Un análisis del proceso de responsabilidad y autoridad en la seguridad de la información en las empresas.
Vamos a cubrir:
• Como establecer la organización de la seguridad de la información en las empresas.
• Asignación de roles, responsabilidades y autoridad en los procesos del SGSI.
• Asignación de roles, responsabilidades y autoridad en los controles de la seguridad de la información.
Presentador:
Ing. Manuel Collazos Balaguer es Director General de Prime Profesional SAC, Ingeniero de la Universidad Nacional de Ingeniería, Certificados ISO 27001 Master, consultor, auditor e instructor internacional en Sistemas de Gestión de Riesgos.
Organizador: Ardian Berisha
Data: November 16, 2016
Link of the recorded session published on YouTube: https://youtu.be/OF3l_9QeJAA
Asignando roles, responsabilidad y autoridad en la seguridad de la información
1.
2. Manuel Collazos Balaguer
Director General
Ing. Manuel Collazos Balaguer es Director General de Prime Profesional SAC, Ingeniero de la
Universidad Nacional de Ingeniería, Instructor internacional de PECB Canadá, Instructor de BASC
(Business Alliance for Secure Commerce), implementador y auditor líder en más de 50 proyectos de
sistemas de gestión.
.
(511) 222-1249
manuel.collazos@prime.pe
www.prime.pe
linkedin.com/primeprofesional
https://twitter.com/PrimeLatam
https://www.facebook.com/Prime.Profesional
3. www.prime.pe
El buen desempeño del SGSI se ve afectado cuando en una
organización, no se asignan claramente los roles,
responsabilidades y autoridades.
El personal de una organización no asume sus roles,
responsabilidades y autoridades, sino entiende las políticas y
procedimientos.
Roles-Responsabilidad-Autoridad
en la seguridad de la información
4. www.prime.pe
1. Requisito de la Norma ISO/IEC 27001:2013
(Cláusula 5.3 y Anexo A).
2. Cómo establecer un proceso de asignación de
roles, responsabilidad y autoridad.
3. La organización de la seguridad de la
información.
4. La gestión de los controles.
5. www.prime.pe
Requisito de la ISO/IEC 27001:2013
Cláusula 5.3 Roles, responsabilidad y autoridad.
La alta gerencia deberá asegurar que se asignen y comuniquen las responsabilidades
y autoridades para roles relevantes a la seguridad de la información.
La alta gerencia asignará la responsabilidad y autoridad para:
a) Asegurar que el sistema de gestión de seguridad de la información esté conforme
a los requisitos de esta Norma Internacional; y
b) Reportar sobre el desempeño del sistema de gestión de seguridad de la
información a la alta gerencia.
NOTA: La alta gerencia también puede asignar responsabilidades y autoridades para
informar sobre el desempeño del sistema de gestión de seguridad de la información
dentro de la organización.
6. www.prime.pe
A.6.1.1 Roles y responsabilidades de seguridad de la información
Control
Se debe definir y asignar todas las responsabilidades de seguridad de la información.
A.6.1.2 Segregación de tareas
Control
Los deberes y áreas de responsabilidad en conflicto deben segregarse para reducir
oportunidades de modificación o mal uso no autorizado o no intencional de los
activos de la organización.
Requisito de la ISO/IEC 27001:2013
7. www.prime.pe
A.7.1.2 Términos y condiciones del empleo
Control
Los acuerdos contractuales con los empleados y contratistas deberán estipular sus
responsabilidades y las responsabilidades de la organización respecto de la
seguridad de la información.
Requisito de la ISO/IEC 27001:2013
A.7.2.1 Responsabilidades de la gerencia
Control
La gerencia exigirá a todos los empleados y contratistas aplicar la seguridad de la
información de acuerdo con las políticas y procedimientos establecidos de la
organización.
A.7.3.1 Terminación o cambio de responsabilidades del empleo.
Control
Se definirá, comunicará al empleado o contratista y se hará cumplir las
responsabilidades y deberes de seguridad de la información que siguen siendo
válidos luego de la terminación o cambio de empleo.
8. www.prime.pe
Proceso de asignación de roles,
responsabilidad y autoridad
Establecer una
organización en la
seguridad de la
información
Definir los roles,
responsabilidades
y autoridad en los
proceso del SGSI
Definir los roles,
responsabilidades
y autoridad en los
controles
9. www.prime.pe
ROLES CARGO
Alta Dirección Directorio
Oficial de Seguridad Gerente de Seguridad
Director Ejecutivo Gerente General
Propietarios de riesgos Gerencias
Responsables de los controles Subgerencias / Jefaturas
Responsable de implementar
los controles
Subgerencias / Jefaturas
Operador de los controles Subgerencias / Jefaturas
Responsables del monitoreo Subgerencias / Jefaturas
Propietarios de activos Subgerencias / Jefaturas
Organización de la Seguridad de la
Información
10. www.prime.pe
Organización de la Seguridad de la
Información
Operativo
Táctico
Estratégico Director
Gerente
Gerencia
Operativo
Subgerencia X Subgerencia Y
Gerencia
Comercial
Jefe de Ventas
Gerencia
Tecnológica
Subgerencia de
Desarrollo
Subgerencia de
Operaciones de
TI
Gerencia
Administrativo
Subgerencia de
RRHH
Donde asignar los roles, responsabilidades y autoridad en la seguridad de la información
11. www.prime.pe
La gestión de controles
Controles
R
(Encargado)
Opera el
control
A
(Responsable)
Gestor del
control
S
(Soporte)
Soporte de las
operaciones
del control
C
(Consultado)
Gestor de
seguridad de
la información
I
(Informado)
Propietarios
de los activos
afectados
V
(verificador)
Monitoreo de
la operación
del control
S
(Firmante)
Aprueba la
operación del
control
Concienciación, capacitación
y entrenamiento en la
seguridad de la información
Subgerencia de
desarrollo de
talento
Gerencia de
Recursos
Humanos
Infraestructura
tecnológica,
Logística
Oficial de
Seguridad
Gerencias
Gerencia de
Recursos
Humanos
Oficial de
Seguridad
Cribado
Subgerencia de
administración
del personal
Gerencia de
Recursos
Humanos
Proveedores,
Personas que
brindan
examenes,
entrevistas.
Oficial de
Seguridad
Gerencias Gerencias
Gerencia de
Recursos
Humanos
12. www.prime.pe
La gestión de controles
Diseño del
control
Implementación
OperaciónMonitoreo
Mejora
A QUIEN
ASIGNAMOS LA
RESPONSABILIDAD
13. www.prime.pe
Conclusiones
La Alta Dirección debe tomar conciencia y liderazgo en asignar los roles,
responsabilidades y autoridades en la seguridad de la información.
Antes de asignar un rol, responsabilidad y autoridad, debemos dotar de concienciación
y capacidad.
Antes de asignar roles, responsabilidades y autoridades, debemos implantar una
organización en la seguridad de la información, basada en el marco de referencia del
SGSI.
Un SGSI donde no se ha establecido un proceso claro en la asignación de
roles, responsabilidades y autoridades, no es eficaz, por lo tanto los
documentos, controles y otros elementos no son eficaces.
Existen técnicas para asignar roles y responsabilidades en la gestión de los controles,
como la matriz RASCI-VS, o el modelo del ciclo de vida del control.
La autoridad se establece bajo la condiciones de las rendiciones de cuenta en los
diferentes niveles.
14. ISO 27001 Cursos de Formación
ISO/IEC 27001 Introducción
1 Day Course
ISO/IEC 27001 Fundación
2 Days Course
ISO/IEC 27001 Implementador Principal
5 Days Course
ISO/IEC 27001 Auditor Líder
5 Days Course
Los honorarios de examen y certificación están incluidos en el precio de la formación.
https://www.pecb.com/iso-iec-27001-training-courses| www.pecb.com/events