👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Los siguientes Principios del Marco COSO 3, 5 y 14.
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para formalizar el principio de que la seguridad es una responsabilidad compartida. Mientras que el organigrama define "quién reporta a quién", esta política define "quién es responsable de qué" en materia de seguridad.
Establecer esta política es fundamental para:
Crear una cultura de rendición de cuentas (Accountability): Va más allá de simplemente asignar tareas; establece que cada persona es responsable de sus acciones y omisiones en materia de seguridad, cumpliendo directamente con el Principio 5 de COSO.
Eliminar la ambigüedad: Asegura que todos en la organización, desde la alta dirección hasta el último colaborador, entiendan claramente cuáles son sus deberes específicos de seguridad.
Demostrar una gobernanza madura: Para un auditor de SOC 2, esta política es una prueba clave de que la seguridad no es solo tarea del equipo de TI, sino que está integrada en la estructura y cultura de toda la empresa.
¿Qué tengo que hacer? 🚀
El objetivo es crear un documento que asigne formalmente las responsabilidades de seguridad a través de toda la organización. Tu política debería incluir los siguientes puntos clave para abordar los Principios COSO:
Establecer las responsabilidades generales (Aplicables a Todos)
La política debe comenzar definiendo un conjunto de responsabilidades básicas de seguridad que aplican a todos los empleados, contratistas y terceros que tengan acceso a la información de la empresa.
Ejemplos de lineamientos:
Cumplir con la “Política de Seguridad de la Información” y otras políticas relacionadas.
Proteger los activos de la compañía que les han sido asignados (portátiles, credenciales, etc.).
Reportar inmediatamente cualquier evento o debilidad de seguridad sospechosa.
Completar satisfactoriamente el “Taller de Concientización de Seguridad” de forma periódica.
Definir responsabilidades específicas por rol o nivel
A continuación, la política debe detallar las responsabilidades adicionales para roles o grupos específicos, creando una jerarquía clara.
Ejemplos de responsabilidades:
Alta Dirección: Ser el máximo responsable del programa de seguridad, aprobar políticas y proveer los recursos necesarios.
Comité de Seguridad: Supervisar la eficacia del sistema de controles, revisar los resultados de la gestión de riesgos y autorizar cambios significativos.
Dueños de Activos/Sistemas: Ser responsables de la protección de los activos a su cargo, autorizar el acceso y realizar revisiones periódicas.
Líderes de Área: Asegurar que sus equipos conozcan y cumplan con las políticas de seguridad.
Incorporar la rendición de cuentas
Esta es la sección que da fuerza a la política. Debe incluir una declaración que vincule el cumplimiento de estas responsabilidades con el desempeño individual.
Ejemplo de lineamiento: "El cumplimiento de las responsabilidades de seguridad definidas en esta política será considerado parte de la evaluación de desempeño de cada colaborador. El incumplimiento de esta política puede dar lugar a acciones disciplinarias, de acuerdo con el “Código de Conducta” de la organización."
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Sé claro y específico: Evita frases vagas. En lugar de "El usuario es responsable de la seguridad", utiliza responsabilidades accionables como "El usuario es responsable de proteger sus credenciales, bloquear su equipo cuando se ausenta y reportar cualquier actividad sospechosa".
Integra estas responsabilidades en el ciclo de vida del empleado: Comunícalas durante el proceso de contratación, refuérzalas en el “Programa de Capacitación” y considéralas durante las evaluaciones de desempeño.
No olvides a los terceros: Si contratistas o proveedores tienen acceso a tus sistemas, sus responsabilidades de seguridad deben estar claramente definidas en sus contratos, lo cual se gestiona en el “Procedimiento de Revisión y Contratación de Proveedores”.
La comunicación es la clave: Una vez aprobada, esta política debe ser comunicada a toda la organización para que sea efectiva.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.