Control:
Se deberían retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del empleo, contrato o acuerdo, o ser revisada en caso de cambio.
Guía:
Tras la finalización, se deberían reconsiderar los derechos de acceso de un individuo a los activos asociados con los sistemas de información y a los servicios. Esto determinara si es necesario retirar los derechos de acceso.
Los cambios en un empleo deberían reflejarse en la retirada de todos los derechos de acceso que no sean aprobados para el nuevo empleo.
Los derechos de acceso deberían ser retirados o adaptados, incluyendo acceso físico y lógico, llaves, tarjetas de identificación, instalaciones del proceso de información (consultar 11.2.4), subscripciones y retirada de cualquier documentación que los identifica como un miembro actual de la organización.
Si un empleado, contratista o usuario de tercero saliente ha sabido contraseñas para activos restantes de las cuentas, deberían ser cambiadas hasta la finalización o cambio del empleo, contrato o acuerdo.
Los derechos de acceso para activos de información y equipos se deberían reducir o retirar antes que el empleo termine o cambie, dependiendo de la evaluación de los factores de riesgo como:
a) si la finalización o cambio es iniciado por el empleado, contratista o usuario de tercero, o por la gerencia y la razón de la finalización;
b) las responsabilidades actuales del empleado u otro usuario;
c) el valor de los activos a los que se accede actualmente.
Información adicional:
En ciertas circunstancias los derechos de acceso pueden ser asignados en base a la disponibilidad hacia más personas que el empleado, contratista o usuario de tercero saliente.
En estas circunstancias, los individuos salientes deberían ser removidos de cualquier lista de grupos de acceso y se deben realizar arreglos para advertir a los demás empleados, contratistas y usuarios de terceros involucrados de no compartir esta información con la persona saliente.
En casos de gerencia terminada, contrariedad con los empleados, contratistas o usuarios de terceros pueden llevar a corromper información deliberadamente o a sabotear las instalaciones del procesamiento de información.
En casos de renuncia de personal, estos pueden ser tentados a recolectar información para usos futuros.
Posibles Soluciones a este control:
Espacio pendiente de posibles aportaciones.
Uploading ....