4.

Gestin de roles y responsabilidades

Analizaremos las funciones y obligaciones del personal clave que interacta con el SGSI. Como norma
general se entender que las normas y obligaciones afectan por igual a todos (internos y externos) salvo
se indique expresamente lo contrario (bien desarrollado o mediante una excepcin).

Comit de seguridad
El comit de seguridad compuesto de los diferentes responsables de la organizacin, sus funciones
sern las siguientes:
- Implantar las directrices del comit de direccin.
- Asignar roles y funciones en materia de seguridad.
- Presentar la aprobacin de polticas, normas y responsabilidades en materia de seguridad.
- Validar el mapa de riesgos y sus acciones.
- Validar el plan director de seguridad.
- Supervisar el plan de continuidad del negocio.
- Velar por el cumplimiento de la legislacin vigente en materia de seguridad.
- Promover la formacin y cultura de seguridad.
- Aprobar y revisar peridicamente el SGSI.
En nuestra organizacin estar compuesto por las siguientes personas:
- Representante de la direccin.
- Responsable de Seguridad de la Organizacin.
- Responsable de Explotacin de Sistemas.
- Responsable de Desarrollo y proyectos.
- Responsable de Infraestructuras, Sistemas y Comunicaciones.
- Responsable de Jurdico.
- Responsable de Administracin y Personal.
- Equipo de asesores especializados en seguridad.

Funciones y obligaciones del personal:

Los empleados y las entidades relacionadas con los sistemas de informacin estarn obligados a
respetar las normas, tanto con carcter general como especfico. A efectos de garantizar el
cumplimiento de estas obligaciones, se ha definido una poltica general, contenida en el presente
documento.
Confidencialidad, respecto a la informacin y documentacin que reciben y/o usan
perteneciente a la organizacin o de su responsabilidad.
No incorporar a la organizacin informacin o datos sin autorizacin de la entidad.
No ceder datos de carcter personal ni usarlos con una finalidad distinta por la que han sido
recogidos (fichero).
Comunicar al responsable de seguridad cualquier incidencia respecto a la seguridad de la
informacin.

Personal con acceso privilegiado y personal tcnico.

El personal tcnico que administra el sistema de acceso a los sistemas de informacin no tiene por qu
estar presente en todos los casos, siendo en algunas ocasiones subcontratado o asumido por otros roles.
En cualquiera de los casos, se podra clasificar en las siguientes categoras segn sus funciones:
Administradores (red, sistemas operativos, aplicaciones y bases de datos): sern los responsables de los
mximos privilegios, y por tanto con alto riesgo de que una actuacin errnea o incorrecta pueda
afectar a los sistemas. Tendr acceso a todos los sistemas necesarios para desarrollar su funcin y
resolver los problemas que surjan.
Operadores (red, sistemas operativos, aplicaciones y bases de datos): sus actuaciones estn limitadas
dentro de los sistemas de informacin y generalmente supervisadas por los administradores, utilizarn
las herramientas de gestin disponible y autorizada. En principio no deben tener acceso a los ficheros
que contengan datos personales salvo la tarea lo requiera.
Mantenimiento de los sistemas y aplicaciones: personal responsable de la resolucin de incidencias en
sistemas hardware y software. En principio no deben tener acceso a los datos de los sistemas de
informacin salvo la tarea lo requiera.
Como cualquier otro empleado de la organizacin el personal con acceso privilegiado y personal
tcnico debe cumplir con las obligaciones establecidas en el documento, extremando an ms las
precauciones al realizar acciones en el sistema de informacin.
A continuacin identificaremos algunas de las funciones y responsabilidades exclusivas del personal de
tcnico y con acceso privilegiado:
-

Procurar que la integridad, autentificacin, control de acceso auditora y registro se contemplen

e incorporen en el diseo, implantacin y operacin de los sistemas de informacin y
telecomunicaciones.
Procurar la confidencialidad y disponibilidad de la informacin almacenada en los sistemas de
informacin (ya sea de forma electrnica o no) as como su salvaguarda mediante copias de
seguridad de una forma peridica.
Conceder a los usuarios acceso nicamente a los datos y recursos a los que estn autorizados y
precisen para el desarrollo de su trabajo.
No acceder a los datos aprovechando sus privilegios sin autorizacin del Responsable de
Seguridad.
Custodiar con especial cuidado los identificadores y contraseas que dan acceso a los sistemas
con privilegios de administrador.
Notificar las incidencias oportunas ante cualquier violacin de las normas de seguridad o
vulnerabilidades detectadas en los sistemas.
No revelar a terceros ninguna posible debilidad en materia de seguridad de los sistemas sin
previa autorizacin del Responsable de Seguridad y con el propsito de su correccin.

Personal con perfil de usuario.

Los usuarios con acceso a los sistemas de informacin y con acceso a los sistemas de informacin slo
podrn acceder a aquellos que estn autorizados y sean necesarios para el desempeo de su funcin.

Por tanto, todos los usuarios involucrados en el uso de sistemas de informacin debern cumplir con las
siguientes obligaciones, dependiendo de la funcin que realicen:

Guardar el secreto de la informacin a la que tuviere acceso, incluso an despus de haber

finalizado la relacin con la organizacin.
Conocer y cumplir la normativa interna en cuestin de seguridad de la informacin y
especialmente la referida a la proteccin de datos de carcter personal.
Conocer y atenerse a las responsabilidades y consecuencias en caso de incurrir en el
incumplimiento de la normativa interna.
Respetar los procedimientos, mecanismos y dispositivos de seguridad, evitando cualquier
intento de acceso no autorizado o recursos no permitidos.
Usar de forma adecuada los procedimientos, mecanismos y controles de identificacin y
autentificacin ante los sistemas de informacin. En el caso particular de usuarios y
contraseas, se deber cumplir lo especficamente previsto en la normativa adjunta (sintaxis,
distribucin, custodia, etc.).
Utilizar las contraseas segn las instrucciones recibidas al respecto, tampoco informarlas ni
cederlas a terceros ya que son de carcter personal y con uso exclusivo por parte del titular.
Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y
contrasea) ha sido comprometido o est siendo utilizado por otra persona, debe proceder al
cambio de contrasea y comunicar la correspondiente incidencia de seguridad.
Proteger especialmente los datos personales de la organizacin que con carcter excepcional
tuvieran que almacenarse, usarse o trasportarse fuera de trabajo (oficinas de clientes,
instalaciones temporales, propio domicilio, etc.).
Salir o bloquear el acceso de los ordenadores u otros dispositivos similares, cuando se encuentre
ausente de su puesto de trabajo.
Los usuarios deben notificar al Responsable de Seguridad de la organizacin cualquier
incidencia que detecten que afecte o pueda afectar a los datos de los sistemas de informacin
(prdida de informacin, acceso no autorizado por otras personas, recuperacin de datos, etc.).
Entregar cuando sea requerido por la organizacin, y especialmente cuando cause baja en la
empresa, las llaves, claves, tarjetas de identificacin, material, documentacin, equipos
dispositivos y cuantos activos sean de propiedad de la empresa.

Funciones y obligaciones del responsable de Seguridad

El Responsable de Seguridad es la persona la persona que coordina y controla las medidas de seguridad
aplicables en la organizacin.
Las principales funciones asociadas a los Responsables de Seguridad:

Asesorar en la definicin de requisitos sobre las medidas de seguridad que se deben adoptar.
Validar la implantacin de los requisitos de seguridad necesarios.
Revisar peridicamente los sistemas de informacin y elaborar un informe de las revisiones
realizadas y los problemas detectados.
Verificar la ejecucin de los controles establecidos segn lo dispuesto en el documento de
seguridad.
Mantener actualizadas las normas y procedimientos en materia de seguridad de afecten a la
organizacin.

Definir y comprobar la aplicacin del procedimiento de copias de respaldo y recuperacin de

datos.
Definir y comprobar la aplicacin del procedimiento de notificacin y gestin de incidencias.
Controlar que la auditora de seguridad se realice con la frecuencia necesaria.
Analizar los informes de auditora y si lo considera necesario modificar las medidas correctoras
para prevenir incidentes.
Trasladar los informes de auditora a la direccin.
Establecer los controles y medidas tcnicas y organizativas para asegurar los sistemas de
informacin.
Gestionar y analizar las incidencias de seguridad acaecidas en la organizacin y su registro
segn el procedimiento indicado en el Documento de Seguridad.
Coordinar la puesta en marcha de las medidas de seguridad y colaborar en el cumplimiento y
difusin del Documento de Seguridad.