Seguridad de la Información: Las tareas del responsable del Sistema ISO 27001 - Ingertec
LlamarPresupuesto

Seguridad de la Información: Las tareas del responsable del Sistema ISO 27001

¿Qué tiene que hacer un responsable de la Seguridad de la Información?

Las tareas del responsable del Sistema ISO 27001Definir las funciones de la Segudidad de la Información es el siguiente paso después de la decisión de implantar la norma ISO 27001 en la empresa. Para ello debemos designar a un responsable de la ejecución del nuevo proyecto que finalmente se convertirá en el Sistema de Gestión de Seguridad de la Información (SGSI)  según ISO 27001. El responsable de la seguridad de la Información – CISO chief information security officer – además de ser el especialista de la norma 27001 en la empresa, deberá tener una profunda comprensión de los controles y los pasos necesarios para la certificación.

En este artículo les dejamos una pincelada sobre las funciones que asumirá esta nueva figura en la empresa.

Está claro que en pequeñas y medianas empresas el papel de CISO lo asumirá alguien con otras funciones ya que ISO 27001 está pensada para ser aplicable a todo tipo de empresas. Sin embargo, este es un punto clave ya que la seguridad de la información va más allá de la seguridad informática o la seguridad a secas en una empresa.

Es por ello, que dejamos estas pautas para que quede claro que las funciones de un responsable de la seguridad de la información adquieren una nueva dimensión. Si esto no se comprende, difícilmente daremos un paso acertado en la designación de esta responsabilidad,

He aquí algunas de las tareas del CISO:

Compliance

  • Identificar convenientemente las partes interesadas relacionadas con el negocio y en especial con la seguridad de la información
  • Identificar los requisitos / necesidades de las partes interesadas
  • Identificar los canales de comunicación con las partes interesadas especialmente con las autoridades y grupos de interés especiales
  • Ejercer una labor de coordinación con las tareas y medios de protección de datos personales
Puede interesarte...  JORNADA GRATUITA ISO 50001 GESTION ENERGÉTICA EN LA ACTIVIDAD EMPRESARIAL

Documentación de la Seguridad de la Información

  • Elaborar una propuesta para la documentación esencial de un sistema de seguridad de la Información.
  • Política de Seguridad de la información
  • Política de control de la Documentación
  • Política de control de accesos
  • Uso aceptable de los activos
  • Evaluación de riesgos
  • Metodología de tratamiento de riesgos
  • Declaración de aplicabilidad
  • Plan de tratamiento de riesgos, etc.
  • Política de revisión y actualización de la documentación

Gestión de Riesgos de la Seguridad de la Información:

  • Formación interna a los empleados para que colaboren en la realización de la evaluación de riesgos
  • Coordinar el proceso de evaluación del riesgo
  • Proponer la selección de controles para la mitigación del riesgo
  • Proponer plazos de aplicación para los controles

Recursos Humanos:

  • Preparar el plan de formación y sensibilización para la seguridad de la información
  • Realizar actividades continuas relacionadas con la sensibilización
  • Planificar cursos de Seguridad de Información para nuevos empleados
  • Plan de medidas disciplinarias para violaciones a la seguridad de la Información

Relación con la Dirección

  • Plan de comunicación de los beneficios de la Seguridad de la Información
  • Proponer objetivos de Seguridad de la Información
  • Informe de resultados sobre indicadores medibles
  • Propuestas de mejoras en la Seguridad de la Información
  • Evaluación de recursos necesarios para la Seguridad de la Información

Mejora del Sistema

  • Plan de control de implementación de las medidas de mejora o acciones correctivas
  • Control de la efectividad de las medidas adoptadas

Control de activos

  • Realizar y mantener el inventario de Activos de la Información
  • Gestión de los equipos y medios fuera de uso de forma segura
Puede interesarte...  Certificado ISO 9001 Guía práctica (7) Operación (I)

Subcontratación

  • Evaluación de riesgos de las actividades subcontratadas
  • Evaluación de proveedores en relación a la seguridad de la información
  • Definición de cláusulas de seguridad de la Información para incluir en contratos con terceros

Comunicación:

  • Evaluación de riesgos de las actividades subcontratadas
  • Evaluación de proveedores en relación a la seguridad de la información
  • Definición de cláusulas de seguridad de la Información para incluir en contratos con terceros

Continuidad del Negocio:

  • Coordinar la elaboración de un plan de continuidad del negocio
  • Coordinar la revisión del plan con ejercicios y pruebas
  • Verificar los planes de recuperación después de incidentes

Aspectos tecnológicos:

  • Aprobar los métodos adecuados para la protección de los dispositivos móviles, redes informáticas y otros canales de comunicación
  • Revisar y aprobar los métodos de autenticación, política de contraseñas, métodos de encriptación, etc.
  • Proponer normas para el teletrabajo seguro
  • Definir las características de seguridad necesarias de servicios de Internet

En INGERTEC somos expertos en implantar sistemas de gestión de la seguridad de la información como miembro fundadores de la UTE 27001 y proveedores oficiales del INCIBE perteneciente al Ministerio de Industria

 

!Conozca el presupuesto para implantar la norma ISO 27001!

Presupuesto On Line ISO 27001 Seguridad de la Información

Deja un comentario