Gestión de RRHH

5.1 Identificación de los Roles​

La Dirección es la responsable de definir los diferentes roles profesionales de la Compañía, en función de las necesidades profesionales derivadas del desempeño de las actividades del negocio.

Cada rol tiene asociado una misión y unas funciones a desempeñar dentro de la organización, existiendo unos criterios que pueden elevar o disminuir dicha clasificación (en función de que se lleven o no a cabo),

Asimismo, revisa y actualiza de forma continua dichos Roles para asegurar su adecuación a la evolución, tanto del negocio como de la legislación, en caso de ser de aplicación, como de la tecnología y medios técnicos asociados al mismo.

5.2 Nuevas incorporaciones (onboarding)​

Ante la necesidad de una nueva incorporación, la Organización acudirá a sus terceras partes encargadas de la búsqueda del perfil solicitado.

Esta tercera parte es la responsable de asegurarse que la cualificación de los diferentes candidatos es la que se describe en su CV.

Si por las tareas a desempeñar y por la información a manejar por la nueva incorporación, y si La Dirección lo considera necesario, la empresa podrá pedirle una comprobación de sus antecedentes.

Dicha comprobación se llevará acabo de acuerdo con las leyes, normas y códigos éticos que sean de aplicación y debe ser proporcionales a las necesidades del negocio, la clasificación de la información a la que se accede y los riesgos percibidos.

Siempre que se produce la incorporación de un nuevo profesional en la Organización, el Responsable de RRHH es el encargado de la acogida de dicho profesional, procediendo de la siguiente manera:

• Determinación del perfil funcional.
• Inclusión de la Cláusula de Confidencialidad apropiada en su contrato.
• Notificación al Responsable de IT de la nueva incorporación, para la preparación/dotación de su perfil tecnológico.
• Implantación del perfilado (generación de cuentas, niveld e acceso, control de acceso y privilegios asociados).
• Entrega del Welcome Pack.
• Solicitud de aceptación de la Política de Seguridad de la Información.
• Lectura de la normativa del SGSI que sea de aplicación a su perfil funcional.
• Habilitación de las cuentas del nuevo usuario en los sistenas de la organización.

5.3 Formación​

La identificación inicial de las necesidades de formación y concienciación en materia de Seguridad de la Información es responsabilidad del Responsable del SGSI, en colaboración con los diferentes Responsables de Área o Departamentos de la Organización. Esta identificación se lleva a cabo de manera anual.

Igualmente, a través de la evaluación anual del desempeño de los profesionales de la Organización, se pueden identificar nuevas necesidades de formación prevista a llevar a cabo a lo largo del año.

Esta identificación inicial queda reflejada en el Plan de Formación siendo el responsable de su manteniendo y seguimiento La Dirección.

Con independencia de esta identificación inicial de la formación, La Dirección irá actualizando dicho Plan con la formación que se vayan realizando a lo largo del año, y según las necesidades, tanto del cliente como de la propia Organización, que vayan surgiendo.

Con independencia de la identificación inicial anual de las necesidades formativas de la Organización, los Responsables de los distintos Departamentos pueden detectar, a lo largo del año, mejorar la competencia de uno o más profesionales dentro de la Organización.

En este caso, la persona que haya detectado dicha necesidad recogerá información sobre los cursos o seminarios existentes en el mercado que más se adapten a las necesidades, costes de los mismos, horario, duración, lugar y fecha y organismo o empresa formadora.

En el caso de hacerse el curso o seminario de forma interna, la persona responsable de dicha formación será responsable de preparar y elaborar el material formativo necesario para la impartición del curso o seminario.

Tras la realización de los cursos se evaluarán los conocimientos o capacidades adquiridas por el usuario mediante un informe donde exponga sus valoraciones.

Las necesidades de formación se detectan tomando en consideración:

• Sugerencias y solicitudes directas de los profesionales.
• Carencias y/o deficiencias en el desempeño de las funciones del profesional.
• Incorporación de nuevas capacidades o tecnologías que requieran una preparación o revisión de las competencias de algún profesional.
• Cambios en la asignación de responsabilidades.
• Incorporación de nuevos profesionales o movilidad de los existentes, etc.

La solicitud formal de realización de un curso o seminario no planificado en materia de Seguridad de la Información ha de ser solicitada por el trabajador interesado, vía mail, dirigido al Responsable del SGSI.

En dicho mail de solicitud se identificará información sobre la actividad de formación a realizar (fecha, dpto. solicitante, curso solicitado, asistentes, etc.).

Esta solicitud es analizada por el Responsable del SGSI, que evaluará la necesidad o no de realización del mismo.

Las acciones formativas llevadas a cabo en la Organización tienen que tener la aprobación de la Dirección, comunicando ésta su decisión al Responsable del SGSI vía correo electrónico.

5.4 Salidas (offboarding)​

Ante la necesidad de una salida de la Organización, el Responsable del Departamento afectado comunicará el suceso por correo electrónico al Responsable del SGSI.

Este deberá liderar las acciones inmediatas orientadas al bloqueo y/o eliminación de los perfiles tecnológicos en los sistemas de Sincrolab, con la ayuda del responsable de IT, en las condiciones de salida pactadas.

Esto incluye el control de la devolución de los dispositivos asociados al usuario.