👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
ISO 27001 en su versión 2013: 5.3, 7.2
ISO 27001 en su versión 2022: 5.3, 7.2
Y el siguiente control:
ISO 27001 en su versión 2013: A.6.1.1
ISO 27001 en su versión 2022: A.5.2
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir y documentar las funciones y responsabilidades, tanto las generales como las de seguridad de la información, de los roles involucrados en el alcance e implementación del SGSI.
¿Qué tengo que hacer? 🚀
Lo primero que debes hacer es identificar todos los puestos que van a colaborar en la implementación y mantenimiento de programa de seguridad, incluido el comité y considerando también las áreas que son alcanzados por tu SGSI.
Recuerda que tanto los perfiles principales que participarán en tu comité como sus suplentes deben ser incluidos en este descriptivo y tener dentro de sus responsabilidades las funciones asociadas al comité. Esto debe estar alineado con lo que definiste en tu Política de Comité de Seguridad de la Información (actividad 3 del plan de acción de Hackmetrix) 🤓.
Una vez conociendo cuáles son esos puestos, solo debes describir los aspectos más importantes relacionados a dichos roles, y para esto te recomendamos considerar lo siguiente:
Área a la que pertenece el puesto.
Objetivos del puesto, que corresponde a una breve descripción de lo que la persona responsable debe cumplir.
Responsabilidades, es decir la descripción de las actividades y tareas más importantes que la persona en el puesto realiza o debe realizar.
Es muy importante mencionar que debes colocar todas las responsabilidades generales del puesto, pero para fines normativos debes añadir además, todas las responsabilidades de seguridad de la información pertinentes.
Experiencia técnica requerida, que corresponde a las capacidades y conocimientos que debe tener o conseguir la persona para desempeñar su rol correctamente.
Competencias específicas, que corresponde a las aptitudes o habilidades blandas que debe tener o conseguir la persona para desempeñar su rol correctamente.
Puedes añadir otros aspectos que consideres relevantes, o ajustar los que te proponemos en nuestro template para que tu descriptivo de roles sea lo más claro posible y te sirva para comunicar eficientemente las responsabilidades a todos los colaboradores involucrados 😎.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Describe claramente las funciones específicas de la seguridad de la información para cada uno de los roles.
Nuestro template te sugiere la descripción de los principales roles involucrados en el SGSI pero puedes incluir puestos de otras áreas como Finanzas, Recursos Humanos, Legal y todas aquellas que participen y tengan interacción con procesos dentro del alcance del SGSI.
FAQs ❔
Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.