Verificación de Antecedentes del Personal
OperacionesDeclaración del Control
La organización asegura que se hayan implementado verificaciones de antecedentes para el personal/contratistas y en los proveedores de terceros, proporcionales a la sensibilidad y las necesidades de riesgo cibernético de los activos organizacionales que se gestionan.
Descripción
La verificación de antecedentes es un control fundamental de seguridad del personal que reduce el riesgo de amenazas internas al verificar la confiabilidad de los individuos con acceso a los sistemas, datos e instalaciones organizacionales. La profundidad y alcance de las verificaciones de antecedentes debe ser proporcional al nivel de acceso otorgado y la sensibilidad de los activos involucrados. Este control se extiende más allá de los empleados directos para abarcar a contratistas y personal en proveedores de terceros que gestionan o acceden a activos organizacionales, reconociendo que el riesgo interno puede originarse de cualquier categoría de personal dentro de la cadena de suministro.
Actividades Clave de Implementación
- 1 Definir requisitos de verificación de antecedentes basados en la sensibilidad del rol, los niveles de acceso y la clasificación de los activos que serán accesibles
- 2 Implementar procesos de verificación previos al empleo y previos al compromiso para empleados y contratistas alineados con los requisitos definidos
- 3 Incluir requisitos contractuales para que los proveedores de terceros realicen verificaciones de antecedentes en su personal que accederá a activos organizacionales
- 4 Establecer requisitos de re-verificación periódica para individuos en roles de alta sensibilidad o con privilegios de acceso elevados
- 5 Mantener registros de verificaciones de antecedentes completadas y asegurar que no se otorgue acceso hasta que se cumplan los requisitos de verificación
Ejemplos de Evidencia
- Política de verificación de antecedentes que defina los requisitos de investigación por nivel de sensibilidad del rol
- Registros de verificaciones de antecedentes completadas para empleados y contratistas (redactados según corresponda para cumplimiento de privacidad)
- Contratos con terceros que contengan requisitos de verificación de antecedentes con disposiciones de atestación de cumplimiento
- Registros de finalización de re-verificación periódica para personal en roles de alta sensibilidad
- Documentación de procesos que muestre que el aprovisionamiento de acceso está condicionado a la finalización de la verificación de antecedentes
Niveles de Madurez
Las verificaciones de antecedentes se realizan de manera inconsistente o solo para un subconjunto del personal. Los requisitos de verificación del personal de terceros no están definidos. No hay escalonamiento basado en riesgo de la profundidad de la verificación.
Las verificaciones de antecedentes se realizan sistemáticamente para todo el personal y contratistas basándose en un modelo de escalonamiento de riesgo definido. Los contratos con terceros incluyen requisitos de verificación. El acceso está condicionado a la finalización de la verificación.
Los enfoques de verificación continua complementan las verificaciones de antecedentes tradicionales de un solo punto en el tiempo. El cumplimiento de terceros con los requisitos de verificación se verifica mediante auditorías. Los requisitos de verificación se ajustan dinámicamente basándose en inteligencia de amenazas en evolución.
Plantillas de Documentos
Requisitos de Evidencia Ver toda la evidencia
| Tipo | Elemento de Evidencia | Frecuencia | Nivel |
|---|---|---|---|
| Documento | Política de verificación de antecedentes que defina los requisitos de investigación según el nivel de sensibilidad del rol | Revisado anualmente | |
| Registro | Registros de verificaciones de antecedentes completadas para empleados y contratistas (redactados según corresponda) | Por contratación/compromiso | |
| Registro | Contratos con terceros que contengan requisitos de verificación de antecedentes | Por contrato | |
| Registro | Atestaciones de cumplimiento de verificación de terceros | Anualmente por proveedor | |
| Registro | Registros de finalización de re-verificación periódica para personal de alta sensibilidad | Por ciclo de re-verificación | |
| Registro | Documentación de procesos que muestre que el aprovisionamiento de acceso está condicionado a la finalización de la verificación | Revisado anualmente |