El área de recursos humanos de una organización gestiona cantidad de datos personales. Información valiosa y confidencial. Desde fechas de nacimiento, hasta direcciones, número de la seguridad social, detalles de cuentas bancarias, etc. La certificación ISO 27001 protege la seguridad de todos esos datos.
Como responsable de recursos humanos, tienes la obligación legal -y moral- de proteger los datos de tus empleados. Si se pierden o los roban, cualquiera podría utilizarlos para cometer o financiar delitos graves. Y, provocar, por ejemplo, que una persona, cuyos datos hayan sido sustraídos o utilizados de forma fraudulenta, no pueda acceder a préstamos o tarjetas de crédito, obtener una hipoteca o, incluso, ser acusada de algún delito financiero. Esa es la primera razón por la que debes pensar en un software de recursos humanos que tenga la certificación ISO 27001.
Pero ¡ojo! No son solo las personas físicas las que pueden sufrir las consecuencias del robo o pérdida de los datos personales. Las empresas también pueden tener implicaciones legales si no cuentan con las garantías necesarias para mantener intacta la seguridad de los datos personales de su plantilla. Además de costosas sanciones económicas, la marca puede sufrir daños irreparables en su reputación.
Por eso, es imperativo legal que todas las organizaciones tomen las medidas de protección necesarias para mantener una férrea seguridad de los datos personales de sus recursos humanos. Y es aquí, donde entra en juego el uso de un software de recursos humanos con certificación ISO 27001.
¿Qué es ISO27001?
Publicado conjuntamente por ISO (Organización internacional para la estandarización) e IEC (Comisión electrotécnica internacional), ISO 27001 es un estándar internacional verificable sobre cómo gestionar la seguridad de la información. Se puede utilizar por empresas de cualquier tamaño y sector.
Proporciona un marco que ayuda a las organizaciones a proteger sistemáticamente la información mediante la adopción de un SGSI. Un Sistema de Gestión de Seguridad de la Información (SGSI) es un conjunto de políticas, procedimientos, procesos y sistemas que gestionan los riesgos potenciales de la información.
¿Por qué es importante que mi software de recursos humanos tenga la certificación ISO 27001?
La certificación ISO27001 requiere que las empresas tengan una infraestructura y procesos sólidos para garantizar que los datos se almacenen y procesen de manera adecuada. Si tu software de recursos humanos tiene la certificación ISO27001, es una señal inequívoca de la importancia que el proveedor del sistema le confiere a la protección y seguridad de tus datos.
¿Cómo consigue la certificación ISO 27001 un software de recursos humanos?
Como la certificación ISO 27001 es un estándar particularmente rígido, lo normal es tardar entre 6 y 12 meses para completar la certificación inicial. Aunque esto depende, claro, de muchas variables: recursos disponibles, experiencia con los requisitos estándar, participación de las partes interesadas, …
Para que un software de recursos humanos obtenga la certificación ISO 27001 y cumpla con los requisitos, el proveedor del software generalmente seguirá estos pasos:
- Designar un equipo responsable de la implementación del sistema que cumpla con todos los requisitos de la certificación ISO 27001
- Establecer el alcance y los objetivos del sistema de gestión de la seguridad de la información (SGSI)
- Desarrollar un plan de implementación
- Identificar los procesos y procedimientos clave de seguridad requeridos para cumplir con el estándar.
- Documentar e implementar procesos y procedimientos de acuerdo con los controles exigidos por la normativa
- Establecer un proceso de gestión de riesgos que incluya la identificación, evaluación y tratamiento de los riesgos potenciales
- Capacitar adecuadamente al personal en sesiones únicas y/o actualizaciones periódicas
- Tener el ISMS certificado compatible con ISO 27001. Esto debe hacerlo un auditor externo perteneciente a un organismo de certificación acreditado.
- Medir, monitorizar y revisar procesos y políticas. Esto es para garantizar que el SGSI siga siendo adecuado para su propósito y que cumpla con la normativa ISO 27001. Este es un requisito continuo que no termina cuando se logra la certificación. De hecho, se deben realizar inspecciones completas de recertificación cada 3 años.
¿Qué ventajas aporta un software de recursos humanos con certificación ISO 27001?
En un mundo impulsado por datos, proteger la información confidencial es clave. La seguridad de la información debe ser prioritario para todos. Especialmente para quienes gestionan y procesan datos. Por ejemplo, proveedores de software de recursos humanos o profesionales de las áreas de gestión de personas.
Trabajar con un software de recursos humanos con certificación ISO 27001, te ofrece la certeza de que el sistema protegerá los datos confidenciales de tu empresa. Y que almacenará y procesará los datos con total seguridad. Esto hará que se reduzca significativamente el riesgo de violación de datos o, cualquier incidente que pudiera afectar a su integridad. Recuerda que algo así, podría ser realmente perjudicial para la reputación y las arcas del negocio.
Las empresas que ofrecen productos con la certificación ISO 27001 también son auditadas regularmente por un organismo acreditado. De esta manera se garantiza que siguen cumpliendo los requisitos de seguridad establecidos por la certificación. Así que, no es un proceso que se haga una sola vez. Es más bien, un proceso continuo para velar por la seguridad de los datos.
¿Cuáles son los riesgos de no tener un software de RR.HH con la certificación ISO 27001?
Si el sistema seleccionado no está certificado, no puedes garantizar que tu proveedor de software cumpla las medidas de seguridad adecuadas para proteger tus datos. Y no solo hablamos de protección legal -GDPR, Ley de Protección de Datos, etc.- También desde un punto de vista ético. Como profesional de los recursos humanos es tu obligación y tu responsabilidad legal, asegurar que se cumplen todos los requisitos, tanto internamente como con los diferentes proveedores con los que operes.
¿A qué características de seguridad debo prestar atención al elegir un software de recursos humanos?
Cuando se trata de elegir un software de recursos humanos adecuado para tu negocio, hay varias características de seguridad que debes tener en cuenta:
- Cifrado de datos: ¿se cifran los datos tanto durante el modo de espera como durante la transmisión? ¿Es posible interceptar información importante, como datos bancarios, durante la transmisión de datos?
- Permisos basados en roles: ¿Ofrece acceso controlado a datos confidenciales? ¿Es posible restringir el acceso a la edición o visualización de datos, dependiendo de las funciones y ubicaciones de los usuarios?
- Pruebas de penetración y pruebas de vulnerabilidad: ¿las realiza un proveedor externo e imparcial? ¿Con qué frecuencia?
- Procedimientos de copia de seguridad y recuperación ante desastres: ¿Tiene un proceso de recuperación completamente probado?
- Inicio de sesión seguro: ¿Tiene inicio de sesión único y autenticación dual? ¿Las contraseñas están protegidas por técnicas avanzadas de hashing?
¿Estás pensando en hacerte con un software de RRHH?
Si estás buscando un nuevo software de recursos humanos, te recomiendo que prestes mucha atención al tema de la seguridad. Y, como ya te decía, la principal garantía es que el sistema cuente con la certificación ISO 27001. El resto, te lo contamos nosotros. Solicita una demo y te haremos una presentación personalizada. Solo para ti. Con lo que necesitas/quieres, funcionalidades, servicios, tiempos de implementación y precios.
Cristina Del Amo
Soy periodista, empresaria, emprendedora y madre. Licenciada en Ciencias de la Información por la Univ. Complutense de Madrid y Máster en Gestión Comercial y Marketing, por la Escuela de Negocios ESIC, mi trayectoria profesional está ligada al entorno de la comunicación, la gestión empresarial y los recursos humanos.