las notificaciones sobre cambios de rol se ejecuten, mientras que se requiere que cada empleado o contratista cumpla con la formación y sensibilización en seguridad de la información y los procesos de devolución de activos. Los requisitos de gobernanza son robustos: exigen el uso de listas de verificación de incorporación y cese, el mantenimiento de un registro de control de acceso y un inventario de activos, y la gestión inmediata de desactivaciones de emergencia. Los procedimientos de gestión de excepciones y tratamiento de riesgos están claramente definidos, exigiendo documentación, notificación al Director General y controles compensatorios si se omiten pasos estándar por urgencia operativa. El cumplimiento se aplica mediante seguimiento regular, revisiones por muestreo y consecuencias claras por incumplimiento, como reentrenamiento específico o escalado. Al exigir expresamente revisiones anuales, actualizaciones reactivas por cambios de proceso o normativos y la comunicación de cambios en las políticas a todo el personal pertinente, esta política respalda un proceso de mejora continua. Está estructurada para ayudar a las PYME a cumplir de forma eficiente las exigencias de cumplimiento, integridad operativa y protección de datos, incluso en organizaciones sin estructuras de seguridad complejas.