👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 3 y 14 del Marco COSO.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir y documentar las funciones y responsabilidades, tanto las generales como las de seguridad, de los roles involucrados en el alcance y la operación de tu sistema de controles internos para SOC 2. Este documento es la evidencia clave de que las responsabilidades de seguridad no son ambiguas, sino que están formalmente asignadas y comunicadas.
¿Qué tengo que hacer? 🚀
Lo primero que debes hacer es identificar todos los puestos que van a colaborar en la implementación y mantenimiento del programa de seguridad y cumplimiento, incluido el comité y considerando también las áreas alcanzadas por tu reporte SOC 2.
Recuerda que tanto los perfiles principales que participarán en tu comité como sus suplentes deben ser incluidos en este descriptivo y tener dentro de sus responsabilidades las funciones asociadas al comité. Esto debe estar alineado con lo que definiste en tu “Política de Comité de Seguridad de la Información” 🤓.
Una vez conociendo cuáles son esos puestos, solo debes describir los aspectos más importantes relacionados con dichos roles, y para esto te recomendamos considerar lo siguiente:
Área a la que pertenece el puesto.
Objetivos del puesto, que corresponde a una breve descripción de lo que la persona responsable debe cumplir.
Responsabilidades, es decir la descripción de las actividades y tareas más importantes que la persona en el puesto realiza.
Es muy importante que coloques todas las responsabilidades generales del puesto, pero para fines de SOC 2, debes añadir además todas las responsabilidades de seguridad y de operación de los controles internos pertinentes.
Experiencia técnica requerida, que corresponde a las capacidades y conocimientos que debe tener la persona para desempeñar su rol correctamente.
Competencias específicas, que corresponde a las aptitudes o habilidades blandas que debe tener la persona para desempeñar su rol.
Puedes añadir otros aspectos que consideres relevantes, o ajustar los que te proponemos en nuestro template para que tu descriptivo de roles sea lo más claro posible y te sirva para comunicar eficientemente las responsabilidades a todos los colaboradores involucrados 😎.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Describe claramente las funciones específicas de seguridad y la responsabilidad sobre la operación de los controles para cada uno de los roles.
Nuestro template te sugiere la descripción de los principales roles involucrados en el sistema de control, pero puedes incluir puestos de otras áreas como Finanzas, Recursos Humanos, Legal y todas aquellas que participen y tengan interacción con procesos dentro del alcance de tu reporte SOC 2.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.