Definiendo Los Roles y Responsabilidades ISO 27001

29/4/24, 15:13 Definiendo los Roles y Responsabilidades ISO 27001
Normas Servicios Sobre Pregun
Nosotros Frecuen
Definiendo los Roles y

Responsabilidades ISO 27001
Conoce los principales roles y responsabilidades ISO
27001 que debes tener en tu organización para un SGSI
efectivo.
https://blog.innevo.com/roles-y-responsabilidades-iso-27001 1/14
ISO 27001 Normas Servicios Sobre Pregun
Nosotros Frecuen
Adolfo Mota
dic 1, 2023
Al construir tu Sistema de Gestión de Seguridad de la Información (SGSI) bajo la ISO

27001, asegurarte de que cada miembro clave comprenda claramente su papel es
crucial. En este artículo, exploraremos los roles esenciales y responsabilidades que
impulsarán el éxito de tu SGSI, siguiendo los estándares de la norma ISO 27001.
Sigue leyendo para descubrir cómo fortalecer la seguridad de la información en tu

empresa con un buen equipo.
⏱ Tiempo de lectura: 6 minutos
¿Qué encontrarás en este artículo?
¿Por qué es fundamental para el programa de seguridad comprender los

roles?
Cinco roles y responsabilidades fundamentales para la ISO 27001 y la
seguridad de la información
Líder de Seguridad o Comisario de Seguridad
Consejo de Riesgos de la Información y Administrador de Riesgos
de Seguridad
Auditor Interno de Seguridad
Propietarios de Control
Toda la empresa
Integra el mejor equipo para la seguridad de la información
¿Por qué es fundamental

Normas para el programaSobre
Servicios de Pregun
seguridad comprender los roles? Nosotros Frecuen
La implementación de un programa de seguridad de la información es realmente una

iniciativa de toda la organización. Se necesita el liderazgo de seguridad, a nivel de
departamento y de toda la organización para respaldar, adoptar, impulsar y socializar
los conceptos de seguridad de la información. Un programa de seguridad aislado nunca
podrá superar el nivel de cumplimiento de la casilla.
La buena noticia es que la mayoría de los líderes de la organización comprenden la

importancia de la seguridad de la información y, por lo general, están dispuestos a
respaldar un programa de seguridad del tamaño adecuado y bien pensado.
Si estás a cargo de implementar el programa de seguridad, es tu trabajo comunicar el

"por qué" y el "qué" detrás del programa de seguridad. Y si estás buscando alinearte con
la norma ISO 27001, también será necesario que definas y comuniques los roles y
responsabilidades para lograr la certificación.
Cinco roles y responsabilidades fundamentales para

la ISO 27001 y la seguridad de la información
Si bien el nombre y el lugar específicos en el organigrama pueden variar, todos los
programas de seguridad tienen al menos cinco "tipos de roles". Estos tipos de roles son
un requisito mínimo para cualquier programa de seguridad y un requisito para cumplir
con los requisitos descritos en las cláusulas 4-10 de la norma ISO 27001:
1. Líder de seguridad o comisario de seguridad

2. Administrador de riesgos de seguridad
3. Auditor interno de seguridad
4. Propietarios de control
5. Todo el personal de la empresa
Nosotros Frecuen
Nosotros Frecuen
1) Líder de Seguridad o Comisario de Seguridad
Es el líder definido de un sistema de gestión de seguridad de la información (SGSI) y sus

funciones y perfil pueden variar dependiendo de la forma y el tamaño de la
organización.
En algunas organizaciones pequeñas, el liderazgo en seguridad puede compartirse con

miembros de otros departamentos, como el de tecnología de la información, ingeniería
o legal. En las organizaciones más grandes, el líder de seguridad puede ser un director
de seguridad de la información (CISO) o comúnmente conocido como Comisario de
Seguridad, un vicepresidente o un profesional de la seguridad a nivel de director.
En cualquier caso, esta persona debe ser dueño del programa de seguridad de la
información (incluida la responsabilidad y la autoridad formalizadas).
Sus responsabilidades típicas incluyen:

Nosotros Frecuen
1. Definir el contexto del programa de seguridad, incluida la alineación del
programa con los objetivos de la empresa y garantizar que se hayan tenido en
cuenta las partes interesadas adecuadas.
2. Establecimiento del objetivo estratégico, diseño de la hoja de ruta y proyectos
del programa de seguridad, asignación de presupuesto, personal y plan de
trabajo.
3. Desarrollar, rastrear e informar los KPI de seguridad a las partes interesadas
relevantes.
2) Consejo de Riesgos de la Información y Administrador de
Riesgos de Seguridad
La administración de riesgos de seguridad suele consistir en uno o varios comités

frecuentemente conocidos como Consejo de Riesgos de la Información (IRC), Consejo
de Riesgos de Seguridad (SRC) o simplemente Grupo de Riesgos, presidido por un
Administrador de Riesgos de Seguridad.
Estos grupos se encargan de las actividades generales de gestión de riesgos en relación

con la seguridad de la información incluyendo la supervisión, la definición de las
políticas y las actividades de gestión de riesgos.
Estos grupos también están diseñados para ser de naturaleza multifuncional, no

aislados de los profesionales de la seguridad de la información o la tecnología, sino
trabajando en conjunto y coordinadamente.
A menudo, los jefes de departamento de finanzas, recursos humanos, ventas, legal y

otros son representantes en estos consejos y además es conveniente que así sea
porque la representación multifuncional ayuda a impulsar el cambio organizacional y la
socialización de las iniciativas de seguridad de la información, así como a la gestión
multifactorial de riesgos ya que estos frecuentemente se presentan desde varios
orígenes dentro de la organización.
Las tareas fundamentales incluyen:
1. Asistencia a las reuniones trimestrales de gestión de riesgos (trimestral suele

ser un buen ritmo que no es excesivo para los miembros).
2. Definición del proceso de gestión de riesgos, incluido el análisis de riesgos, la

medición de riesgos y el tratamiento de riesgos.
Nosotros del
3. Supervisar la evaluación anual de riesgos, incluida la revisión periódica Frecuen
registro de riesgos.
4. Revisar, aprobar, socializar y hacer cumplir las decisiones de políticas en toda la
organización.
5. Revisión de los resultados de las evaluaciones de seguridad y otras actividades
relacionadas con la seguridad.
6. Encargado de la gestión de incidentes de seguridad y la respuesta a incidentes
de seguridad (puede ser un subcomité o equipo separado bajo la función de
gestión de riesgos).
3) Auditor Interno de Seguridad
Un principio filosófico clave de la norma ISO 27001 es el compromiso de la Dirección

General con la mejora continua. Es por esto por lo que la Dirección debe impulsar la
ejecución de las auditorías internas de seguridad como una parte clave para supervisar
e impulsar la mejora continua de tu programa de seguridad. Debido a que la auditoría
interna debe ser calificada e independiente del SGSI, muchas organizaciones optan por
aprovechar a terceros como una consultora especializada para realizar evaluaciones de
seguridad o entrenar a personal competente y comprometido para realizarla.
Las tareas fundamentales son:

Nosotros Frecuen
1. Estar cualificado para ser auditor interno y realizar una evaluación de seguridad,
por ejemplo, un auditor líder ISO 27001 o similar.
2. Mantenerse independiente del SGSI, sin conflicto de intereses como por
ejemplo tener también en su responsabilidad controles operativos o que rijan el
SGSI.
3. Creación de un plan anual de auditorías intentas de seguridad.
4. Ejecución del plan de auditoría.
5. Informar de los resultados de las auditorías de seguridad a la dirección general.
4) Propietarios de Control
Los propietarios de control son las personas responsables de la operación de las

diversas tareas y deberes que componen el programa de seguridad. Muchas de estas
funciones están definidas por los controles descritos en el anexo A de la norma ISO
27001. Estas funciones variarán ampliamente de una organización a otra, pero es
fundamental que una organización se tome el tiempo necesario para definir estas
funciones y medir periódicamente su desempeño.
Las tareas esenciales son:
1. Ingeniería, desarrollo y operaciones seguras (DevOps) en la empresa, con los

proveedores, con los asociados y con los clientes.
2. Operaciones de seguridad, como la gestión de vulnerabilidades, la supervisión
de intrusiones y la defensa activa.
3. Ingeniería de red y soporte perimetral haciendo evaluaciones de configuración
de dispositivos activos y pasivos de la red, desde impresoras, móviles, hasta
enrutadores y switches, acceso a dispositivos activos y pasivos, acceso a centro
de datos, control de configuración de la red informática y equipos conectados,
etc.
4. Gestionar la disponibilidad de sistemas, incluidas las copias de seguridad y su
restauración, autorización de accesos, altas/bajas de usuarios, retiro definitivo
de versiones de software, instalación de aplicaciones libres o de paga, lista de
aplicaciones autorizadas institucionales, acceso a bases de datos y sistemas, etc.
5) Todo el personal de la empresa
Cabe destacar que todos los colaboradores desempeñan un papel fundamental en lo

que respecta a la seguridad de la información. De acuerdo con un estudio de la IAPP
(Inter-Access Point Protocol, Data indicates human error prevailing cause of breaches,
incidents), el principal origen de los incidentes de seguridad está en el propio personal
Nosotros Frecuen
de la empresa, ya sea por omisión, error operativo e incluso intención.
Sus responsabilidades típicas relacionadas con la seguridad de la información

incluyen:
1. Capacitación básica de concientización sobre seguridad del usuario final (por

ejemplo, phishing por correo electrónico, navegación por Internet).
2. Capacitación sobre lo que se debe y no se debe hacer acorde a su función (por
ejemplo, una persona en finanzas debe entender que nunca debe cambiar el
número de ruta de la cuenta bancaria de un cliente en función de una solicitud
por correo electrónico).
3. Formación basada en requisitos normativos o contractuales.
Integra el mejor equipo para la seguridad de la

información
Asegura el éxito de tu sistema de gestión de seguridad de la información al elegir a los
profesionales más comprometidos y capacitados. En este viaje, recordemos que
"ninguno de nosotros es tan inteligente como todos nosotros juntos". La conformación
de un equipo motivado, con una comprensión plena del SGSI y la ISO 27001 y
respaldado por la dirección general, es esencial.
Nosotros Frecuen
Si eres el líder de sistemas y estás pensando en abordar esto solo con el apoyo de tu
personal de sistemas te adelantamos que tendrás una gran cantidad de complicaciones.
Invita a aquellos que puedan aportar al desarrollo de tu SGSI, sin importar su área, y
juntos construirán un sólido futuro en seguridad de la información. ¡La excelencia
comienza con la elección del equipo correcto!
¿Listo para llevar tu seguridad de la información al siguiente nivel con la norma ISO
27001? Estamos aquí para apoyarte en cada paso del camino. Si necesitas orientación o
acompañamiento en la implementación, acércate a Innevo.
Nuestro equipo de consultores especializados está comprometido a hacer que este

proceso sea eficiente y exitoso para tu empresa.
Contáctanos para iniciar juntos este viaje hacia una seguridad de la información
robusta y conforme. ¡Estamos aquí para respaldarte!
Logra la Certificación ISO 27001

Cumple los requisitos, optimiza la seguridad de tus operaciones y ahorra
tiempo, dinero y enredos con un plan de acompañamiento.
¿Comenzamos?
¡Contáctanos para atención personalizada!
¿Qué te pareció esta publicación?

Nosotros Frecuen
Calificar
PUBLICACIONES SIMILARES
ISO 27001
Evaluación de Riesgos de Seguridad de la Información

Conoce el proceso de evaluación de riesgos de seguridad de la información para
identificar y priorizar los riesgos de tu organización.
TANIA LÓPEZ MAR 10, 2023

Nosotros Frecuen
ISO 27001
SGSI: Qué es y Cómo Implementarlo

Conoce qué es un SGSI, por qué lo necesitas en tu empresa y cómo
implementarlo para que sea exitoso.
TANIA LÓPEZ ENE 20, 2023
Nosotros Frecuen
Procesos ISO 27001
Innevo
Home
Somos una
consultora especializada en Sobre Nosotros
mejora de procesos desde
Preguntas Frecuentes
hace 20 años.
Contáctanos
Ciudad de México
| Guadalajara
Blog
MEJORES EMPRESAS,
MEJOR SOCIEDAD
LinkedIn | X - Twitter Desarrollo de Software

Seguridad de la Información
Nosotros Frecuen
Servicios de TI
Gestión Empresarial
Gestión de Proyectos
Procesos
Normas Servicios
ISO 20000 Consultoría
ISO 27001 Evaluaciones CMMI
ISO 29110 Cursos Oficiales CMMI
CMMI Servicios
CMMI Desarrollo
ITIL para mi empresa
Todos los derechos reservados. © 2022 Innevo

Aviso de privacidad.
Powered by Atlas - a B2B SaaS HubSpot theme

Definiendo Los Roles y Responsabilidades ISO 27001

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Definiendo Los Roles y Responsabilidades ISO 27001

Cargado por

Copyright:

Formatos disponibles

29/4/24, 15:13 Definiendo los Roles y Responsabilidades ISO 27001

Normas Servicios Sobre Pregun