La implementación de un programa de seguridad requiere el apoyo de toda tu empresa y de sus diferentes áreas y departamentos, por lo que es muy importante asignar las actividades a los que se encuentren más capacitados en el tema correspondiente.
Dado lo anterior, seguro te surgen preguntas como ¿a quién debo asignar este documento? ¿puedo involucrar a más de un área o rol para esta actividad? ¿cómo asegurar una correcta asignación de actividades?
¡Que no panda el cúnico! Aquí te damos las respuestas a todas estas preguntas 🚀.
A continuación te compartimos el listado de actividades con las recomendaciones de quién podría realizar cada una de ellas, tomando como referencia el plan de acción proporcionado por Hackmetrix para implementar ISO 27001 e ISO 27002.
Recuerda que esto es solo una guía y tú puedes decidir si es necesario añadir o reducir las personas que participan en la generación de tus documentos y ejecución de tus actividades, pero recordemos que la alta dirección y el comité de seguridad deben estar involucrados en todo el proceso y conocer lo que se está realizando.
¿A quién asignar la ejecución o elaboración de cada una de las actividades?
1. Alcance del SGSI
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
2. Estructura de SI
Alta Dirección
Comité de Seguridad de la Información
3. Política de Comité de Seguridad de la Información
Alta Dirección
Comité de Seguridad de la Información
4. Política de SGSI
Alta Dirección
Comité de Seguridad de la Información
5. Política de Seguridad de la Información
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
Área de Tecnología | Operaciones TI
Área de Desarrollo
6. Descriptivo de roles y responsabilidades
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
Área de Tecnología | Operaciones TI
Área de Desarrollo
7. Plan de Seguridad de la Información
Alta Dirección
Comité de Seguridad de la Información
8. Programa de Capacitación
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
9. Taller de Concientización de Seguridad
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
Área de Tecnología | Operaciones TI
10. Taller de Gestión de riesgos
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
Área de Tecnología | Operaciones TI
💡 Todos los roles involucrados en la gestión de riesgos dentro de la empresa deben participar en esta actividad.
11. Metodología de Gestión de Riesgos
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
💡 Todos los roles involucrados en la gestión de riesgos dentro de la empresa deben participar en esta actividad.
12. Inventario de activos
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
💡 Todos los roles que sean propietarios de activos de la empresa deben participar en esta actividad.
13. Matriz de Riesgos
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
💡 Todos los roles involucrados en la gestión de riesgos dentro de la empresa, dueños de riesgos y responsables de seguimiento deben participar en esta actividad.
14. Declaración de Aplicabilidad
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
💡 Todos los roles involucrados en la gestión de riesgos dentro de la empresa deben participar en esta actividad.
15. Minuta de Sesión de Comité de Seguridad (o cualquier otra minuta de sesión de comité generada)
Alta Dirección
Comité de Seguridad de la Información
16. Procedimiento de Preselección y Selección de Personal
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
17. Proceso de Contratación y Desvinculación de Personal
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
18. Matriz SoD
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
Área de Tecnología | Operaciones TI
Área de Desarrollo
Área de Customer Success | Soporte al cliente
💡 Las áreas que son alcanzadas por tu SGSI son que la que deben participar en esta actividad.
19. Matriz de Accesos basada en Roles
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
Área de Tecnología | Operaciones TI
Área de Desarrollo
Área de Customer Success | Soporte al cliente
💡 Las áreas que son alcanzadas por tu SGSI son que la que deben participar en esta actividad.
20. Procedimiento de Gestión de Accesos
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
Área de Desarrollo
21. Procedimiento de Revisión de Accesos
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
Área de Desarrollo
22. Política BYOD | "Trae tu dispositivo"
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
23. Política de Escritorios Limpios
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
24. Política de Tecnología y Operaciones de TI
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
Área de Desarrollo
25. Procedimiento Gestión de Incidentes de Seguridad
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
Área de Customer Success | Soporte al cliente
26. Procedimiento de Gestión de Backups
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
27. Procedimiento de Gestión de Cambios Productivos
Alta Dirección
Comité de Seguridad de la Información
Área de Desarrollo
28. Procedimiento de Gestión de Claves Públicas y Privadas
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
29. Política de Gestión de Logs
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
30. Procedimiento de Gestión de Logs
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
31. Procedimiento de Gestión de Vulnerabilidades
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
32. Diagrama de Infraestructura
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
33. Plan de Recuperación ante Desastres
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
34. Plan de Continuidad
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
35. Capacitación de Desarrollo Seguro
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
Área de Desarrollo
36. Política de Desarrollo Seguro
Alta Dirección
Comité de Seguridad de la Información
Área de Desarrollo
37. Metodología de Ciclo de Vida de Desarrollo
Alta Dirección
Comité de Seguridad de la Información
Área de Desarrollo
38. Guía de seguridad en el desarrollo y mantenimiento de sistemas
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
Área de Desarrollo
39. Política de Tratamiento de la Información
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
Roles que son propietarios de activos
40. Procedimiento de Transferencia de Información por Medios Extraíbles
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
Roles que son propietarios de activos
41. Ethical Hacking + Escaneo de Vulnerabilidades
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
Proveedor del servicio de Ethical Hacking
42. Validar requisitos de SI en contratos con empleados y proveedores
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
Área de Legales | Contractuales
43. Matriz de Evaluación de Proveedores
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
Área de Legales | Contractuales
44. Matriz de Evaluación de Requisitos Legales y Contractuales
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
Área de Legales | Contractuales
45. Política de Seguridad por Capas
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
46. Prueba de Continuidad
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
47. Plan de Comunicación del SGSI
Alta Dirección
Comité de Seguridad de la Información
48. Metodología de Indicadores de Seguridad de la Información
Alta Dirección
Comité de Seguridad de la Información
49. Listado de métricas e indicadores
Alta Dirección
Comité de Seguridad de la Información
50. Plan y Programa de Auditoría
Alta Dirección
Comité de Seguridad de la Información
51. Procedimiento de Acciones Correctivas y de Mejora
Alta Dirección
Comité de Seguridad de la Información
52. Minuta de Sesión de Comité de Seguridad (o cualquier otra minuta de sesión de comité generada)
Alta Dirección
Comité de Seguridad de la Información
53. Remediaciones Ethical Hacking + Escaneo de Vulnerabilidades
Alta Dirección
Comité de Seguridad de la Información
Área de Tecnología | Operaciones TI
Proveedor del servicio de Ethical Hacking
54. Evidencia de controles implementados ISO27002
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
Área de Tecnología | Operaciones TI
Área de Desarrollo
Área de Customer Success | Soporte al cliente
Área de Legales | Contractuales
💡 Todas las áreas alcanzadas por tu SGSI deben participar en la recolección de evidencias.
55. Auditoría interna del SGSI
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
Área de Tecnología | Operaciones TI
Área de Desarrollo
Área de Customer Success | Soporte al cliente
Área de Legales | Contractuales
💡 Todas las áreas alcanzadas por tu SGSI deben participar en la auditoría interna.
56. Plan de tratamiento de acciones correctivas y de mejora
Alta Dirección
Comité de Seguridad de la Información
Área de Recursos Humanos
Área de Tecnología | Operaciones TI
Área de Desarrollo
Área de Customer Success | Soporte al cliente
Área de Legales | Contractuales
💡 Todas las áreas alcanzadas por tu SGSI pueden participar en esta actividad, dependiendo de los hallazgos encontrados durante la auditoría interna.
57. Minuta de Sesión de Comité de Seguridad (o cualquier otra minuta de sesión de comité generada)
Alta Dirección
Comité de Seguridad de la Información
Te sugerimos leer también nuestro artículo Comunicación: Una tarea clave para el éxito de tu programa de seguridad para que la implementación de tu programa de seguridad sea un éxito en todas sus fases 💪.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.