Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Analizaremos las funciones y obligaciones del personal clave que interactúa con el SGSI. Como norma
general se entenderá que las normas y obligaciones afectan por igual a todos (internos y externos) salvo
se indique expresamente lo contrario (bien desarrollado o mediante una excepción).
Comité de seguridad
El comité de seguridad compuesto de los diferentes responsables de la organización, sus funciones
serán las siguientes:
Administradores (red, sistemas operativos, aplicaciones y bases de datos): serán los responsables de los
máximos privilegios, y por tanto con alto riesgo de que una actuación errónea o incorrecta pueda
afectar a los sistemas. Tendrá acceso a todos los sistemas necesarios para desarrollar su función y
resolver los problemas que surjan.
Operadores (red, sistemas operativos, aplicaciones y bases de datos): sus actuaciones están limitadas
dentro de los sistemas de información y generalmente supervisadas por los administradores, utilizarán
las herramientas de gestión disponible y autorizada. En principio no deben tener acceso a los ficheros
que contengan datos personales salvo la tarea lo requiera.
Como cualquier otro empleado de la organización el personal con acceso privilegiado y personal
técnico debe cumplir con las obligaciones establecidas en el documento, extremando aún más las
precauciones al realizar acciones en el sistema de información.
Los usuarios con acceso a los sistemas de información y con acceso a los sistemas de información sólo
podrán acceder a aquellos que estén autorizados y sean necesarios para el desempeño de su función.
Por tanto, todos los usuarios involucrados en el uso de sistemas de información deberán cumplir con las
siguientes obligaciones, dependiendo de la función que realicen:
• Guardar el secreto de la información a la que tuviere acceso, incluso aún después de haber
finalizado la relación con la organización.
• Conocer y cumplir la normativa interna en cuestión de seguridad de la información y
especialmente la referida a la protección de datos de carácter personal.
• Conocer y atenerse a las responsabilidades y consecuencias en caso de incurrir en el
incumplimiento de la normativa interna.
• Respetar los procedimientos, mecanismos y dispositivos de seguridad, evitando cualquier
intento de acceso no autorizado o recursos no permitidos.
• Usar de forma adecuada los procedimientos, mecanismos y controles de identificación y
autentificación ante los sistemas de información. En el caso particular de usuarios y
contraseñas, se deberá cumplir lo específicamente previsto en la normativa adjunta (sintaxis,
distribución, custodia, etc.).
• Utilizar las contraseñas según las instrucciones recibidas al respecto, tampoco informarlas ni
cederlas a terceros ya que son de carácter personal y con uso exclusivo por parte del titular.
• Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y
contraseña) ha sido comprometido o está siendo utilizado por otra persona, debe proceder al
cambio de contraseña y comunicar la correspondiente incidencia de seguridad.
• Proteger especialmente los datos personales de la organización que con carácter excepcional
tuvieran que almacenarse, usarse o trasportarse fuera de trabajo (oficinas de clientes,
instalaciones temporales, propio domicilio, etc.).
• Salir o bloquear el acceso de los ordenadores u otros dispositivos similares, cuando se encuentre
ausente de su puesto de trabajo.
• Los usuarios deben notificar al Responsable de Seguridad de la organización cualquier
incidencia que detecten que afecte o pueda afectar a los datos de los sistemas de información
(pérdida de información, acceso no autorizado por otras personas, recuperación de datos, etc.).
• Entregar cuando sea requerido por la organización, y especialmente cuando cause baja en la
empresa, las llaves, claves, tarjetas de identificación, material, documentación, equipos
dispositivos y cuantos activos sean de propiedad de la empresa.
El Responsable de Seguridad es la persona la persona que coordina y controla las medidas de seguridad
aplicables en la organización.
• Asesorar en la definición de requisitos sobre las medidas de seguridad que se deben adoptar.
• Validar la implantación de los requisitos de seguridad necesarios.
• Revisar periódicamente los sistemas de información y elaborar un informe de las revisiones
realizadas y los problemas detectados.
• Verificar la ejecución de los controles establecidos según lo dispuesto en el documento de
seguridad.
• Mantener actualizadas las normas y procedimientos en materia de seguridad de afecten a la
organización.
• Definir y comprobar la aplicación del procedimiento de copias de respaldo y recuperación de
datos.
• Definir y comprobar la aplicación del procedimiento de notificación y gestión de incidencias.
• Controlar que la auditoría de seguridad se realice con la frecuencia necesaria.
• Analizar los informes de auditoría y si lo considera necesario modificar las medidas correctoras
para prevenir incidentes.
• Trasladar los informes de auditoría a la dirección.
• Establecer los controles y medidas técnicas y organizativas para asegurar los sistemas de
información.
• Gestionar y analizar las incidencias de seguridad acaecidas en la organización y su registro
según el procedimiento indicado en el Documento de Seguridad.
• Coordinar la puesta en marcha de las medidas de seguridad y colaborar en el cumplimiento y
difusión del Documento de Seguridad.