Ir al contenido principal

Cómo hacer tu matriz SoD

Aquí te contamos el paso a paso de cómo puedes crear fácilmente tu matriz de segregación de funciones usando nuestro template.

Con nuestro template para crear una Matriz SoD acabarás rápidamente la actividad y con altas probabilidades de cumplir el requisito.

Una matriz SoD (Segregation of Duties, por sus siglas en inglés) nos permite separar correctamente los perfiles de las áreas de tu empresa.

Este documento tiene como objetivo establecer cada una de las actividades que se realizan en las áreas alcanzadas por el SGSI, y asignar a los responsables de llevarlas a cabo.

Es muy importante comprender que no solo se trata de indicar a las personas que hacen o podrían hacer alguna actividad. Debe analizarse si dicha persona es la mejor opción para llevar a cabo esa actividad, si esto no implica conflictos de interés, si eso ayuda a implementar medidas de seguridad dentro de nuestros procesos, etcétera.

Te recomendamos también, considerar los siguientes aspectos:

  • Al asignar una actividad a un rol específico, se comprende que ese rol es el que ejecuta dicha actividad.

    • Si la actividad cuenta, además, con un responsable a cargo, ya sea un supervisor, un líder de área, un gerente, etcétera, debe indicarse como una actividad separada, o de la manera en la que lo consideres más comprensible, siempre y cuando se distinga una responsabilidad de la otra. Por ejemplo:

      Opción 1.
      Actividad: Desarrollo de código | Responsable: Developer | Supervisor: CTO

      Opción 2:
      Actividad: Desarrollo de código | Responsable: Developer
      Actividad: Revisión de código | Responsable: CTO

  • Las buenas prácticas nos dicen que no es recomendable que un solo rol ejecute demasiadas tareas. Las funciones y responsabilidades de todos tus colaboradores deben estar definidas y acotadas a su área de trabajo y departamento correspondiente.

A continuación, te explicaremos cómo usar nuestro template, cómo llenarlo, y los pasos a seguir. 

Versionado del documento

Lo primero que verás al abrir nuestro template será la portada, como se muestra en la siguiente imagen.

En ella tienes que completar la información solicitada, la cual corresponde al versionado del documento.

Recuerda que el versionado es una de las partes más importantes de cualquier documento. Ya que, te permite identificar a las personas responsables de la elaboración, revisión y aprobación del documento.

Al versionar un documento puedes saber si está vigente, si cuenta con versiones obsoletas y tener registro de los cambios que ha sufrido.

Nuestro template te pide identificar los siguientes puntos:

  • Pon tu logo:

    • Aquí debes colocar el logo de tu empresa utilizando la imagen que te parezca más adecuada.

  • Código de documento:

    • No existe una regla para generar códigos de documentos. Lo único que tienes que tener en cuenta es que debe ayudar a identificarlos fácilmente.

    • Sugerimos hacer una combinación de varios elementos, como puede ser el nombre de la empresa, el número de documento, una abreviatura de política (POL) o procedimiento (PRO), el número de versión (v1, v2, v3), etcétera.

    • Algunos ejemplos pueden ser: DM-001A, SGSI-V1-DM, POL-SGSI-V1.

En el recuadro superior derecho, al lado del título debes identificar también, la siguiente información:

  • Elaborado por:

    • Se recomienda indicar el nombre y rol de la persona responsable de la creación del documento.

  • Versión:

    • Al crear este descriptivo por primera vez, tendremos la versión 1 del documento (lo cuál se puede indicar cómo v1). Por lo tanto, al actualizar este documento, su versión cambiará.

    • Las modificaciones que le sigan se pueden indicar cómo v2, v3, v4, y así sucesivamente.

  • Fecha última de actualización:

    • Se debe actualizar esta fecha cada que se realice algún cambio al documento o se renueve su vigencia.

  • Revisado por:

    • Se recomienda indicar el nombre y rol de la persona responsable de la revisión del documento.

  • Aprobado por:

    • Se recomienda indicar el nombre y rol de la persona responsable de la aprobación del documento.

Hackmetrix insight:

Las personas involucradas en la elaboración, revisión y aprobación del documento no deben ser las mismas.

Esto porque además de que te permite tener varios niveles de validación a tu documentación, te ayuda a cumplir y mantener la segregación de funciones dentro de tu empresa.

Cuando termines de completar la información, debería verse algo similar al ejemplo siguiente:

NOTA: Cada una de las pestañas de nuestro template (las cuales corresponderán a un área de tu empresa) cuenta con un cuadro de versionado, de manera que se pueda tener un control independiente de versiones por área, y con las personas responsables adecuadas. 

Documentar la información

Paso 1

Enlista todos los perfiles de tu organización que se encuentren dentro del alcance del SGSI, tanto de manera vertical como horizontal.

Por ejemplo:

NOTA: Dentro de nuestro template, podrás encontrar este mismo formato en la pestaña “Matriz SoD - Global”.

Paso 2

Ahora sí, debemos validar si existe alguna relación de compatibilidad entre los perfiles enlistados, tomando la siguiente referencia (la puedes encontrar también dentro de nuestro template en la parte superior izquierda de todas las pestañas):

  • Compatibilidad: Al colocar este símbolo indicamos que éstos perfiles cuentan con una relación directa y una dependencia entre sus actividades; por ejemplo que el resultado del trabajo de uno de ellos es necesario para comenzar o terminar el trabajo del otro.

  • 👁‍🗨 Controles requeridos: Al colocar este símbolo indicamos que uno de éstos perfiles debe aplicar controles sobre las actividades de otro; por ejemplo, que el resultado del trabajo de uno de ellos debe ser revisado o incluso aprobado por otra persona.

  • Incompatibilidad: Al colocar este símbolo indicamos que éstos perfiles no cuentan con relación directa y que sus actividades no se impactan entre sí.

Esto te ayudará a identificar si existen accesos indebidos a la información de los sistemas o aplicaciones, ya que se está realizando una separación de funciones correcta entre los diferentes perfiles.

A continuación te explicamos algunos casos para el uso de cada uno de estos símbolos. Recuerda que son solo ejemplos y hay que ajustarlos a las operaciones de tu empresa. 

Ejemplo para el símbolo de “compatibilidad”

Como podemos ver en la imagen siguiente, se indica una compatibilidad cuando el cruce se junta entre un mismo perfil, pero además (y las más importante) cuando hay una relación directa entre las actividades con otros perfiles.

Para nuestro ejemplo indicamos que el Tester y el Diseñador tienen una compatibilidad y esto lo podemos justificar diciendo que el trabajo del Diseñador va a impactar en la manera en la que el Tester debe realizar las pruebas a los desarrollos. 

Ejemplo para el símbolo de “controles requeridos”

Vemos en la siguiente imagen que entre las actividades del Tester y el Desarrollador se indica que hay controles requeridos. Esto quiere decir que el Tester será el encargado de evaluar la funcionalidad del sistema que desarrolló su compañero. 

Ejemplo para el símbolo de “incompatibilidad”:

Aquí vemos un ejemplo donde las actividades del Diseñador no tienen un impacto o dependencia directa en las tareas del Desarrollador, por lo que se indica con el símbolo de incompatibilidad.

Debemos realizar este ejercicio con todos los perfiles enlistados en el paso 1.

Paso 3

Una vez realizado el análisis de relación entre perfiles, debes detallar las actividades de cada una de las áreas que se encuentran dentro de alcance del SGSI, involucradas en tu operación.

Dentro de nuestro template encontrarás varias pestañas con el formato base para realizar esta actividad, y cada pestaña corresponderá a una de las áreas de tu empresa.

La vista dentro del documento es la siguiente:

Como se ve en la imagen anterior, nuestro template te propone algunos ejemplos de actividades del área de Desarrollo, pero es muy importante que sumes, ajustes o elimines todas aquellas que consideres pertinentes, con el objetivo de abarcar todo lo que tu área realice.

Asimismo, podrás añadir tantas pestañas al template como sean necesarias para incluir todas las áreas de la organización alcanzadas.

Con esta información ya podemos completar el formato, y para esto te recomendamos que la persona a cargo del área sea la que defina y documente todas las actividades o tareas que se realizan y quiénes son los responsables de ejecutarlas.

Los pasos generales a seguir para ir llenando estos campos en cada una de tus áreas son los siguientes:

  • Identificar el tipo de actividad principal.

    Por ejemplo: Desarrollo, Gestión, Soporte, Documentación, Reclutamiento.

    Esto es porque en ocasiones un área abarca muchas tareas que pueden implicar diferentes roles y deben ser definidas más a detalle.

  • Identificar todas las tareas asociadas.

    Colócalas de manera vertical, justo al lado derecho de la actividad principal.

  • Identificar los roles/perfiles involucrados en esa actividad principal.

    Los cuales se colocan de manera horizontal.

  • Asigna las tareas al perfil que las realiza (o debe realizarlas).

    Usando el símbolo de compatibilidad ✅.

Para mostrarte un ejemplo práctico, tomaremos como referencia el área de Desarrollo y las tareas sugeridas dentro del template, las cuales se encuentran en orden de ejecución y son las siguientes:

  • Codificar

  • Realizar testing

  • Crear pull request

  • Revisar y aprobar pull request

  • Controlar la ejecución de pasaje a producción

  • Crear diseños

Colocamos todos los puestos involucrados y, posteriormente, usando el símbolo de compatibilidad, asignamos a los responsables de realizarlas.

Nuestro ejemplo completo se vería así:

Aquí te mostramos otro ejemplo de cómo se vería esta asignación de tareas con el área de Recursos Humanos, para las actividades de Reclutamiento:

Debemos realizar este ejercicio con todas las áreas alcanzadas dentro de nuestro SGSI.

Al identificar todas las actividades y tareas que realizan las áreas de nuestra empresa, podemos identificar fácilmente qué realiza o debe realizar cada rol y, en consecuencia, obtendremos una visibilidad a alto nivel de cómo se están realizando nuestros procesos internos, si nuestra segregación de funciones es adecuada y cómo la podemos mejorar.

Recuerda que:

Debes enfocarte específicamente en los roles o puestos que aplican a tu SGSI y que se encuentren dentro del descriptivo de roles y responsabilidades.

La segregación de funciones es muy importante porque te permite delegar correctamente las tareas de cada una de tus áreas, considerando a las personas indicadas para realizarlas e implementando las mejores prácticas a nuestros procesos.

La matriz SoD o de Segregación de Funciones es un documento necesario para conocer si existen conflictos de interés dentro de nuestros procesos, por ejemplo; esto se puede dar con un desarrollador, el cuál no debería desarrollar, aprobar y ejecutar el código en ambiente productivo, él mismo.

Si al hacer esta matriz te das cuenta que tienes casos similares a éste, deberás tomar las medidas de seguridad necesarias para ajustar el flujo de operación.

Además, este documento nos permite fácilmente identificar los riesgos asociados a tu operación y dentro del alcance del SGSI.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
Cómo hacer tu inventario de activos de información
Cómo hacer tu descriptivo de roles y responsabilidades
Cómo hacer tu metodología de gestión de riesgos
Cómo hacer tu matriz de evaluación de requisitos legales y contractuales
Guía para hacer tu matriz SoD
¿Ha quedado contestada tu pregunta?