Documenta y comunica las responsabilidades de seguridad de ISO 27001
Índice
Desde aquí te dejamos el índice para que veas en qué artículo estás y cuáles son los siguientes de la saga ISO 27001.
1. ?Mantén la calma: Esto es la ISO 27001
2. ?¿Mi startup debería cumplir con ISO 27001?
3. ?Cómo prepararte para la auditoría de certificación en ISO 27001
4. ?7 beneficios de invertir en ISO 27001
5. ?Guía para implementar la ISO 27001
6. ?Creando un inventario en 4 sencillos pasos
7. ?Matriz de control de accesos: Qué es y cómo hacerla paso a paso
8. ?Plan de continuidad del negocio (BCP): Qué es y en qué consiste
9. ?6 pasos para armar un plan de continuidad del negocio (BCP)
10. ?Plan de recuperación ante desastres (DRP): Qué es y cómo hacerlo [+Plantilla gratis]
11. Cómo hacer un descriptivo de roles y responsabilidades
12. ?Cómo hacer tu política de seguridad de la información
Definir los roles y funciones de cada empleado es una de las primeras metas cuando queremos implementar un programa de seguridad.
Hay que asegurarse de distribuir muy bien las tareas para así gestionar los riesgos de forma adecuada y evitar solapamientos o ambigüedades que pongan en peligro la seguridad de tu información.
Y, si bien, crear este tipo de documentos puede ser una tarea tediosa o pensada para expertos, es, en realidad, mucho más sencillo de lo que lo imaginas.
Adelante encontrarás una guía para que armes y comuniques correctamente tu descriptivo de roles y responsabilidades, junto que su importancia para cumplir con ISO 27001
Si la documentación es la mayor debilidad de tu empresa, te puedes ahorrar el tiempo de empezar desde cero descargando esta plantilla gratuita para que la termines hoy mismo. Tranquilo, te guiaremos en él paso a paso.
¿Qué es un descriptivo de roles y responsabilidades?
Se trata del documento donde defines las responsabilidades que cada puesto de trabajo tendrá en relación a la seguridad de la información. Su misión es organizar las funciones de todos los empleados para que no existan confusiones o ambigüedades en sus deberes por proteger la información. Por esta razón, el siguiente paso después de elaborar este documento es crear la matriz de control de accesos, y sin un descriptivo de roles y responsabilidades va a ser una pesadilla.
Elaborar este descriptivo implica determinar quién o quiénes serán los responsables de ciertos procesos y procedimientos como, por ejemplo, revisar el monitoreo de logs, aprobar las políticas, garantizar el desarrollo seguro, etc.
Si bien el descriptivo de roles y responsabilidades es un requisito obligatorio de la normativa ISO 27001, también es solicitado por otras normativas y regulaciones de seguridad como PCI DSS, la Ley Fintech en México y la RAN 20-10 de Chile.
Puede que lo hayas oído mencionar como “descriptivo de puestos”, “documento de misiones y funciones” o “manual de funciones”. En realidad, todas son diferentes formas en que los auditores o tus clientes suelen nombrar a un mismo documento.
Diferencia con el organigrama de una empresa
El organigrama representa visualmente la totalidad de la estructura departamental, funciones y jerarquías entre los puestos de una empresa (inclusive las áreas que no están involucradas en la seguridad de la información).
El descriptivo de roles y responsabilidades de ISO 27001, en cambio, detalla las funciones particulares de seguridad que tendrá cada puesto.
Por lo tanto, el descriptivo puede complementar el organigrama de una empresa. Y si tienes un pequeño organigrama, te será de ayuda para identificar los roles que existen y cuáles serán los nuevos. Si no lo tienes no te preocupes, también puedes hacerlo a la inversa, usar este descriptivo de ISO 27001 para comenzar a crear tu organigrama.
¿Cuánto tiempo toma crear un descriptivo de roles?
Al igual que con la mayoría de los documentos de seguridad, esto dependerá del tiempo y de la cantidad de personas dedicadas a elaborarlo.
Por lo general, aquellas empresas que comienzan desde cero (es decir, no poseen ningún tipo de documentación previa como un organigrama) y tienen una única persona para centralizar y revisar la información, estos son los tiempos:
| Tamaño de la empresa | Tiempo |
| 2 a 20 empleados | 3 a 6 días |
| 20 a 50 empleados | 6 a 15 días |
| 50+ | <15 días |
Por supuesto que si dedicas más personas o un equipo de trabajo, podrás realizarlo de manera simultánea por áreas para acortar los tiempos.
¿Cómo crear el descriptivo de roles y responsabilidades?
Antes de comenzar, es importante aclarar que si tu empresa ya tuviera un organigrama o descriptivo de puestos general, bastaría con sumar las funciones relacionadas con la seguridad de la información. De lo contrario, sigue estos pasos:
1. Definir el objetivo y el alcance
Detalla el propósito que tiene este documento para tu programa de seguridad. Un ejemplo puede ser:
Definir las responsabilidades que cada puesto o función de trabajo debe ejecutar, así como las características y requerimientos a cubrir de dicho cargo.
Por otro lado, en el alcance se detallan todas las áreas que participan en los procesos críticos de tu negocio.
2. Describir los roles y sus responsabilidades
La descripción de cada rol debe incluir:
- Área: departamento al que pertenece.
- Fecha de revisión: debe ser revisado cada año o cuando exista un cambio en tu organigrama.
- Objetivos del puesto: objetivos generales del puesto dentro de la organización.
- Responsabilidades: tareas más significativas y objetivo principal de la labor.
- Experiencia técnica requerida: habilidades y conocimientos que cubren con la expectativa del puesto.
- Competencias específicas: competencias que tu empresa requiere para este rol.
- Aprobación del perfil: rol encargado de aprobar este perfil. Por lo general, suele ser el CEO, CTO o el director del área.
En este descriptivo no solo debes considerar las áreas más cercanas de TI, sino también áreas como Finanzas, Recursos Humanos y Legales, ya que tienen contacto con información sensible para la empresa.
Si partes desde cero, te recomendamos esta tabla que prioriza los roles según su grado de involucramiento con la seguridad.
| ÁREA | ROLES |
| Comité de Seguridad y Alta Dirección | CEO, CTO, COO, CIO, CISO, entre otros. |
| Seguridad de la Información | OSI, analistas de seguridad, analistas de ciberseguridad, analistas de cumplimiento, entre otros. |
| Tecnología y Desarrollo | Tech Leaders, desarrolladores, testers, analistas de arquitectura, analistas de operaciones TI, entre otros. |
| Servicio | Analistas de soporte de TI, analistas de soporte al cliente, consultores, entre otros. |
| Operación y Administración | Líderes y analistas de Recursos Humanos, analistas de operaciones, analistas de Finanzas, analistas de Legales, ejecutivos comerciales, entre otros. |
| Externos | Roles de terceros subcontratados de la organización o proveedores críticos. |
Te preguntarás si es necesario u obligatorio contratar cada rol de esta tabla (como un CISO, OSI, analista de cumplimiento). En realidad, las responsabilidades de seguridad de la información pueden ser asignadas a una o varias personas, dependerá del tamaño y de la decisión de tu empresa el cómo se haga la distribución.
Lo importante es que se tomen las responsabilidades de seguridad, no importa qué nombre decidas darle a ese rol o quién tome esas labores. En el caso de las empresas pequeñas, por ejemplo, algunos líderes técnicos y/o CTO suelen absorber las responsabilidades de un CISO y de los analistas de ciberseguridad.
3. Revisar y documentar continuamente
Para cumplir con la normativa es obligatorio revisar y actualizar el descriptivo una vez al año o cada vez que haya un cambio en tu organigrama. Así que ¡recuerda agendarlo!
¿Cómo comunicar los roles y responsabilidades?
Una vez que el descriptivo ha sido elaborado y aprobado, hay que comunicar los roles a las personas implicadas para que se apropien del proyecto y sepan qué hacer.
Por ejemplo, el área de RR.HH. podrá compartirlo mediante un aviso por e-mail en el que solicite la aceptación y firma del empleado.
Para el caso de los nuevos proveedores, deberás requerir que se adhieran a las políticas de tu empresa o, en su defecto, que ellos tengan lineamientos de seguridad de la información y protección de datos.
Aquellos proveedores que actualmente te prestan sus servicios, simplemente puedes revisar que sus SLA (acuerdo de nivel de servicio) estén alineados a los requisitos de seguridad de tu proyecto.
Conclusión
El descriptivo de roles y responsabilidades tiene el objetivo de definir las funciones que cada empleado tendrá en la empresa para gestionar los riesgos y proteger la información.
Si bien este documento plantea la implementación de roles como un CISO, OSI o analista de ciberseguridad, lo obligatorio no es contratar un nuevo empleado para que tome el puesto sino que las responsabilidades sean tomadas dentro de la empresa. Es decir, lo importante es que las responsabilidades de seguridad de la información sean tomadas, sea por una o varias personas de la empresa.
Por otro lado, el descriptivo puede complementar el organigrama de tu empresa. Inclusive si ya tienes un organigrama te será de ayuda para identificar qué roles existen y evaluar la distribución de responsabilidades o contratación de nuevos empleados.
Si sigues los pasos y consejos que te dejamos, podrás crear tu propio descriptivo de roles y responsabilidades ISO 27001 con poco esfuerzo.
