Definiendo los Roles y Responsabilidades ISO 27001

Al construir tu Sistema de Gestión de Seguridad de la Información (SGSI) bajo la ISO 27001, asegurarte de que cada miembro clave comprenda claramente su papel es crucial. En este artículo, exploraremos los roles esenciales y responsabilidades que impulsarán el éxito de tu SGSI, siguiendo los estándares de la norma ISO 27001.

Sigue leyendo para descubrir cómo fortalecer la seguridad de la información en tu empresa con un buen equipo.

¿Por qué es fundamental para el programa de seguridad comprender los roles?

La implementación de un programa de seguridad de la información es realmente una iniciativa de toda la organización. Se necesita el liderazgo de seguridad, a nivel de departamento y de toda la organización para respaldar, adoptar, impulsar y socializar los conceptos de seguridad de la información. Un programa de seguridad aislado nunca podrá superar el nivel de cumplimiento de la casilla.

La buena noticia es que la mayoría de los líderes de la organización comprenden la importancia de la seguridad de la información y, por lo general, están dispuestos a respaldar un programa de seguridad del tamaño adecuado y bien pensado.

Si estás a cargo de implementar el programa de seguridad, es tu trabajo comunicar el "por qué" y el "qué" detrás del programa de seguridad. Y si estás buscando alinearte con la norma ISO 27001, también será necesario que definas y comuniques los roles y responsabilidades para lograr la certificación.

Cinco roles y responsabilidades fundamentales para la ISO 27001 y la seguridad de la información

Si bien el nombre y el lugar específicos en el organigrama pueden variar, todos los programas de seguridad tienen al menos cinco "tipos de roles". Estos tipos de roles son un requisito mínimo para cualquier programa de seguridad y un requisito para cumplir con los requisitos descritos en las cláusulas 4-10 de la norma ISO 27001:

1. Líder de seguridad o comisario de seguridad
2. Administrador de riesgos de seguridad
3. Auditor interno de seguridad
4. Propietarios de control
5. Todo el personal de la empresa

1) Líder de Seguridad o Comisario de Seguridad

Es el líder definido de un sistema de gestión de seguridad de la información (SGSI) y sus funciones y perfil pueden variar dependiendo de la forma y el tamaño de la organización.

En algunas organizaciones pequeñas, el liderazgo en seguridad puede compartirse con miembros de otros departamentos, como el de tecnología de la información, ingeniería o legal. En las organizaciones más grandes, el líder de seguridad puede ser un director de seguridad de la información (CISO) o comúnmente conocido como Comisario de Seguridad, un vicepresidente o un profesional de la seguridad a nivel de director.

En cualquier caso, esta persona debe ser dueño del programa de seguridad de la información (incluida la responsabilidad y la autoridad formalizadas).

Sus responsabilidades típicas incluyen:

1. Definir el contexto del programa de seguridad, incluida la alineación del programa con los objetivos de la empresa y garantizar que se hayan tenido en cuenta las partes interesadas adecuadas.
2. Establecimiento del objetivo estratégico, diseño de la hoja de ruta y proyectos del programa de seguridad, asignación de presupuesto, personal y plan de trabajo.
3. Desarrollar, rastrear e informar los KPI de seguridad a las partes interesadas relevantes.

2) Consejo de Riesgos de la Información y Administrador de Riesgos de Seguridad

La administración de riesgos de seguridad suele consistir en uno o varios comités frecuentemente conocidos como Consejo de Riesgos de la Información (IRC), Consejo de Riesgos de Seguridad (SRC) o simplemente Grupo de Riesgos, presidido por un Administrador de Riesgos de Seguridad.

Estos grupos se encargan de las actividades generales de gestión de riesgos en relación con la seguridad de la información incluyendo la supervisión, la definición de las políticas y las actividades de gestión de riesgos.

Estos grupos también están diseñados para ser de naturaleza multifuncional, no aislados de los profesionales de la seguridad de la información o la tecnología, sino trabajando en conjunto y coordinadamente.

A menudo, los jefes de departamento de finanzas, recursos humanos, ventas, legal y otros son representantes en estos consejos y además es conveniente que así sea porque la representación multifuncional ayuda a impulsar el cambio organizacional y la socialización de las iniciativas de seguridad de la información, así como a la gestión multifactorial de riesgos ya que estos frecuentemente se presentan desde varios orígenes dentro de la organización.

Las tareas fundamentales incluyen:

1. Asistencia a las reuniones trimestrales de gestión de riesgos (trimestral suele ser un buen ritmo que no es excesivo para los miembros).
2. Definición del proceso de gestión de riesgos, incluido el análisis de riesgos, la medición de riesgos y el tratamiento de riesgos.
3. Supervisar la evaluación anual de riesgos, incluida la revisión periódica del registro de riesgos.
4. Revisar, aprobar, socializar y hacer cumplir las decisiones de políticas en toda la organización.
5. Revisión de los resultados de las evaluaciones de seguridad y otras actividades relacionadas con la seguridad.
6. Encargado de la gestión de incidentes de seguridad y la respuesta a incidentes de seguridad (puede ser un subcomité o equipo separado bajo la función de gestión de riesgos).

3) Auditor Interno de Seguridad

Un principio filosófico clave de la norma ISO 27001 es el compromiso de la Dirección General con la mejora continua. Es por esto por lo que la Dirección debe impulsar la ejecución de las auditorías internas de seguridad como una parte clave para supervisar e impulsar la mejora continua de tu programa de seguridad. Debido a que la auditoría interna debe ser calificada e independiente del SGSI, muchas organizaciones optan por aprovechar a terceros como una consultora especializada para realizar evaluaciones de seguridad o entrenar a personal competente y comprometido para realizarla.

Las tareas fundamentales son:

1. Estar cualificado para ser auditor interno y realizar una evaluación de seguridad, por ejemplo, un auditor líder ISO 27001 o similar.
2. Mantenerse independiente del SGSI, sin conflicto de intereses como por ejemplo tener también en su responsabilidad controles operativos o que rijan el SGSI.
3. Creación de un plan anual de auditorías intentas de seguridad.
4. Ejecución del plan de auditoría.
5. Informar de los resultados de las auditorías de seguridad a la dirección general.

4) Propietarios de Control

Los propietarios de control son las personas responsables de la operación de las diversas tareas y deberes que componen el programa de seguridad. Muchas de estas funciones están definidas por los controles descritos en el anexo A de la norma ISO 27001. Estas funciones variarán ampliamente de una organización a otra, pero es fundamental que una organización se tome el tiempo necesario para definir estas funciones y medir periódicamente su desempeño.

Las tareas esenciales son:

1. Ingeniería, desarrollo y operaciones seguras (DevOps) en la empresa, con los proveedores, con los asociados y con los clientes.
2. Operaciones de seguridad, como la gestión de vulnerabilidades, la supervisión de intrusiones y la defensa activa.
3. Ingeniería de red y soporte perimetral haciendo evaluaciones de configuración de dispositivos activos y pasivos de la red, desde impresoras, móviles, hasta enrutadores y switches, acceso a dispositivos activos y pasivos, acceso a centro de datos, control de configuración de la red informática y equipos conectados, etc.
4. Gestionar la disponibilidad de sistemas, incluidas las copias de seguridad y su restauración, autorización de accesos, altas/bajas de usuarios, retiro definitivo de versiones de software, instalación de aplicaciones libres o de paga, lista de aplicaciones autorizadas institucionales, acceso a bases de datos y sistemas, etc.

5) Todo el personal de la empresa

Cabe destacar que todos los colaboradores desempeñan un papel fundamental en lo que respecta a la seguridad de la información. De acuerdo con un estudio de la IAPP (Inter-Access Point Protocol, Data indicates human error prevailing cause of breaches, incidents), el principal origen de los incidentes de seguridad está en el propio personal de la empresa, ya sea por omisión, error operativo e incluso intención.

Sus responsabilidades típicas relacionadas con la seguridad de la información incluyen:

1. Capacitación básica de concientización sobre seguridad del usuario final (por ejemplo, phishing por correo electrónico, navegación por Internet).
2. Capacitación sobre lo que se debe y no se debe hacer acorde a su función (por ejemplo, una persona en finanzas debe entender que nunca debe cambiar el número de ruta de la cuenta bancaria de un cliente en función de una solicitud por correo electrónico).
3. Formación basada en requisitos normativos o contractuales.

Integra el mejor equipo para la seguridad de la información

Asegura el éxito de tu sistema de gestión de seguridad de la información al elegir a los profesionales más comprometidos y capacitados. En este viaje, recordemos que "ninguno de nosotros es tan inteligente como todos nosotros juntos". La conformación de un equipo motivado, con una comprensión plena del SGSI y la ISO 27001 y respaldado por la dirección general, es esencial.

Si eres el líder de sistemas y estás pensando en abordar esto solo con el apoyo de tu personal de sistemas te adelantamos que tendrás una gran cantidad de complicaciones. Invita a aquellos que puedan aportar al desarrollo de tu SGSI, sin importar su área, y juntos construirán un sólido futuro en seguridad de la información. ¡La excelencia comienza con la elección del equipo correcto!

¿Listo para llevar tu seguridad de la información al siguiente nivel con la norma ISO 27001? Estamos aquí para apoyarte en cada paso del camino. Si necesitas orientación o acompañamiento en la implementación, acércate a Innevo.

Nuestro equipo de consultores especializados está comprometido a hacer que este proceso sea eficiente y exitoso para tu empresa.

Contáctanos para iniciar juntos este viaje hacia una seguridad de la información robusta y conforme. ¡Estamos aquí para respaldarte!