Objetivo: Assegurar que funcionários, fornecedores e terceiros deixem a organização ou mudem de trabalho de forma ordenada.
Convém que responsabilidades sejam definidas para assegurar que a saída de funcionários, fornecedores e terceiros da organização seja feita de modo controlado e que a devolução de todos os equipamentos e a retirada de todos os direitos de acesso estão concluídas.
Convém que as mudanças de responsabilidades e de trabalhos dentro de uma organização sejam gerenciadas quando do encerramento da respectiva responsabilidade ou trabalho de acordo com esta seção, e quaisquer novos trabalhos sejam gerenciados conforme descrito em 8.1.
8.3.1 Encerramento de atividades
Controle
Convém que responsabilidades para realizar o encerramento ou a mudança de um trabalho sejam claramente definidas e atribuídas.
Diretrizes para implementação
Convém que a comunicação de encerramento de atividades inclua requisitos de segurança e responsabilidades legais existentes e, onde apropriado, responsabilidades contidas em quaisquer acordos de confidencialidade (ver 6.1.5) e os termos e condições de trabalho (ver 8.1.3) que continuem por um período definido após o fim do trabalho do funcionário, do fornecedor ou do terceiro.
Convém que as responsabilidades e obrigações contidas nos contratos dos funcionários, fornecedores ou terceiros permaneçam válidas após o encerramento das atividades.
Convém que as mudanças de responsabilidades ou do trabalho sejam gerenciadas quando do encerramento da respectiva responsabilidade ou do trabalho, e que novas responsabilidades ou trabalho sejam controladas conforme descrito em 8.1.
Informações adicionais
A função de Recursos Humanos é geralmente responsável pelo processo global de encerramento e trabalha em conjunto com o gestor responsável pela pessoa que está saindo, para gerenciar os aspectos de segurança da informação dos procedimentos pertinentes. No caso de um fornecedor, o processo de encerramento de atividades pode ser realizado por uma agência responsável pelo fornecedor e, no caso de um outro usuário, isto pode ser tratado pela sua organização.
Pode ser necessário informar aos funcionários, clientes, fornecedores ou terceiros sobre as mudanças de pessoal e procedimentos operacionais.
8.3.2 Devolução de ativos
Controle
Convém que todos os funcionários, fornecedores e terceiros devolvam todos os ativos da organização que estejam em sua posse, após o encerramento de suas atividades, do contrato ou acordo.
Diretrizes para implementação
Convém que o processo de encerramento de atividades seja formalizado para contemplar a devolução de todos os equipamentos, documentos corporativos e software entregues à pessoa. Outros ativos da organização, tais como dispositivos de computação móvel, cartões de créditos, cartões de acesso, software, manuais e informações armazenadas em mídia eletrônica, também precisam ser devolvidos.
No caso em que um funcionário, fornecedor ou terceiro compre o equipamento da organização ou use o seu próprio equipamento pessoal, convém que procedimentos sejam adotados para assegurar que toda a informação relevante seja transferida para a organização e que seja apagada de forma segura do equipamento (ver 10.7.1).
Nos casos em que o funcionário, fornecedor ou terceiro tenha conhecimento de que seu trabalho é importante para as atividades que são executadas, convém que este conhecimento seja documentado e transferido para a organização.
8.3.3 Retirada de direitos de acesso
Controle
Convém que os direitos de acesso de todos os funcionários, fornecedores e terceiros às informações e aos recursos de processamento da informação sejam retirados após o encerramento de suas atividades, contratos ou acordos, ou ajustado após a mudança destas atividades.
Diretrizes para implementação
Convém que os direitos de acesso da pessoa aos ativos associados com os sistemas de informação e serviços sejam reconsiderados, após o encerramento das atividades. Isto irá determinar se é necessário retirar os direitos de acesso. Convém que mudanças de uma atividade sejam refletidas na retirada de todos os direitos de acesso que não foram aprovados para o novo trabalho. Convém que os direitos de acesso que sejam retirados ou adaptados incluam o acesso lógico e físico, chaves, cartões de identificação, recursos de processamento da informação (ver 11.2.4), subscrições e retirada de qualquer documentação que os identifiquem como um membro atual da organização. Caso o funcionário, fornecedor ou terceiro que esteja saindo tenha conhecimento de senhas de contas que permanecem ativas, convém que estas sejam alteradas após um encerramento das atividades, mudança do trabalho, contrato ou acordo.
Convém que os direitos de acesso aos ativos de informação e aos recursos de processamento da informação sejam reduzidos ou retirados antes que a atividade se encerre ou altere, dependendo da avaliação de fatores de risco, tais como:
a) se o encerramento da atividade ou a mudança é iniciada pelo funcionário, fornecedor ou terceiro, ou pelo gestor e a razão do encerramento da atividade;
b) as responsabilidades atuais do funcionário, fornecedor ou qualquer outro usuário; c) valor dos ativos atualmente acessíveis.
Informações adicionais
Em certas circunstâncias os direitos de acesso podem ser alocados com base no que está sendo disponibilizado para mais pessoas do que as que estão saindo (funcionário, fornecedor ou terceiro), como, por exemplo, grupos de ID. Convém que, em tais casos, as pessoas que estão saindo da organização sejam retiradas de quaisquer listas de grupos de acesso e que sejam tomadas providências para avisar aos outros funcionários, fornecedores e terceiros envolvidos para não mais compartilhar estas informações com a pessoa que está saindo.
Nos casos em que o encerramento da atividade seja da iniciativa do gestor, os funcionários, fornecedores ou terceiros descontentes podem deliberadamente corromper a informação ou sabotar os recursos de processamento da informação. No caso de pessoas demitidas ou exoneradas, elas podem ser tentadas a coletar informações para uso futuro.