Política de incorporación y cese

La Política de incorporación y cese (documento P07) proporciona un marco integral y estandarizado para gestionar el ciclo de vida completo del acceso del personal, desde la incorporación y las transferencias internas hasta el proceso de terminación o la expiración del contrato. Diseñada para todos los tipos de usuarios, incluidos empleados, contratistas, consultores, proveedores externos y terceros, aplica el aprovisionamiento de accesos y el desaprovisionamiento de accesos oportunos y seguros tanto del acceso físico como del acceso lógico, garantizando que cada transición se gestione con la combinación adecuada de confidencialidad, rendición de cuentas y control de activos. Esta política se aplica en toda la organización y exige que todos los departamentos, Recursos Humanos (RR. HH.), TI, Gestión de instalaciones y activos, Seguridad, la dirección, Legal y Cumplimiento desempeñen un rol definido en los procesos de incorporación y desvinculación. Establece flujos de trabajo detallados: la incorporación incluye comprobación de antecedentes, acuerdo de confidencialidad y acuse de recibo de la política, formación y concienciación en seguridad y asignación de acceso conforme al principio de mínimo privilegio revisada por los responsables; para las transferencias internas, activa la revisión de accesos basada en el riesgo y garantiza que todos los derechos previos del sistema se cierren antes de aprobar el nuevo acceso; y el proceso de terminación exige que se revoque todo el aprovisionamiento de accesos (usuarios con privilegios elevados en un plazo de cuatro horas), se recojan los activos, se vuelvan a confirmar las políticas y se mantenga toda la documentación relacionada para la auditabilidad. Los objetivos de la política van más allá de la gestión de accesos. Su finalidad es preservar la confidencialidad, integridad y disponibilidad de los activos de la organización durante las transiciones de personal, respaldando la pista de auditoría y la defensa jurídica mediante la exigencia de una documentación exhaustiva en el Sistema de información de recursos humanos (SIRH), la gestión de identidades y accesos (IAM) y los inventarios de activos. Se especifican procedimientos inmediatos de recuperación y validación de activos, incluidas comprobaciones de TI para eliminar datos sensibles residuales y controles de instalaciones para tarjetas, dispositivos y llaves. La gestión de excepciones está estrictamente controlada: cualquier desviación debe someterse a evaluación de riesgos, documentarse y estar sujeta a revisiones periódicas por parte de directivos sénior (Director de Seguridad de la Información (CISO) o Director de RR. HH.), con riesgos residuales documentados y sometidos a evaluación del riesgo residual cada 90 días o cuando cambien las circunstancias. Alineada con múltiples marcos internacionales, incluidos ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, EU GDPR, NIS2 y DORA, la política garantiza que las prácticas de la organización aborden todos los requisitos normativos clave. Integra disposiciones de estas normas relativas a competencia, control de acceso, principio de mínimo privilegio, selección, registro de auditoría y gobernanza operativa. Se incorporan requisitos de auditoría interna y seguimiento de procesos, con supervisión del Responsable del SGSI y mecanismos de denuncia. Los incumplimientos activan consecuencias disciplinarias y legales, con escalado a autoridades reguladoras cuando estén implicados datos personales o datos regulados. El mantenimiento de la política es igualmente sólido: exige revisiones anuales, actualizaciones tras cambios importantes de seguridad o de sistemas de RR. HH., actualizaciones impulsadas por incidentes y el archivado de versiones obsoletas. Los procedimientos de control documental preservan el historial de cambios y los registros de propiedad. Esto vincula la gestión del riesgo operativo con el cumplimiento y la rendición de cuentas, formando una parte crítica del entorno de control integrado de la organización mediante vínculos directos con documentos de políticas relacionados (seguridad, control de acceso, cuentas de usuario, gestión de riesgos, Política de uso aceptable, uso aceptable de los activos corporativos).