👉¿Qué roles son los que se deben definir en este descriptivo?
R: Este descriptivo debe tener todos los puestos / cargos que se encuentran alcanzados por el SGSI, incluyendo:
Integrantes principales del comité de seguridad de la información.
Suplentes del comité de seguridad de la información.
Cargos y puestos de las áreas que son mencionadas en su enunciado de alcance para su programa de seguridad.
👉¿Puedo utilizar los perfiles o descriptivos de puesto que ya tenemos documentados dentro de la empresa para el reclutamiento de personal?
R: Sí pueden utilizar ese tipo de documentos para cubrir con esta actividad, pero para cumplir con los requisitos normativos es muy importante que dichos descriptivos tengan definidas claramente las responsabilidades de seguridad de la información que tiene cada uno de ellos.
Algunos ejemplos de estas responsabilidades pueden ser:
si forman parte del comité,
si uno de ellos fue designado como OSI,
si son los encargados del programa de seguridad y/o proyecto de certificación,
si apoyan en el desarrollo o implementación de políticas y procedimientos,
si son sueños de riesgos y/o activos, etcétera.
👉En caso de que una misma persona ejerza dos o más roles, ¿cómo debo documentarlos dentro de este descriptivo?
R: Recomendamos describir los roles por separado aunque sean ejercidos por una misma persona, ya que si en un futuro se desea contratar a alguien para dicho puesto, ya no será necesario segregar los requisitos y las responsabilidades que debe cumplir.
Lo que recomendamos hacer, en caso de que estés utilizando nuestro template, es indicar en el nombre del puesto, la persona que lo ejerce actualmente, por ejemplo:
👉¿Es muy necesario contar con evidencia explícita de que un colaborador tiene la experiencia y/o conocimientos indicados en el descriptivo de puesto?
R: No necesariamente, pero aquí es importante recordar que la última palabra sobre si una evidencia es suficiente o no la tiene el auditor.
En este caso es comprensible que para ciertos conocimientos o experiencias no se tenga una evidencia tangible o explícita. Por lo que la mejor práctica para abordar esto debe considerar los siguientes aspectos:
El descriptivo debe reflejar lo que efectivamente le solicitan al colaborador, por lo menos aquello que consideren como mínimo indispensable, para cubrir con el puesto y sus funciones.
Poder explicar correctamente cómo generan o determinan estos descriptivos de roles a un auditor, en caso de que les consulten.
Por ejemplo, ¿en qué se basan para establecer los requisitos del puesto A?
Consolidar en un repositorio o carpeta organizada los CVs, certificaciones, títulos académicos o cualquier otro documento que funja como evidencia de las competencias del colaborador.