Con nuestro template para crear un descriptivo de roles y responsabilidades, acabarás rápidamente la actividad y con altas probabilidades de cumplir el requisito.
Antes de comenzar, te recomendamos ya tener definida la Estructura de Seguridad de la Información; te será más sencillo partir de ahí para identificar los roles y responsabilidades relacionados al SGSI.
El área responsable de realizar este documento es Recursos Humanos, sin embargo puedes pedirle apoyo a otras áreas para definir correctamente las responsabilidades y competencias necesarias que debe cubrir cada puesto.
El documento cuenta con cinco secciones:
Objetivo
Alcance
Categorización de roles
Descriptivo de roles
Versionado
A continuación te explicamos cada una de estas secciones, cómo llenar el documento y los pasos a seguir.
Objetivo
En esta primera sección debes definir los objetivos generales que debe cumplir la creación de este documento.
Un objetivo puede ser, por ejemplo:
Este documento tiene como objetivo definir los roles y responsabilidades que cada puesto o función de trabajo debe ejecutar, así como las características y requerimientos a cubrir de dicho cargo.
El ejemplo anterior también lo puedes encontrar dentro de nuestro template, pero recuerda que puedes complementarlo y/o ajustarlo a las necesidades de tu empresa.
Alcance
En esta sección debes indicar los procesos internos, las áreas funcionales o cualquier otro elemento de tu empresa que será alcanzado o afectado por este documento.
Un alcance puede ser, por ejemplo:
Abarca a todas los puestos de las áreas consideradas como prioritarias para la seguridad de la información dentro de la empresa.
El ejemplo anterior también lo puedes encontrar dentro de nuestro template, pero recuerda que puedes complementarlo y/o ajustarlo a las necesidades de tu empresa.
Categorización de roles
Categorizar roles, nos permite agruparlos en diferentes categorías para identificar de manera sencilla cuáles deben ser las responsabilidades asignadas a cada uno.
Nuestro template te sugiere las siguientes categorías:
Comité de Seguridad y Alta Dirección:
Aquí debemos indicar los roles de alto mando (por ejemplo, los c-levels) que participan en el comité de seguridad y/o que tendrán responsabilidades de seguridad.
Roles de Seguridad de la Información:
Aquí debemos indicar los roles que se enfocan directamente en la seguridad de la información de tu empresa.
Roles de Tecnología y Desarrollo:
Aquí debemos indicar los roles que pertenecen al área de Tecnología y Desarrollo que tienen un papel importante dentro de tu SGSI.
Roles de Servicio:
Aquí debemos indicar los roles que dan soporte y atención al cliente, que participan dentro de tu SGSI.
Roles de Operación y Administración:
Aquí debemos indicar los roles que pertenecen a áreas operativas y administrativas como lo son Recursos Humanos, Finanzas y Legales, que tienen injerencia dentro de tu SGSI.
Roles externos:
Aquí debemos indicar los roles externos a la empresa que participan en algún proceso interno. Por ejemplo: proveedores de servicios críticos para la organización o que tienen una participación importante y activa dentro de la operación que cubre el SGSI.
En la tabla de categorización deberás asignar los roles de tu empresa a la categoría más adecuada. Te dejamos un ejemplo de cómo llenarla:
Descriptivo de roles
En esta sección es dónde debemos colocar toda la información relevante sobre el puesto.
Para comenzar, nuestro template cuenta con una pequeña tabla donde debes indicar el área a la que pertenece el rol y la fecha de revisión del mismo. Esto con la finalidad de que las responsabilidades y requisitos estén actualizados.
El nombre del rol lo puedes indicar a modo de título dentro del documento. Por ejemplo:
Una vez hecho esto, hay que definir los siguientes aspectos:
Objetivos del puesto.
¿Cuáles son las metas generales del rol?
¿Qué objetivos debe cumplir?
Es recomendable definir objetivos medibles que permitan conocer el desempeño de la persona a cargo del rol.
Responsabilidades.
¿Qué hará?
¿Cuáles serán sus actividades a llevar a cabo?
¿Cómo debe realizarlas correctamente?
Experiencia técnica requerida.
¿Cuál es el nivel mínimo de formación académica o laboral que requiere la persona para desempeñar correctamente las responsabilidades del rol?
¿Requiere certificaciones o capacitaciones especiales?
Competencias específicas.
¿Cuáles son las habilidades mínimas requeridas para desempeñar el rol correctamente?
¿Requiere aptitudes específicas, cuáles son?
Aprobación del perfil.
¿Qué área o rol aprobó este perfil?
Esto es para controlar la necesidad de nuevos puestos que pueden surgir con el crecimiento de tu empresa.
Usando el rol de CEO, te mostramos un ejemplo de cómo se vería esta información dentro del documento:
En el template puedes encontrar la descripción de algunos de los principales roles de seguridad de la información. Sin embargo, es muy importante que añadas todos los que sean aplicables a tu empresa o, en dado caso, elimines los que no aplican.
Así mismo, debes ajustar los ejemplos para que estén alineados a las necesidades de los puestos de tu organización; también añade o elimina lo que consideres pertinente.
Recuerda que el template es una guía que hay que adecuar a tus necesidades y requerimientos.
Versionado
La última parte de nuestro template es una de las partes más importantes de cualquier documento.
El versionado te permitirá identificar a las personas responsables de la elaboración, revisión y aprobación del documento.
Al versionar un documento puedes saber si está vigente, si cuenta con versiones obsoletas y tener registro de los cambios que ha sufrido.
Nuestro template te pide identificar los siguientes puntos:
Elaborado por:
Se recomienda indicar el nombre y rol de la persona responsable de la creación del documento.
Código de documento:
No existe una regla para generar códigos de documentos. Lo único que tienes que tener en cuenta es que debe ayudar a identificarlos fácilmente.
Sugerimos hacer una combinación de varios elementos, como puede ser el nombre de la empresa, el número de documento, una abreviatura de política (POL) o procedimiento (PRO), el número de versión (v1, v2, v3), etcétera.
Algunos ejemplos pueden ser: DM-001A, SGSI-V1-DM, POL-SGSI-V1.
Versión:
Al crear este descriptivo por primera vez, tendremos la versión 1 del documento (lo cuál se puede indicar cómo v1). Por lo tanto, al actualizar este documento, su versión cambiará.
Las modificaciones que le sigan se pueden indicar cómo v2, v3, v4, y así sucesivamente.
Fecha última de actualización:
Se debe actualizar esta fecha cada que se realice algún cambio al documento o se renueve su vigencia.
Revisado por:
Se recomienda indicar el nombre y rol de la persona responsable de la revisión del documento.
Aprobado por:
Se recomienda indicar el nombre y rol de la persona responsable de la aprobación del documento.
Hackmetrix insight:
Las personas involucradas en la elaboración, revisión y aprobación del documento no deben ser las mismas.
Esto porque, además de que te permite tener varios niveles de validación a tu documentación, te ayuda a cumplir y mantener la segregación de funciones dentro de tu empresa.
Cuando termines la tabla de versionado, debería verse algo así:
Recuerda que:
Debes incluir las funciones relacionadas a la seguridad de la información que participan en tu SGSI.
Toma en cuenta que involucra muchas áreas de tu empresa y que es muy importante considerar todos los puestos pertinentes.
La seguridad de la información debe estar dentro de la cultura organizacional en general y no solo como un requisito o responsabilidad de un rol en específico. Todos tus colaboradores juegan un papel muy importante dentro de la seguridad.
Si bien este documento plantea la implementación de roles como un Oficial de Seguridad de la Información (OSI), o analista de ciberseguridad, no es obligatorio contratar un nuevo empleado para que tome este rol. Las responsabilidades pueden ser tomadas por otros roles ya existentes dentro de la empresa que tengan la capacidad requerida para desempeñar el puesto.
Si tienes un descriptivo de roles correctamente documentado, podrás comunicar esta información a todos tus colaboradores de manera clara y precisa.
Esto te ayudará también a ir creando una conciencia sobre la importancia de nuestras acciones y de su impacto dentro de la organización.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.