Los procesos de Background Screening y la certificación ISO 27000
A modo de resumen, la ISO/IEC 27001 (Information security, cybersecurity and privacy protection — Information security management systems — Requirements), más conocida como ISO 27001 es parte de un conjunto de normas estandarizadas para que las empresas gestionen la información que poseen de manera segura. Esta ISO fue el resultado de un trabajo conjunto entre la “International organización for Standarization (ISO)” y la “International Electrotechnical Commission (IEC)”.
Las empresas que adoptan el enfoque global descrito en la norma ISO/IEC 27001 les permite obtener la certificación de que la seguridad de la información está integrada en los procesos organizativos, los sistemas de información y los controles de gestión.
Como norma encaminada a la identificación, gestión y disminución de los riesgos, supone un elemento clave dentro de los planes de Compliance.
El fin de aplicar dicha herramienta es proteger la confidencialidad, integridad y disponibilidad de la información de las organizaciones, sin importar el tamaño ni actividad de las mismas, de la manera más efectiva y al menor costo. Obtener la ISO 27001 otorga a las empresas 2 grandes beneficios. Por un lado, le aporta el know-how necesario para proteger la información que poseen y por otro, genera confianza en terceras partes para poder desarrollar negocios.
¿Qué tipo de acciones establece la norma para conseguir este propósito?
Primero establece 4 tipos de controles principales:
- Controles organizacionales
- Controles de personas
- Controles físicos (del entorno)
- Controles tecnológicos
Estos controles agrupados aparecen listados y descritos en el anexo A de la norma. Entrando en el área que nos compete ¿están recogidos los procesos de screening como un control del riesgo? Efectivamente, tanto la versión ISO 27001:2013 como la actualización ISO 27001:2022 mencionan los screening como parte de los controles de personas. Estos procesos de verificación deben ser éticamente correctos y cumplir con las distintas normativas que los regulen.
La ISO 27001 recomienda como comprobaciones a realizar en los procesos de screening
- Verificación de experiencia laboral
- Confirmación de estudios
- Verificación de la identidad
- Comprobación de referencias profesionales y/o personales
- Comprobación de la exactitud de los datos del CV del candidato
Según la norma, estos procesos se han de realizar tanto antes de la incorporación del empleado a la organización, como a aquellos empleados que ya forman parte de esta, si la sensibilidad de sus tareas o los riesgos que implican sus acciones, cambian sustancialmente.
La primera versión de esta ISO fue publicada en el año 2005, habiéndose producido desde entonces sucesivas adaptaciones. En el 2022 se han actualizado algunos puntos, generando así una nueva versión. Respecto de la versión de 2013, los cambios se han realizado fundamentalmente en el anexo A. Haciendo análisis detallado, se puede ver que de esos 114 controles que existían en el Anexo A en la versión del 2013, se mantienen en la versión del 2022, solo que bajo otra denominación o habiendo sido agrupados, con el fin de optimizar la información. Lo mismo ocurre con las secciones en que queda configurada la norma, en la versión del 2013 había 14 secciones mientras que en la versión del 2022 esas secciones se han reducido a 4.
Grupo GAT cuenta con la certificación ISO. Aplicar procedimientos de Background checks en base a la norma ISO 27001 supone una mitigación de los riesgos en la contratación, que redunda en una gestión más segura de la información. Grupo GAT cuenta con la certificación ISO 27001, y a su vez, colaboramos mediante los servicios que ofrecemos a que nuestros clientes completen los requisitos para obtener su certificación.
