Los roles y responsabilidades ISO 27001 es un tema tratado en la cláusula 5.3 de la norma. Especialmente, el requisito solicita a la alta dirección que se asegure de que los roles, responsabilidades y autoridades sean claros para el sistema de gestión de seguridad de la información.
Lo que ISO 27001 busca es claridad y un enfoque certero en las partes claves del sistema. Esto implica considerar quién es el responsable de modo general y quién lo es en ciertos procesos concretos o quién responde por las prácticas comerciales… La única y la mejor forma de lograrlo es documentando roles y responsabilidades ISO 27001, de tal forma que no se presenten ambigüedades o confusiones y que todo pueda ser comunicado a las partes interesadas pertinentes.
Cómo documentar roles y responsabilidades ISO 27001
La norma hace una distinción en cuanto a la asignación de roles y responsabilidades ISO 27001: en primera instancia habla de las responsabilidades necesarias para garantizar que el sistema alcance la conformidad con los requisitos de ISO 27001. Y, en segundo lugar, hace referencia a las responsabilidades necesarias para asegurar el monitoreo y el seguimiento del desempeño del sistema, lo que incluye la responsabilidad de emitir reportes para la alta dirección. Y también están las responsabilidades para la implementación de los controles, mismas que pueden ser documentadas a través del plan de tratamiento de riesgos.
Finalmente, en cuanto a las responsabilidades mencionadas en los controles del Anexo A y sus subsecciones, estas pueden ser documentadas de acuerdo con el criterio de los profesionales del área, ya que la norma no define específicamente cómo debe hacerse.
Consideraciones sobre las responsabilidades de alto nivel
Las responsabilidades de alto nivel, relacionadas con la implementación del sistema y los informes a la alta dirección, pueden ser asignadas a varias personas o a una sola, dependiendo del tamaño de la organización y la complejidad de su sistema.
Así, es lógico que una organización pequeña con un sistema básico encuentre más práctico asignar estas responsabilidades a un solo profesional. Otras, más grandes y complejas, desearán tener una persona encargada de cada función. Podrían, incluso, contar con profesionales especializados en diferentes áreas, como recursos humanos, comercial, financiera, etc.
Proceso para documentar roles y responsabilidades ISO 27001
El principio general es incluir en la documentación las funciones propias de cada responsabilidad. Esto se puede hacer en diferentes lugares:
- En el organigrama de funciones.
- En las descripciones de los puestos de trabajo.
- En la política de seguridad de la información.
La documentación de funciones y roles específicos debe ser detallada y se puede hacer en los manuales de procedimientos, los planes, las políticas y todos aquellos documentos requeridos para la implementación de ISO 27001 que sean procedentes para tal efecto.
Esto significa que las responsabilidades en niveles inferiores, son básicamente funciones que se asignan como tareas rutinarias. Un ejemplo claro de ello es la obligación de elaborar copias de seguridad para ciertos empleados en un momento definido del día. Se trata de una tarea que se formaliza y se documenta en el manual de procedimientos del respectivo puesto de trabajo.
En cuanto al monitoreo y presentación de informes, es una tarea que corresponde a los directores de área, quienes informarán sobre el desempeño y los resultados de cada uno de sus subalternos, en lo correspondiente a sus responsabilidades con el sistema.
Resumiendo, no es preciso elaborar un documento que contenga la descripción de todos los roles y responsabilidades detallados, y a quién fueron asignados. Entre otras razones, un documento con esas características no resultaría práctico, sobre todo cuando se requieren modificaciones. En tal caso, ante un cambio, habría que empezar por modificar el documento en cuestión, y subsecuentemente, todos los procedimientos, políticas, organigramas y demás textos relacionados. Así un olvido o descuido documental generaría una discrepancia de conceptos, generándose una grave no conformidad.
Por ello, es importante tener en cuenta cuál es la utilidad práctica de los documentos para que sean funcionales. No se trata de saturar al auditor con documentos, sino de contar con la información clara y precisa en el lugar oportuno.
Diplomado de Seguridad de la Información ISO 27001
La seguridad de la información es imprescindible en la actualidad. Y asignar roles y responsabilidades de acuerdo con ISO 27001 y documentarlas de manera funcional y efectiva parte de conocer la norma y los procesos de implementación con profundidad.
El Diplomado de Seguridad de la Información ISO 27001 ofrece a sus alumnos la posibilidad de adquirir ese conocimiento profundo a través de un programa diseñado por expertos de talla internacional. Y además cuenta con las comodidades de la formación e-learning.
Consigue las competencias que necesitas para liderar el sistema de seguridad de la información de tu organización. Y no olvides antes comprobar si puedes beneficiarte de nuestro programa de Becas Excellence.