Ir al contenido principal

Guía para hacer tu matriz SoD

Sigue este paso a paso y podrás terminar tu actividad fácilmente 😎.

En este artículo logramos simplificar la información para darte todo el conocimiento de cómo generar tu matriz SoD. Es aquí donde te explicamos cómo usar nuestro template para que puedas terminar la actividad fácilmente 🚀.

Una matriz SoD (Segregation of Duties, por sus siglas en inglés) tiene como objetivo establecer cada una de las actividades que se realizan en las áreas alcanzadas por tu SGSI y asignar a los responsables más apropiados de llevarlas a cabo.

Es muy importante comprender que no solo se trata de indicar a las personas que hacen o podrían hacer alguna actividad, sino de realizar un análisis completo de si dicha persona es la mejor opción para llevarla a cabo, si esto no implica conflictos de interés o riesgos de seguridad, si realmente ayuda a implementar las medidas de seguridad pertinentes, si hace tus procesos más eficientes, etcétera.

Consideraciones generales 💡

  • Al asignar una actividad a un rol específico, se comprende que ese rol es el que ejecuta dicha actividad. Pero si la actividad cuenta también con un supervisor, autorizador o algo similar, recomendamos indicarlo como una actividad separada o indicando ambos puestos para distinguir una responsabilidad de la otra. Por ejemplo:

    • Opción 1.
      Actividad: Desarrollo de código

      Responsable: Developer

      Supervisor: CTO

    • Opción 2.
      Actividad: Desarrollo de código

      Responsable: Developer

      Actividad: Revisión de código

      Responsable: CTO

  • Las buenas prácticas nos dicen que no es recomendable que una sola persona ejecute demasiadas tareas. Las funciones y responsabilidades de todos tus colaboradores deben estar definidas y acotadas a su área de trabajo y departamento correspondiente.

Explicación general del documento 💻

Este documento (spreadsheet) cuenta con las siguientes 3 pestañas principales:

  • Portada | Versionado

    • Esta pestaña se considera la carátula y es la sección donde debes indicar la información pertinente de elaboración y aprobación del documento para llevar un correcto control de versiones.

  • Instrucciones

    • En esta pestaña encontrarás todas las instrucciones e información relevante sobre el llenado correcto de este documento.

    • Es de suma importancia que leas todo el contenido de esta pestaña detenidamente antes de comenzar.

  • Áreas

    • Cada pestaña corresponde a un área en específico donde se deberá completar la información solicitada.

Ejemplos prácticos📝

A continuación te mostraremos algunos ejemplos prácticos de cómo usar nuestro template.

Para la pestaña de Portada | Versionado

Así se ve inicialmente:

💡Pro Tip: Recuerda leer los comentarios informativos que te deja el equipo de Hackmetrix.

Y se verá algo similar a la imagen siguiente una vez que lo completes:

💡Pro Tip: Recuerda cerrar los comentarios informativos que te deja el equipo de Hackmetrix una vez que ya no los necesites, y eliminar el marcado, es decir, quitar el color de las celdas.

Para la pestaña de Instrucciones

Las instrucciones cuentan con tres apartados:

  • Instrucciones

    • Estas instrucciones son generales, indicando los pasos iniciales a seguir para comprender el objetivo del documento y su estructura.

  • Recuerda que:

    • Corresponde a los pasos a seguir una vez terminado el documento, considerando las acciones pertinentes por parte de tu equipo y lo que debe realizarse dentro de nuestra plataforma.

  • Información sobre el template

    • Aquí encontrarás explicaciones de las columnas y recursos de apoyo para poder completar el template correctamente.

El inicio de cada uno de estos apartados dentro de la pestaña se ve de la siguiente manera:

💡Pro Tip: Lee todo el contenido de esta pestaña, incluidos los comentarios informativos que te deja el equipo de Hackmetrix antes de comenzar a llenar el documento.

Pestaña de “Desarrollo”

Esta pestaña corresponde al área de Desarrollo, y dentro de nuestro template funge como ejemplo para darte una idea de cómo deberías completar las otras pestañas con cada una de las áreas de tu empresa.

💡Pro Tip: Debes considerar solamente las áreas alcanzadas por tu SGSI.

Usualmente todas las empresas cuentan con un área de Desarrollo que es alcanzada por su SGSI, pero si no es tu caso, puedes eliminar la información mostrada y colocar la de otra área de tu organización que sí sea necesaria en este documento.

Pero en caso de que sí cuentes con el área de Desarrollo, recuerda que es muy importante que sumes, ajustes o elimines toda la información que consideres pertinente para alinearla a tu contexto.

Asimismo, podrás añadir tantas pestañas al template como sean necesarias para incluir todas las áreas de la organización alcanzadas por tu SGSI.

La vista inicial de esta pestaña se ve de la siguiente manera:

Como se puede ver en la imagen, se cuenta con las siguientes columnas:

  • Actividades generales

  • Tareas

  • Nombres de los puestos, en este caso tenemos como ejemplo Developer Jr, Developer Sr, QA y Project Manager.

Todas las pestañas del documento solicitarán esta información para cada una de tus áreas.

Ahora bien, para la columna de actividades generales debes indicar el tipo de actividad principal que engloba todas las tareas. Por ejemplo pueden ser actividades de gestión, de soporte, administrativas, etcétera. Un caso más particular para explicar esto es tomando al área de Recursos Humanos, donde podemos tener grupos de tareas que corresponde a reclutamiento, contratación, desvinculación, etcétera.

Para la columna de tareas debes enlistar todas las realizadas por el área en cuestión, intentando ser lo más específico posible ya que de esta forma podrás separarlas y asignarlas correctamente al puesto más adecuado, y generando así la segregación de funciones.

Tomando como referencia la imagen anterior, podemos mencionar los siguientes ejemplos para un área de Desarrollo:

  • Codificar.

  • Realizar testing.

  • Crear pull request.

  • Revisar y aprobar pull request.

  • Controlar la ejecución de pasaje a producción, entre otras.

O para un área de Recursos Humanos podemos tener las siguientes tareas:

  • Investigación de perfiles.

  • Publicación de vacantes.

  • Selección de candidatos.

  • Contratación de personal.

  • Capacitaciones de nuevo ingreso, entre otras.

En las columnas siguientes a la de tareas debes colocar todos los puestos que trabajan dentro del área en cuestión.

Teniendo toda esta información definida, el último paso y el más importante es asignar cada una de las tareas al puesto o puestos que pueden realizarla, analizando, como comentábamos al inicio de este artículo, que la persona cuente con las capacidades y conocimientos necesarios, que no provoque conflictos de interés y que se pueda garantizar la eficiencia de tus procesos.

Dentro del template utilizamos el siguiente símbolo para realizar la asignación de tareas ✅.

Y para completar este documento, debes realizar este ejercicio con todas las áreas alcanzadas dentro de nuestro SGSI 💪.

Recomendaciones ✅

  • Enfócate en las áreas y puestos que aplican a tu SGSI.

  • Recuerda que la segregación de funciones es muy importante porque te permite delegar correctamente las tareas y te ayuda a identificar a las personas indicadas para realizarlas.

  • Evita los conflictos de interés dentro de tus procesos. Por ejemplo esto se puede dar con un desarrollador, el cuál no debería desarrollar, aprobar y ejecutar el código en ambiente productivo él mismo.

  • Identifica oportunidades de mejora e implementa las medidas de seguridad que consideres necesarias para ajustar el flujo de tu operación.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
18. Matriz SoD
Cómo hacer tu matriz SoD
Guía para hacer tu inventario de activos de información
Guía para hacer tu política de SGSI
Guía para hacer tu matriz de riesgos
¿Ha quedado contestada tu pregunta?