DivisionCero
Políticas, Procesos y Procedimientos

Política de Seguridad en el Ciclo de Vida del Empleado

Controles de seguridad desde el ingreso hasta la salida del colaborador.

Quieres aprender más?

Descarga el Kit de Ciberseguridad.

📋 Información General

Documento: Política de Seguridad en el Ciclo de Vida del Empleado
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Confidencial
Audiencia: Recursos Humanos, Gerentes, Equipo de Seguridad, Todos los empleados

🎯 Propósito

Establecer los controles de seguridad necesarios durante todo el ciclo de vida laboral del empleado en DivisionCero, desde el proceso de contratación hasta la desvinculación, garantizando la protección de activos de información y la mitigación de riesgos internos a través de verificaciones de antecedentes, capacitación y monitoreo continuo.

🏢 Alcance

Esta política aplica a:

  • Todos los procesos de contratación de personal permanente y temporal
  • Empleados, contratistas, consultores y personal tercerizado
  • Procesos de evaluación de antecedentes y verificación de referencias
  • Capacitación en seguridad y concientización continua
  • Monitoreo de comportamiento y detección de amenazas internas
  • Procesos de cambio de rol y promociones internas

📚 Definiciones

  • Verificación de Antecedentes: Proceso de validación de información personal, laboral, académica y legal del candidato
  • Clearance de Seguridad: Nivel de autorización otorgado basado en la criticidad del rol y acceso a información
  • Amenaza Interna: Riesgo de seguridad originado por empleados actuales o antiguos con acceso autorizado
  • Onboarding Seguro: Proceso estructurado de incorporación con controles de seguridad integrados
  • Monitoreo Conductual: Supervisión de actividades para detectar comportamientos anómalos o riesgosos

🛡️ Política

Proceso de Contratación Segura

Evaluación Previa

  • Todo candidato debe completar verificación de antecedentes antes de la contratación
  • Los roles críticos requieren verificaciones extendidas incluyendo antecedentes penales
  • Se validarán referencias laborales y académicas de los últimos 5 años
  • Personal con acceso a datos sensibles requiere clearance de seguridad específico

Verificación de Antecedentes

Nivel Básico (Todos los empleados):

  • Verificación de identidad y documentación legal
  • Validación de experiencia laboral declarada
  • Verificación de títulos académicos
  • Consulta en listas de inhabilitación profesional

Nivel Extendido (Roles críticos):

  • Antecedentes penales y disciplinarios
  • Verificación crediticia y financiera
  • Referencias personales y profesionales
  • Evaluación psicológica cuando sea aplicable

Clearance de Seguridad

Nivel 1 - Básico: Acceso a información pública e interna general Nivel 2 - Confidencial: Acceso a información confidencial de negocio Nivel 3 - Crítico: Acceso a información estratégica y sistemas críticos Nivel 4 - Ultra Crítico: Acceso total a secretos comerciales y infraestructura

Incorporación Segura (Onboarding)

Capacitación Obligatoria

  • Curso de seguridad de la información (8 horas mínimo)
  • Política de uso aceptable de recursos tecnológicos
  • Procedimientos de manejo de información confidencial
  • Concientización sobre ingeniería social y phishing
  • Evaluación final con aprobación mínima del 80%

Provisión de Accesos

  • Accesos otorgados basados en el principio de menor privilegio
  • Autorización formal del supervisor directo
  • Activación gradual de sistemas según necesidades del rol
  • Documentación completa de permisos asignados

Gestión Continua de Empleados

Capacitación Periódica

  • Capacitación anual de refuerzo en seguridad
  • Entrenamientos específicos según cambios regulatorios
  • Simulacros de phishing trimestrales
  • Capacitación especializada para roles técnicos

Monitoreo y Detección

  • Monitoreo de actividades en sistemas críticos
  • Detección de comportamientos anómalos mediante UEBA
  • Evaluaciones periódicas de riesgo interno
  • Reportes de actividad sospechosa por parte de supervisores

Gestión de Cambios de Rol

  • Revisión de accesos al cambiar de posición
  • Revocación de permisos no necesarios para el nuevo rol
  • Capacitación adicional según nuevas responsabilidades
  • Actualización de clearance de seguridad si es requerido

Evaluaciones de Desempeño en Seguridad

Indicadores de Evaluación

  • Cumplimiento de políticas de seguridad
  • Participación en entrenamientos obligatorios
  • Resultados en pruebas de concientización
  • Reportes de incidentes de seguridad causados por el empleado

Acciones Correctivas

  • Plan de mejora para empleados con deficiencias en seguridad
  • Capacitación adicional según necesidades identificadas
  • Supervisión intensiva para casos de riesgo elevado
  • Medidas disciplinarias por incumplimientos graves

👥 Roles y Responsabilidades

  • CHRO: Liderar la implementación de controles de seguridad en RRHH
  • CISO: Definir requisitos de seguridad para cada nivel de clearance
  • Gerente de RRHH: Ejecutar verificaciones de antecedentes y onboarding seguro
  • Supervisores Directos: Monitorear comportamiento y reportar anomalías
  • Equipo SOC: Implementar y mantener sistemas de monitoreo conductual
  • Empleados: Cumplir con entrenamientos y reportar amenazas internas

📊 Cumplimiento y Medición

Métricas Clave

  • 100% de empleados con verificación de antecedentes completa
  • 95% de aprobación en capacitaciones de seguridad
  • Tiempo promedio de onboarding seguro: máximo 5 días hábiles
  • Reducción del 80% en incidentes por error humano año tras año

Auditorías

  • Revisión mensual de procesos de verificación de antecedentes
  • Auditoría trimestral de efectividad de programas de capacitación
  • Evaluación anual del programa de monitoreo de amenazas internas
  • Verificación continua de cumplimiento de clearance de seguridad

🚨 Incumplimiento

Sanciones por Nivel

Incumplimientos Menores:

  • Llamado de atención verbal
  • Capacitación correctiva obligatoria

Incumplimientos Graves:

  • Amonestación escrita
  • Suspensión temporal de accesos
  • Plan de mejora supervisado

Incumplimientos Críticos:

  • Suspensión laboral
  • Revocación permanente de clearance
  • Terminación del contrato laboral

📖 Referencias

  • ISO 27001:2022 - Control A.7.1 Screening
  • ISO 27001:2022 - Control A.6.2 Terms and conditions of employment
  • NIST SP 800-53 - Personnel Security Controls
  • Política de Control de Acceso de DivisionCero
  • Proceso Seguro de Salida (Offboarding)
  • Política de Capacitación en Seguridad

📝 Control de Versiones

VersiónFechaCambiosAutor
1.0.0Enero 2025Versión inicialEquipo GRC

¿Te ha resultado útil esta página?

Última modificación: 25 de agosto de 2025

Política de Retención y Eliminación Segura de Información

Lineamientos para conservar y eliminar información de forma segura.

Política de Seguridad en Entornos Virtuales

Controles para proteger máquinas virtuales y entornos virtualizados.