👉 Esta actividad te ayuda a cumplir el siguiente control:
ISO 27001 en su versión 2013: A.6.1.2
ISO 27001 en su versión 2022: A.5.3
¿Para qué me sirve esta actividad? 📚
Una matriz SoD (segregation of duties, por sus siglas en inglés), te sirve para asignar correctamente las funciones de tus colaboradores, acotando las responsabilidades a lo mínimo indispensable que debe realizar cada uno de ellos, con el objetivo de evitar que se realicen acciones no autorizadas dentro de los procesos de la organización y/o sus sistemas.
¿Qué tengo que hacer? 🚀
Lo primero que debes hacer es identificar las áreas que son alcanzadas por tu SGSI, ya que son esas las que deberás considerar en esta actividad.
Posteriormente, te recomendamos aplicar los siguientes pasos:
Analiza los procesos de las áreas alcanzadas por tu SGSI.
Coloca los puestos / cargos que existen en esas áreas.
Identifica y enlista las actividades / tareas que se realizan en cada una de esas áreas.
Asigna estas actividades a los puestos que las realizan y que identificaste previamente.
Si es la primera vez que realizas esta asignación, te recomendamos considerar el rango del colaborador, el nivel de toma de decisión de su puesto, la criticidad de dichas tareas para tus operaciones, etcétera.
Asegúrate que los colaboradores cuenten con la capacidad y los conocimientos necesarios para llevar a cabo sus actividades asignadas.
Verifica que las funciones asignadas sean acordes también a los roles y permisos que tengan dentro de los sistemas y aplicaciones usadas por la empresa.¡Recuerda que debes limitar los permisos de administrador a los mínimos indispensables!
Comunica esta información a todos los colaboradores y personas involucradas.
Lo más importante es que conozcan dónde comienzan y terminan sus responsabilidades para que las ejecuten correctamente.
Revisa periódicamente esta matriz y actualiza la información siempre que sea necesario o ante cambios significativos.
Recuerda que nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu matriz fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Aunque no se encuentren explícitamente dentro de tu alcance, recomendamos considerar áreas como la Recursos Humanos dentro de tu segregación de actividades, ya que forman parte del proyecto de certificación.
Separa y enlista las actividades con el mayor detalle posible para que la segregación sea la más adecuada.
Limita adecuadamente las responsabilidades y funciones de cada puesto, así como los permisos y accesos que se les otorga en los sistemas.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.