Roles del SGSI
Auditor Interno
Responsible (R)
El rol Auditor Interno es quien ejecuta las siguientes tareas:
| Auditoría Interna | |
|---|---|
|
Ejecutar las Auditorías Internas
|
Ver |
|
Defensa del SGSI durante la Auditoría Interna
|
Ver |
CEO
Responsible (R)
El rol CEO es quien ejecuta las siguientes tareas:
| Auditoría Interna | |
|---|---|
|
Asegurar la elaboración del Plan Anual de Auditorías Internas
|
Ver |
|
Aprobar el Plan Anual de Auditorías Internas
|
Ver |
|
Asegurar la imparcialidad en la elección del Auditor Interno
|
Ver |
|
Aceptar los resultados de las auditorías internas
|
Ver |
| Control de la Información Documentada | |
|
Aprobar de la información documentada
|
Ver |
| Gestión de Cambios | |
|
Aprobar o denegar el cambio una vez evaluado
|
Ver |
| Gestión de RRHH | |
|
Gestionar los RRHH de la Organización
|
Ver |
| No Conformidades | |
|
Aprobar o denegar Acciones Correctivas/Preventivas
|
Ver |
| Actualización de Software | |
|
Ejecutar la Revisión por la Dirección
|
Ver |
Accountable (A)
El rol CEO tiene la autoridad final y es el responsable de que se ejecuten las siguientes tareas, aprobando el trabajo y rindiendo cuentas por su resultado:
| Auditoría Interna | |
|---|---|
|
Asegurar la elaboración del Plan Anual de Auditorías Internas
|
Ver |
|
Aprobar el Plan Anual de Auditorías Internas
|
Ver |
|
Asegurar la imparcialidad en la elección del Auditor Interno
|
Ver |
|
Aceptar los resultados de las auditorías internas
|
Ver |
|
Ejecutar las Auditorías Internas
|
Ver |
| Control de la Información Documentada | |
|
Verificar la información documentada
|
Ver |
|
Aprobar de la información documentada
|
Ver |
| Gestión de RRHH | |
|
Gestionar los RRHH de la Organización
|
Ver |
| Actualización de Software | |
|
Asegurar la ejecución de la Revisión por la Dirección
|
Ver |
|
Realizar seguimiento del cumplimiento de lo dispuesto en la Revisión por la Dirección
|
Ver |
Informed (I)
El rol CEO debe ser notificado del progreso, la finalización y/o los resultados de las siguientes tareas, sin ser parte activa de ellas:
| Incidencias de Seguridad | |
|---|---|
|
Evaluar los eventos de seguridad de la información
|
Ver |
|
Gestionar los incidentes de seguridad de la información
|
Ver |
|
Responder a los incidentes de seguridad de la información
|
Ver |
|
Recuperar el estado del servicio y los sistemas tras un incidente de seguridad de la información
|
Ver |
|
Recoger y documentar lecciones aprendidas en un incidente de seguridad de la información
|
Ver |
| Actualización de Software | |
|
Dar seguimiento, análisis y evaluación a los procesos del SGSI
|
Ver |
| No Conformidades | |
|
Asegurar la detección y tratamiento de No Conformidades
|
Ver |
|
Comunicar al CEO No Conformidades detectadas y Acciones Correctivas propuestas
|
Ver |
|
Realizar seguimiento de Acciones Correctivas/Preventivas
|
Ver |
| Objetivos y Planificación | |
|
Identificar y proponer de objetivos del SGSI
|
Ver |
| Relación con Proveedores | |
|
Gestionar la respuesta a un incidente en un servicio de un proveedor
<p>Decidir si en respuesta al incidente:</p>
<ul>
<li>Se aplican las contingencias especificadas indicadas en el contrato.</li>
<li>Se aplican las penalizaciones específicas indicadas en el contrato.</li>
<li>Se genera la rescisión del contrato, y la eventual baja de proveedores, documentándose la casuística en el Registro de Proveedores.</li>
<li>Se aplica el Plan de Continuidad de Negocio.</li>
</ul>
|
Ver |
CFO
Responsible (R)
El rol CFO es quien ejecuta las siguientes tareas:
| Relación con Proveedores | |
|---|---|
|
Facilitar en una licitación al proveedor el formulario “Checklist Ciberseguridad Proveedores” si es necesario
Se utilizará este formulario en el caso de que el proveedor no disponga de una certificación en Seguridad de la Información reconocida (ISO 27001, ENS, NIST, SOC2, etc. ) y vigente.
|
Ver |
Support (S)
El rol CFO brinda ayuda activa o recursos al responsable de estas tareas:
| Relación con Proveedores | |
|---|---|
|
Velar por el cumplimiento de la política de relación con proveedores
|
Ver |
|
Facilitar certificaciones en Seguridad de la Informción o cumplimentar el formulario “Checklist Ciberseguridad Proveedores” si es necesario
Se utilizará el formulario “Checklist Ciberseguridad Proveedores” en el caso de que el proveedor no disponga de una certificación en Seguridad de la Información reconocida (ISO 27001, ENS, NIST, SOC2, etc. ) y vigente.
|
Ver |
CISO
Responsible (R)
El rol CISO es quien ejecuta las siguientes tareas:
| Actualización de Software | |
|---|---|
|
Validar el cumplimiento de las políticas y planes de actualización
|
Ver |
|
Monitorizar las vulnerabilidades de la arquitectura TIC
|
Ver |
|
Establecer, controlar y seguir el Control de Acceso a las Instalaciones
|
Ver |
|
Dar seguimiento, análisis y evaluación a los procesos del SGSI
|
Ver |
|
Recopilar la información necesaria para llevar a cabo la Revisión por la Dirección
|
Ver |
|
Supervisar la implementación y cumplimiento de la política de Uso de Controles Criptográficos
|
Ver |
|
Supervisar la implementación y cumplimiento de la política de Uso de Controles Criptográficos
|
Ver |
|
Redactar instrucciones detalladas sobre el uso de las herramientas de encriptación (si fuera necesario)
|
Ver |
| Análisis de Riesgos | |
|
Identificación inicial de los riesgos
|
Ver |
|
La elaboración del Análisis de Riesgos.
|
Ver |
|
Tratamiento y gestión de cada uno de los riesgos de los que es responsable, siempre tras la aprobación por parte de la Dirección, tanto de los controles a implantar como del riesgo asumido por la Organización
|
Ver |
| Auditoría Interna | |
|
Elaboración del Plan Anual de Auditorías Internas
|
Ver |
|
Defender el SGSI durante la Auditoría Interna
|
Ver |
|
Elaborar el Plan de Acciones Correctivas para solventar las No Conformidades encontradas por el equipo auditor
|
Ver |
| Copias de Seguridad y Respaldo | |
|
Controlar el cumplimiento de las políticas de copias de seguridad y de restauración de datos de la Organización
|
Ver |
| Gestión de Cambios | |
|
Registrar cambios al SGSI remitidos por email en sgsi.sincrolab.es
|
Ver |
|
Llevar a cabo la evaluación del cambio
|
Ver |
|
Presentar la evaluación del cambio a Dirección
|
Ver |
|
Implementación del cambio (si es en el SGSI)
|
Ver |
|
Verificar la conformidad del cambio mediante auditorías internas
|
Ver |
| Gestión de Contraseñas y Permisos | |
|
Revisar y actualizar de la política de contraseñas y permisos de la Organización
|
Ver |
|
Verificar el cumplimiento de la política de contraseñas y permisos de la Organización
|
Ver |
| Gestión de Recursos y Sistemas | |
|
Velar porque todos los recursos y sistemas de la empresa cuenten con un grado de seguridad y protección acorde al apetito de riesgo de Sincrolab
|
Ver |
|
Velar porque todos los recursos y sistemas de la empresa cuenten con un grado de seguridad y protección acorde al apetito de riesgo de Sincrolab
|
Ver |
|
Garantizar que ningún externo no autorizado acceda a los datos de la empresa y de sus clientes
|
Ver |
|
Garantizar que los usuarios accedan de forma exclusiva a los recursos autorizados en función de su perfil
|
Ver |
|
Garantizar que no se pierda información relevante tanto para la empresa como para sus clientes
|
Ver |
|
Garantizar que no se manipulen ni distorsionen datos
|
Ver |
|
Garantizar que los sistemas funcionen de forma óptima en función de los requerimientos de la empresa o del cliente
|
Ver |
| Gestión de la Seguridad de los Activos | |
|
Velar porque todos los recursos y sistemas de la Organización cuenten con un grado de seguridad y protección adecuado
|
Ver |
|
Garantizar que ningún externo no autorizado acceda a los datos de la empresa y de sus clientes
|
Ver |
|
Garantizar que los usuarios accedan de forma exclusiva a los recursos autorizados en función de su perfil
|
Ver |
|
Garantizar que no se pierda información relevante tanto para la empresa como para sus clientes
|
Ver |
|
Garantizar que no se manipulen ni distorsionen datos por accesos no autorizados
|
Ver |
|
Garantizar que los sistemas funcionen de forma óptima en función de los requerimientos de la empresa o del cliente y de los recursos disponibles
|
Ver |
| Incidencias de Seguridad | |
|
Evaluar los eventos de seguridad de la información
|
Ver |
|
Gestionar los incidentes de seguridad de la información
|
Ver |
|
Recoger y documentar lecciones aprendidas en un incidente de seguridad de la información
|
Ver |
| No Conformidades | |
|
Asegurar la detección y tratamiento de No Conformidades
|
Ver |
|
Identificación y análisis de No Conformidades
|
Ver |
|
Definir tratamiento de No Conformidades
|
Ver |
|
Comunicar al CEO No Conformidades detectadas y Acciones Correctivas propuestas
|
Ver |
|
Realizar seguimiento de Acciones Correctivas/Preventivas
|
Ver |
| Objetivos y Planificación | |
|
Identificar y proponer de objetivos del SGSI
|
Ver |
|
Aprobar de los objetivos del SGSI y asignación de los recursos necesarios para su consecución
|
Ver |
| Relación con Proveedores | |
|
Velar por el cumplimiento de la política de relación con proveedores
|
Ver |
|
Definir los requisitos de seguridad a exigir a los proveedores candidatos en cada licitación de servicio o provisión de productos tecnológicos
|
Ver |
|
Identificar las necesidades de acceso a la información e infraestructura TIC de cada proveedor de servicio
|
Ver |
|
Auditar periódicamente el funcionamiento de los servicios de terceros desde el punto de vista de la ciberseguridad
|
Ver |
|
Gestionar la respuesta a un incidente en un servicio de un proveedor
<p>Decidir si en respuesta al incidente:</p>
<ul>
<li>Se aplican las contingencias especificadas indicadas en el contrato.</li>
<li>Se aplican las penalizaciones específicas indicadas en el contrato.</li>
<li>Se genera la rescisión del contrato, y la eventual baja de proveedores, documentándose la casuística en el Registro de Proveedores.</li>
<li>Se aplica el Plan de Continuidad de Negocio.</li>
</ul>
|
Ver |
Accountable (A)
El rol CISO tiene la autoridad final y es el responsable de que se ejecuten las siguientes tareas, aprobando el trabajo y rindiendo cuentas por su resultado:
| Actualización de Software | |
|---|---|
|
Aprobar las políticas y planes de actualización
|
Ver |
|
Aplicar las actualizaciones o parches en los distintos elementos de la arquitectura TIC
|
Ver |
|
Gestionar las actualizaciones en software propio y pruebas
|
Ver |
|
Aplicar las actualizaciones requeridas en sus dispositivos personales
|
Ver |
|
Gestionar y mantener las herramientas y claves criptográficas utilizadas en la organización
|
Ver |
|
Garantizar que todo sistema de información que requiera procesamiento de datos confidenciales cuente con mecanismos de cifrado apropiados
|
Ver |
|
Aplicar de forma correcta los controles particulares sobre encriptación
|
Ver |
| Clasificación de la Información | |
|
Clasificar y etiquetar la información según esta política
|
Ver |
| Gestión de Contraseñas y Permisos | |
|
Implementar técnicamente la política de contraseñas y permisos de la Organización
|
Ver |
| Relación con Proveedores | |
|
Proporcionar en todo momento de forma transparente la información de seguridad requerida en el ámbito de una licitación
|
Ver |
|
Facilitar certificaciones en Seguridad de la Informción o cumplimentar el formulario “Checklist Ciberseguridad Proveedores” si es necesario
Se utilizará el formulario “Checklist Ciberseguridad Proveedores” en el caso de que el proveedor no disponga de una certificación en Seguridad de la Información reconocida (ISO 27001, ENS, NIST, SOC2, etc. ) y vigente.
|
Ver |
|
Comunicar inmediatamente cualquier cambio en el estado de riesgos, amenazas y vulnerabilidades que tengan impacto en la Organización
|
Ver |
|
Aceptar o mejorar las condiciones de seguridad propuestas por la Organización en el contexto de un contrato
|
Ver |
|
Comunicar con antelación suficiente y proporcional al impacto esperado cualquier cambio en las condiciones del contrato
|
Ver |
Support (S)
El rol CISO brinda ayuda activa o recursos al responsable de estas tareas:
| Análisis de Riesgos | |
|---|---|
|
La aprobación de la documentación de análisis, gestión y tratamiento de riesgos, bajo el asesoramiento de seguridad del Responsable de Seguridad y/o del Responsable de Sistemas.
|
Ver |
| Copias de Seguridad y Respaldo | |
|
Establecer las políticas de copias de seguridad y de restauración de datos de la Organización
|
Ver |
| Gestión de Cambios | |
|
Implementar el cambio (si no es en el SGSI, es decir, es en un producto, sistema o servicio de Sincrolab)
|
Ver |
| Gestión de los Usuarios | |
|
Dar de alta, baja y/o modificaciones a los usuarios en los sistemas de información de la Organización
|
Ver |
|
Implementar los privilegios de los usuarios en los sistemas de información de la Organización
|
Ver |
| Incidencias de Seguridad | |
|
Responder a los incidentes de seguridad de la información
|
Ver |
|
Recuperar el estado del servicio y los sistemas tras un incidente de seguridad de la información
|
Ver |
| Mesas y Pantallas Limpias | |
|
Proteger tanto sus dispositivos personales como los de la empresa, y más aún, toda la información, tanto de la Compañía como la de sus clientes, que de él depende y/o utilice
|
Ver |
| Objetivos y Planificación | |
|
Intentar cumplir el Objetivo de Seguridad asignado
|
Ver |
| Relación con Proveedores | |
|
Disponer de medidas de protección adecuadas para el desarrollo y mantenimiento correcto y seguro de los sistemas de información
|
Ver |
| Actualización de Software | |
|
Ejecutar la Revisión por la Dirección
|
Ver |
|
Realizar seguimiento del cumplimiento de lo dispuesto en la Revisión por la Dirección
|
Ver |
Consulted (C)
La opinión o información experta del rol CISO es necesaria y se les debe consultar para las siguientes tareas, pudiendo ser validador o stopper para las mismas:
| No Conformidades | |
|---|---|
|
Aprobar o denegar Acciones Correctivas/Preventivas
|
Ver |
| Relación con Proveedores | |
|
Monitorizar periódicamente la calidad de servicio y eventos de seguridad de interés en los servicios provisionados por proveedores externos
|
Ver |
|
Recibir, canalizar y gestionar cualquier aviso de problema o incidente en la operación de los sistemas de información
|
Ver |
| Actualización de Software | |
|
Garantizar que todo sistema de información que requiera procesamiento de datos confidenciales cuente con mecanismos de cifrado apropiados
|
Ver |
Informed (I)
El rol CISO debe ser notificado del progreso, la finalización y/o los resultados de las siguientes tareas, sin ser parte activa de ellas:
| Incidencias de Seguridad | |
|---|---|
|
Informar de cualquier evento o debilidad que pueda afectar a la seguridad de la información y a la seguridad de los datos personales
|
Ver |
|
Informar de cualquier evento o debilidad que pueda afectar a la seguridad de la información y a la seguridad de los datos personales
|
Ver |
| No Conformidades | |
|
Detectar No Conformidades
|
Ver |
| Relación con Proveedores | |
|
Facilitar en una licitación al proveedor el formulario “Checklist Ciberseguridad Proveedores” si es necesario
Se utilizará este formulario en el caso de que el proveedor no disponga de una certificación en Seguridad de la Información reconocida (ISO 27001, ENS, NIST, SOC2, etc. ) y vigente.
|
Ver |
|
Comunicar inmediatamente cualquier cambio en el estado de riesgos, amenazas y vulnerabilidades que tengan impacto en la Organización
|
Ver |
|
Aceptar o mejorar las condiciones de seguridad propuestas por la Organización en el contexto de un contrato
|
Ver |
|
Comunicar con antelación suficiente y proporcional al impacto esperado cualquier cambio en las condiciones del contrato
|
Ver |
CTO
Responsible (R)
El rol CTO es quien ejecuta las siguientes tareas:
| Actualización de Software | |
|---|---|
|
Aprobar las políticas y planes de actualización
|
Ver |
|
Aplicar las actualizaciones o parches en los distintos elementos de la arquitectura TIC
|
Ver |
|
Gestionar las actualizaciones en software propio y pruebas
|
Ver |
|
Gestionar y mantener las herramientas y claves criptográficas utilizadas en la organización
|
Ver |
|
Garantizar que todo sistema de información que requiera procesamiento de datos confidenciales cuente con mecanismos de cifrado apropiados
|
Ver |
| Copias de Seguridad y Respaldo | |
|
Establecer las políticas de copias de seguridad y de restauración de datos de la Organización
|
Ver |
| Gestión de Contraseñas y Permisos | |
|
Implementar técnicamente la política de contraseñas y permisos de la Organización
|
Ver |
| Gestión del Uso de Dispositivos | |
|
Mantener actualizado el inventario de todos los equipos y dispositivos móviles de la Organización
|
Ver |
| Gestión de los Usuarios | |
|
Dar de alta, baja y/o modificaciones a los usuarios en los sistemas de información de la Organización
|
Ver |
|
Implementar los privilegios de los usuarios en los sistemas de información de la Organización
|
Ver |
| Incidencias de Seguridad | |
|
Responder a los incidentes de seguridad de la información
|
Ver |
|
Recuperar el estado del servicio y los sistemas tras un incidente de seguridad de la información
|
Ver |
| Relación con Proveedores | |
|
Monitorizar periódicamente la calidad de servicio y eventos de seguridad de interés en los servicios provisionados por proveedores externos
|
Ver |
|
Recibir, canalizar y gestionar cualquier aviso de problema o incidente en la operación de los sistemas de información
|
Ver |
|
Disponer de medidas de protección adecuadas para el desarrollo y mantenimiento correcto y seguro de los sistemas de información
|
Ver |
Accountable (A)
El rol CTO tiene la autoridad final y es el responsable de que se ejecuten las siguientes tareas, aprobando el trabajo y rindiendo cuentas por su resultado:
| Gestión de los Usuarios | |
|---|---|
|
Dar de alta, baja y/o modificaciones a los usuarios en los sistemas de información de la Organización
|
Ver |
|
Implementar los privilegios de los usuarios en los sistemas de información de la Organización
|
Ver |
Support (S)
El rol CTO brinda ayuda activa o recursos al responsable de estas tareas:
| Análisis de Riesgos | |
|---|---|
|
La aprobación de la documentación de análisis, gestión y tratamiento de riesgos, bajo el asesoramiento de seguridad del Responsable de Seguridad y/o del Responsable de Sistemas.
|
Ver |
| Auditoría Interna | |
|
Defender el SGSI durante la Auditoría Interna
|
Ver |
| Gestión de Recursos y Sistemas | |
|
Velar porque todos los recursos y sistemas de la empresa cuenten con un grado de seguridad y protección acorde al apetito de riesgo de Sincrolab
|
Ver |
|
Velar porque todos los recursos y sistemas de la empresa cuenten con un grado de seguridad y protección acorde al apetito de riesgo de Sincrolab
|
Ver |
|
Garantizar que ningún externo no autorizado acceda a los datos de la empresa y de sus clientes
|
Ver |
|
Garantizar que los usuarios accedan de forma exclusiva a los recursos autorizados en función de su perfil
|
Ver |
|
Garantizar que no se pierda información relevante tanto para la empresa como para sus clientes
|
Ver |
|
Garantizar que no se manipulen ni distorsionen datos
|
Ver |
|
Garantizar que los sistemas funcionen de forma óptima en función de los requerimientos de la empresa o del cliente
|
Ver |
| Gestión de la Seguridad de los Activos | |
|
Velar porque todos los recursos y sistemas de la Organización cuenten con un grado de seguridad y protección adecuado
|
Ver |
|
Garantizar que ningún externo no autorizado acceda a los datos de la empresa y de sus clientes
|
Ver |
|
Garantizar que los usuarios accedan de forma exclusiva a los recursos autorizados en función de su perfil
|
Ver |
|
Garantizar que no se pierda información relevante tanto para la empresa como para sus clientes
|
Ver |
|
Garantizar que no se manipulen ni distorsionen datos por accesos no autorizados
|
Ver |
|
Garantizar que los sistemas funcionen de forma óptima en función de los requerimientos de la empresa o del cliente y de los recursos disponibles
|
Ver |
| Incidencias de Seguridad | |
|
Evaluar los eventos de seguridad de la información
|
Ver |
|
Gestionar los incidentes de seguridad de la información
|
Ver |
|
Recoger y documentar lecciones aprendidas en un incidente de seguridad de la información
|
Ver |
| Mesas y Pantallas Limpias | |
|
Proteger tanto sus dispositivos personales como los de la empresa, y más aún, toda la información, tanto de la Compañía como la de sus clientes, que de él depende y/o utilice
|
Ver |
| Actualización de Software | |
|
Dar seguimiento, análisis y evaluación a los procesos del SGSI
|
Ver |
|
Recopilar la información necesaria para llevar a cabo la Revisión por la Dirección
|
Ver |
|
Redactar instrucciones detalladas sobre el uso de las herramientas de encriptación (si fuera necesario)
|
Ver |
|
Aplicar de forma correcta los controles particulares sobre encriptación
|
Ver |
| Objetivos y Planificación | |
|
Identificar y proponer de objetivos del SGSI
|
Ver |
|
Aprobar de los objetivos del SGSI y asignación de los recursos necesarios para su consecución
|
Ver |
|
Intentar cumplir el Objetivo de Seguridad asignado
|
Ver |
| Relación con Proveedores | |
|
Auditar periódicamente el funcionamiento de los servicios de terceros desde el punto de vista de la ciberseguridad
|
Ver |
|
Gestionar la respuesta a un incidente en un servicio de un proveedor
<p>Decidir si en respuesta al incidente:</p>
<ul>
<li>Se aplican las contingencias especificadas indicadas en el contrato.</li>
<li>Se aplican las penalizaciones específicas indicadas en el contrato.</li>
<li>Se genera la rescisión del contrato, y la eventual baja de proveedores, documentándose la casuística en el Registro de Proveedores.</li>
<li>Se aplica el Plan de Continuidad de Negocio.</li>
</ul>
|
Ver |
Consulted (C)
La opinión o información experta del rol CTO es necesaria y se les debe consultar para las siguientes tareas, pudiendo ser validador o stopper para las mismas:
| No Conformidades | |
|---|---|
|
Definir tratamiento de No Conformidades
|
Ver |
|
Aprobar o denegar Acciones Correctivas/Preventivas
|
Ver |
| Relación con Proveedores | |
|
Definir los requisitos de seguridad a exigir a los proveedores candidatos en cada licitación de servicio o provisión de productos tecnológicos
|
Ver |
|
Identificar las necesidades de acceso a la información e infraestructura TIC de cada proveedor de servicio
|
Ver |
| Actualización de Software | |
|
Ejecutar la Revisión por la Dirección
|
Ver |
Informed (I)
El rol CTO debe ser notificado del progreso, la finalización y/o los resultados de las siguientes tareas, sin ser parte activa de ellas:
| Actualización de Software | |
|---|---|
|
Monitorizar las vulnerabilidades de la arquitectura TIC
|
Ver |
| Relación con Proveedores | |
|
Proporcionar en todo momento de forma transparente la información de seguridad requerida en el ámbito de una licitación
|
Ver |
|
Facilitar certificaciones en Seguridad de la Informción o cumplimentar el formulario “Checklist Ciberseguridad Proveedores” si es necesario
Se utilizará el formulario “Checklist Ciberseguridad Proveedores” en el caso de que el proveedor no disponga de una certificación en Seguridad de la Información reconocida (ISO 27001, ENS, NIST, SOC2, etc. ) y vigente.
|
Ver |
|
Comunicar inmediatamente cualquier cambio en el estado de riesgos, amenazas y vulnerabilidades que tengan impacto en la Organización
|
Ver |
|
Aceptar o mejorar las condiciones de seguridad propuestas por la Organización en el contexto de un contrato
|
Ver |
|
Comunicar con antelación suficiente y proporcional al impacto esperado cualquier cambio en las condiciones del contrato
|
Ver |
Control de la información documentada
Responsible (R)
El rol Control de la información documentada es quien ejecuta las siguientes tareas:
| Control de la Información Documentada | |
|---|---|
|
Clasificar y etiquetar la información según esta política
|
Ver |
Parte Interesada
Responsible (R)
El rol Parte Interesada es quien ejecuta las siguientes tareas:
| Gestión de Cambios | |
|---|---|
|
Identificar necesidades de cambios
|
Ver |
|
Comunicar solicitudes de Cambios y registrarlos en la plataforma correspondiente o enviárselos por email al Responsable del SGSI
|
Ver |
Accountable (A)
El rol Parte Interesada tiene la autoridad final y es el responsable de que se ejecuten las siguientes tareas, aprobando el trabajo y rindiendo cuentas por su resultado:
| Gestión de Cambios | |
|---|---|
|
Identificar necesidades de cambios
|
Ver |
|
Comunicar solicitudes de Cambios y registrarlos en la plataforma correspondiente o enviárselos por email al Responsable del SGSI
|
Ver |
Partes Interesadas
Support (S)
El rol Partes Interesadas brinda ayuda activa o recursos al responsable de estas tareas:
| No Conformidades | |
|---|---|
|
Identificación y análisis de No Conformidades
|
Ver |
Informed (I)
El rol Partes Interesadas debe ser notificado del progreso, la finalización y/o los resultados de las siguientes tareas, sin ser parte activa de ellas:
| No Conformidades | |
|---|---|
|
Identificación y análisis de No Conformidades
|
Ver |
|
Aprobar o denegar Acciones Correctivas/Preventivas
|
Ver |
| Objetivos y Planificación | |
|
Aprobar de los objetivos del SGSI y asignación de los recursos necesarios para su consecución
|
Ver |
| Relación con Proveedores | |
|
Gestionar la respuesta a un incidente en un servicio de un proveedor
<p>Decidir si en respuesta al incidente:</p>
<ul>
<li>Se aplican las contingencias especificadas indicadas en el contrato.</li>
<li>Se aplican las penalizaciones específicas indicadas en el contrato.</li>
<li>Se genera la rescisión del contrato, y la eventual baja de proveedores, documentándose la casuística en el Registro de Proveedores.</li>
<li>Se aplica el Plan de Continuidad de Negocio.</li>
</ul>
|
Ver |
| Actualización de Software | |
|
Realizar seguimiento del cumplimiento de lo dispuesto en la Revisión por la Dirección
|
Ver |
Personal
Responsible (R)
El rol Personal es quien ejecuta las siguientes tareas:
| Copias de Seguridad y Respaldo | |
|---|---|
|
Cumplir con las directrices, prácticas y preceptos indicados en el Código de Conducta Informática
|
Ver |
| Relación con Proveedores | |
|
Acatar las directrices de Relación con Proveedores en los procesos de selección de proveedores
|
Ver |
Accountable (A)
El rol Personal tiene la autoridad final y es el responsable de que se ejecuten las siguientes tareas, aprobando el trabajo y rindiendo cuentas por su resultado:
| Copias de Seguridad y Respaldo | |
|---|---|
|
Cumplir con las directrices, prácticas y preceptos indicados en el Código de Conducta Informática
|
Ver |
Personal de IT
Support (S)
El rol Personal de IT brinda ayuda activa o recursos al responsable de estas tareas:
| Actualización de Software | |
|---|---|
|
Gestionar las actualizaciones en software propio y pruebas
|
Ver |
Propietario del activo
Responsible (R)
El rol Propietario del activo es quien ejecuta las siguientes tareas:
| Clasificación de la Información | |
|---|---|
|
Clasificar y etiquetar la información según esta política
|
Ver |
Proveedor
Responsible (R)
El rol Proveedor es quien ejecuta las siguientes tareas:
| Relación con Proveedores | |
|---|---|
|
Proporcionar en todo momento de forma transparente la información de seguridad requerida en el ámbito de una licitación
|
Ver |
|
Facilitar certificaciones en Seguridad de la Informción o cumplimentar el formulario “Checklist Ciberseguridad Proveedores” si es necesario
Se utilizará el formulario “Checklist Ciberseguridad Proveedores” en el caso de que el proveedor no disponga de una certificación en Seguridad de la Información reconocida (ISO 27001, ENS, NIST, SOC2, etc. ) y vigente.
|
Ver |
|
Comunicar inmediatamente cualquier cambio en el estado de riesgos, amenazas y vulnerabilidades que tengan impacto en la Organización
|
Ver |
|
Aceptar o mejorar las condiciones de seguridad propuestas por la Organización en el contexto de un contrato
|
Ver |
|
Comunicar con antelación suficiente y proporcional al impacto esperado cualquier cambio en las condiciones del contrato
|
Ver |
|
Prestar el servicio contratado de la forma más segura posible técnica y económicamente
|
Ver |
Accountable (A)
El rol Proveedor tiene la autoridad final y es el responsable de que se ejecuten las siguientes tareas, aprobando el trabajo y rindiendo cuentas por su resultado:
| Relación con Proveedores | |
|---|---|
|
Prestar el servicio contratado de la forma más segura posible técnica y económicamente
|
Ver |
Informed (I)
El rol Proveedor debe ser notificado del progreso, la finalización y/o los resultados de las siguientes tareas, sin ser parte activa de ellas:
| Relación con Proveedores | |
|---|---|
|
Facilitar en una licitación al proveedor el formulario “Checklist Ciberseguridad Proveedores” si es necesario
Se utilizará este formulario en el caso de que el proveedor no disponga de una certificación en Seguridad de la Información reconocida (ISO 27001, ENS, NIST, SOC2, etc. ) y vigente.
|
Ver |
Responsable de Activo
Responsible (R)
El rol Responsable de Activo es quien ejecuta las siguientes tareas:
| Actualización de Software | |
|---|---|
|
Aplicar de forma correcta los controles particulares sobre encriptación
|
Ver |
Responsable de Objetivo
Responsible (R)
El rol Responsable de Objetivo es quien ejecuta las siguientes tareas:
| Objetivos y Planificación | |
|---|---|
|
Intentar cumplir el Objetivo de Seguridad asignado
|
Ver |
Responsable de las Áreas Auditadas
Support (S)
El rol Responsable de las Áreas Auditadas brinda ayuda activa o recursos al responsable de estas tareas:
| Auditoría Interna | |
|---|---|
|
Defender el SGSI durante la Auditoría Interna
|
Ver |
Responsable de Área
Support (S)
El rol Responsable de Área brinda ayuda activa o recursos al responsable de estas tareas:
| Análisis de Riesgos | |
|---|---|
|
Identificación inicial de los riesgos
|
Ver |
| No Conformidades | |
|
Identificación y análisis de No Conformidades
|
Ver |
| Objetivos y Planificación | |
|
Identificar y proponer de objetivos del SGSI
|
Ver |
|
Aprobar de los objetivos del SGSI y asignación de los recursos necesarios para su consecución
|
Ver |
Informed (I)
El rol Responsable de Área debe ser notificado del progreso, la finalización y/o los resultados de las siguientes tareas, sin ser parte activa de ellas:
| Actualización de Software | |
|---|---|
|
Ejecutar la Revisión por la Dirección
|
Ver |
Responsable del Departamento
Consulted (C)
La opinión o información experta del rol Responsable del Departamento es necesaria y se les debe consultar para las siguientes tareas, pudiendo ser validador o stopper para las mismas:
| No Conformidades | |
|---|---|
|
Aprobar o denegar Acciones Correctivas/Preventivas
|
Ver |
Responsable del Riesgo
Responsible (R)
El rol Responsable del Riesgo es quien ejecuta las siguientes tareas:
| Análisis de Riesgos | |
|---|---|
|
La aprobación de la documentación de análisis, gestión y tratamiento de riesgos, bajo el asesoramiento de seguridad del Responsable de Seguridad y/o del Responsable de Sistemas.
|
Ver |
Support (S)
El rol Responsable del Riesgo brinda ayuda activa o recursos al responsable de estas tareas:
| Análisis de Riesgos | |
|---|---|
|
Tratamiento y gestión de cada uno de los riesgos de los que es responsable, siempre tras la aprobación por parte de la Dirección, tanto de los controles a implantar como del riesgo asumido por la Organización
|
Ver |
Responsable del SGSI
Responsible (R)
El rol Responsable del SGSI es quien ejecuta las siguientes tareas:
| Control de la Información Documentada | |
|---|---|
|
Verificar la información documentada
|
Ver |
| Actualización de Software | |
|
Asegurar la ejecución de la Revisión por la Dirección
|
Ver |
|
Realizar seguimiento del cumplimiento de lo dispuesto en la Revisión por la Dirección
|
Ver |
Accountable (A)
El rol Responsable del SGSI tiene la autoridad final y es el responsable de que se ejecuten las siguientes tareas, aprobando el trabajo y rindiendo cuentas por su resultado:
| Actualización de Software | |
|---|---|
|
Validar el cumplimiento de las políticas y planes de actualización
|
Ver |
|
Monitorizar las vulnerabilidades de la arquitectura TIC
|
Ver |
|
Establecer, controlar y seguir el Control de Acceso a las Instalaciones
|
Ver |
|
Dar seguimiento, análisis y evaluación a los procesos del SGSI
|
Ver |
|
Recopilar la información necesaria para llevar a cabo la Revisión por la Dirección
|
Ver |
|
Ejecutar la Revisión por la Dirección
|
Ver |
|
Supervisar la implementación y cumplimiento de la política de Uso de Controles Criptográficos
|
Ver |
|
Cumplir con los procedimientos establecidos para el uso de criptografía
|
Ver |
|
Supervisar la implementación y cumplimiento de la política de Uso de Controles Criptográficos
|
Ver |
|
Redactar instrucciones detalladas sobre el uso de las herramientas de encriptación (si fuera necesario)
|
Ver |
| Análisis de Riesgos | |
|
Identificación inicial de los riesgos
|
Ver |
|
La elaboración del Análisis de Riesgos.
|
Ver |
|
Tratamiento y gestión de cada uno de los riesgos de los que es responsable, siempre tras la aprobación por parte de la Dirección, tanto de los controles a implantar como del riesgo asumido por la Organización
|
Ver |
|
La aprobación de la documentación de análisis, gestión y tratamiento de riesgos, bajo el asesoramiento de seguridad del Responsable de Seguridad y/o del Responsable de Sistemas.
|
Ver |
| Auditoría Interna | |
|
Elaboración del Plan Anual de Auditorías Internas
|
Ver |
|
Defender el SGSI durante la Auditoría Interna
|
Ver |
|
Elaborar el Plan de Acciones Correctivas para solventar las No Conformidades encontradas por el equipo auditor
|
Ver |
|
Defensa del SGSI durante la Auditoría Interna
|
Ver |
| Control de la Información Documentada | |
|
Clasificar y etiquetar la información según esta política
|
Ver |
| Copias de Seguridad y Respaldo | |
|
Establecer las políticas de copias de seguridad y de restauración de datos de la Organización
|
Ver |
|
Controlar el cumplimiento de las políticas de copias de seguridad y de restauración de datos de la Organización
|
Ver |
| Gestión de Cambios | |
|
Registrar cambios al SGSI remitidos por email en sgsi.sincrolab.es
|
Ver |
|
Llevar a cabo la evaluación del cambio
|
Ver |
|
Presentar la evaluación del cambio a Dirección
|
Ver |
|
Implementación del cambio (si es en el SGSI)
|
Ver |
|
Implementar el cambio (si no es en el SGSI, es decir, es en un producto, sistema o servicio de Sincrolab)
|
Ver |
|
Verificar la conformidad del cambio mediante auditorías internas
|
Ver |
|
Aprobar o denegar el cambio una vez evaluado
|
Ver |
| Gestión de Contraseñas y Permisos | |
|
Revisar y actualizar de la política de contraseñas y permisos de la Organización
|
Ver |
|
Verificar el cumplimiento de la política de contraseñas y permisos de la Organización
|
Ver |
| Gestión de Recursos y Sistemas | |
|
Velar porque todos los recursos y sistemas de la empresa cuenten con un grado de seguridad y protección acorde al apetito de riesgo de Sincrolab
|
Ver |
|
Velar porque todos los recursos y sistemas de la empresa cuenten con un grado de seguridad y protección acorde al apetito de riesgo de Sincrolab
|
Ver |
|
Garantizar que ningún externo no autorizado acceda a los datos de la empresa y de sus clientes
|
Ver |
|
Garantizar que los usuarios accedan de forma exclusiva a los recursos autorizados en función de su perfil
|
Ver |
|
Garantizar que no se pierda información relevante tanto para la empresa como para sus clientes
|
Ver |
|
Garantizar que no se manipulen ni distorsionen datos
|
Ver |
|
Garantizar que los sistemas funcionen de forma óptima en función de los requerimientos de la empresa o del cliente
|
Ver |
| Gestión de la Seguridad de los Activos | |
|
Velar porque todos los recursos y sistemas de la Organización cuenten con un grado de seguridad y protección adecuado
|
Ver |
|
Garantizar que ningún externo no autorizado acceda a los datos de la empresa y de sus clientes
|
Ver |
|
Garantizar que los usuarios accedan de forma exclusiva a los recursos autorizados en función de su perfil
|
Ver |
|
Garantizar que no se pierda información relevante tanto para la empresa como para sus clientes
|
Ver |
|
Garantizar que no se manipulen ni distorsionen datos por accesos no autorizados
|
Ver |
|
Garantizar que los sistemas funcionen de forma óptima en función de los requerimientos de la empresa o del cliente y de los recursos disponibles
|
Ver |
| Gestión del Uso de Dispositivos | |
|
Mantener actualizado el inventario de todos los equipos y dispositivos móviles de la Organización
|
Ver |
| Incidencias de Seguridad | |
|
Evaluar los eventos de seguridad de la información
|
Ver |
|
Gestionar los incidentes de seguridad de la información
|
Ver |
|
Responder a los incidentes de seguridad de la información
|
Ver |
|
Recuperar el estado del servicio y los sistemas tras un incidente de seguridad de la información
|
Ver |
|
Recoger y documentar lecciones aprendidas en un incidente de seguridad de la información
|
Ver |
| No Conformidades | |
|
Detectar No Conformidades
|
Ver |
|
Asegurar la detección y tratamiento de No Conformidades
|
Ver |
|
Identificación y análisis de No Conformidades
|
Ver |
|
Definir tratamiento de No Conformidades
|
Ver |
|
Comunicar al CEO No Conformidades detectadas y Acciones Correctivas propuestas
|
Ver |
|
Aprobar o denegar Acciones Correctivas/Preventivas
|
Ver |
|
Realizar seguimiento de Acciones Correctivas/Preventivas
|
Ver |
| Objetivos y Planificación | |
|
Identificar y proponer de objetivos del SGSI
|
Ver |
|
Aprobar de los objetivos del SGSI y asignación de los recursos necesarios para su consecución
|
Ver |
|
Intentar cumplir el Objetivo de Seguridad asignado
|
Ver |
| Relación con Proveedores | |
|
Velar por el cumplimiento de la política de relación con proveedores
|
Ver |
|
Definir los requisitos de seguridad a exigir a los proveedores candidatos en cada licitación de servicio o provisión de productos tecnológicos
|
Ver |
|
Identificar las necesidades de acceso a la información e infraestructura TIC de cada proveedor de servicio
|
Ver |
|
Auditar periódicamente el funcionamiento de los servicios de terceros desde el punto de vista de la ciberseguridad
|
Ver |
|
Gestionar la respuesta a un incidente en un servicio de un proveedor
<p>Decidir si en respuesta al incidente:</p>
<ul>
<li>Se aplican las contingencias especificadas indicadas en el contrato.</li>
<li>Se aplican las penalizaciones específicas indicadas en el contrato.</li>
<li>Se genera la rescisión del contrato, y la eventual baja de proveedores, documentándose la casuística en el Registro de Proveedores.</li>
<li>Se aplica el Plan de Continuidad de Negocio.</li>
</ul>
|
Ver |
|
Monitorizar periódicamente la calidad de servicio y eventos de seguridad de interés en los servicios provisionados por proveedores externos
|
Ver |
|
Recibir, canalizar y gestionar cualquier aviso de problema o incidente en la operación de los sistemas de información
|
Ver |
|
Disponer de medidas de protección adecuadas para el desarrollo y mantenimiento correcto y seguro de los sistemas de información
|
Ver |
|
Facilitar en una licitación al proveedor el formulario “Checklist Ciberseguridad Proveedores” si es necesario
Se utilizará este formulario en el caso de que el proveedor no disponga de una certificación en Seguridad de la Información reconocida (ISO 27001, ENS, NIST, SOC2, etc. ) y vigente.
|
Ver |
|
Acatar las directrices de Relación con Proveedores en los procesos de selección de proveedores
|
Ver |
Informed (I)
El rol Responsable del SGSI debe ser notificado del progreso, la finalización y/o los resultados de las siguientes tareas, sin ser parte activa de ellas:
| Actualización de Software | |
|---|---|
|
Aprobar las políticas y planes de actualización
|
Ver |
|
Aplicar las actualizaciones o parches en los distintos elementos de la arquitectura TIC
|
Ver |
|
Gestionar las actualizaciones en software propio y pruebas
|
Ver |
|
Aplicar las actualizaciones requeridas en sus dispositivos personales
|
Ver |
|
Gestionar y mantener las herramientas y claves criptográficas utilizadas en la organización
|
Ver |
|
Garantizar que todo sistema de información que requiera procesamiento de datos confidenciales cuente con mecanismos de cifrado apropiados
|
Ver |
|
Aplicar de forma correcta los controles particulares sobre encriptación
|
Ver |
| Gestión de Contraseñas y Permisos | |
|
Implementar técnicamente la política de contraseñas y permisos de la Organización
|
Ver |
| Gestión de los Usuarios | |
|
Dar de alta, baja y/o modificaciones a los usuarios en los sistemas de información de la Organización
|
Ver |
|
Implementar los privilegios de los usuarios en los sistemas de información de la Organización
|
Ver |
| Incidencias de Seguridad | |
|
Informar de cualquier evento o debilidad que pueda afectar a la seguridad de la información y a la seguridad de los datos personales
|
Ver |
|
Informar de cualquier evento o debilidad que pueda afectar a la seguridad de la información y a la seguridad de los datos personales
|
Ver |
| Relación con Proveedores | |
|
Proporcionar en todo momento de forma transparente la información de seguridad requerida en el ámbito de una licitación
|
Ver |
|
Facilitar certificaciones en Seguridad de la Informción o cumplimentar el formulario “Checklist Ciberseguridad Proveedores” si es necesario
Se utilizará el formulario “Checklist Ciberseguridad Proveedores” en el caso de que el proveedor no disponga de una certificación en Seguridad de la Información reconocida (ISO 27001, ENS, NIST, SOC2, etc. ) y vigente.
|
Ver |
|
Comunicar inmediatamente cualquier cambio en el estado de riesgos, amenazas y vulnerabilidades que tengan impacto en la Organización
|
Ver |
|
Aceptar o mejorar las condiciones de seguridad propuestas por la Organización en el contexto de un contrato
|
Ver |
|
Comunicar con antelación suficiente y proporcional al impacto esperado cualquier cambio en las condiciones del contrato
|
Ver |
Responsable del Área
Support (S)
El rol Responsable del Área brinda ayuda activa o recursos al responsable de estas tareas:
| Incidencias de Seguridad | |
|---|---|
|
Gestionar los incidentes de seguridad de la información
|
Ver |
|
Responder a los incidentes de seguridad de la información
|
Ver |
|
Recuperar el estado del servicio y los sistemas tras un incidente de seguridad de la información
|
Ver |
|
Recoger y documentar lecciones aprendidas en un incidente de seguridad de la información
|
Ver |
Consulted (C)
La opinión o información experta del rol Responsable del Área es necesaria y se les debe consultar para las siguientes tareas, pudiendo ser validador o stopper para las mismas:
| Gestión de los Usuarios | |
|---|---|
|
Dar de alta, baja y/o modificaciones a los usuarios en los sistemas de información de la Organización
|
Ver |
|
Implementar los privilegios de los usuarios en los sistemas de información de la Organización
|
Ver |
Informed (I)
El rol Responsable del Área debe ser notificado del progreso, la finalización y/o los resultados de las siguientes tareas, sin ser parte activa de ellas:
| Incidencias de Seguridad | |
|---|---|
|
Evaluar los eventos de seguridad de la información
|
Ver |
Responsable del área afectada
Responsible (R)
El rol Responsable del área afectada es quien ejecuta las siguientes tareas:
| Gestión de Cambios | |
|---|---|
|
Implementar el cambio (si no es en el SGSI, es decir, es en un producto, sistema o servicio de Sincrolab)
|
Ver |
Support (S)
El rol Responsable del área afectada brinda ayuda activa o recursos al responsable de estas tareas:
| Gestión de Cambios | |
|---|---|
|
Verificar la conformidad del cambio mediante auditorías internas
|
Ver |
Trabajador
Responsible (R)
El rol Trabajador es quien ejecuta las siguientes tareas:
| Incidencias de Seguridad | |
|---|---|
|
Informar de cualquier evento o debilidad que pueda afectar a la seguridad de la información y a la seguridad de los datos personales
|
Ver |
|
Informar de cualquier evento o debilidad que pueda afectar a la seguridad de la información y a la seguridad de los datos personales
|
Ver |
| Mesas y Pantallas Limpias | |
|
Proteger tanto sus dispositivos personales como los de la empresa, y más aún, toda la información, tanto de la Compañía como la de sus clientes, que de él depende y/o utilice
|
Ver |
| No Conformidades | |
|
Detectar No Conformidades
|
Ver |
Accountable (A)
El rol Trabajador tiene la autoridad final y es el responsable de que se ejecuten las siguientes tareas, aprobando el trabajo y rindiendo cuentas por su resultado:
| Incidencias de Seguridad | |
|---|---|
|
Informar de cualquier evento o debilidad que pueda afectar a la seguridad de la información y a la seguridad de los datos personales
|
Ver |
|
Informar de cualquier evento o debilidad que pueda afectar a la seguridad de la información y a la seguridad de los datos personales
|
Ver |
| Mesas y Pantallas Limpias | |
|
Proteger tanto sus dispositivos personales como los de la empresa, y más aún, toda la información, tanto de la Compañía como la de sus clientes, que de él depende y/o utilice
|
Ver |
Usuario
Responsible (R)
El rol Usuario es quien ejecuta las siguientes tareas:
| Actualización de Software | |
|---|---|
|
Cumplir con los procedimientos establecidos para el uso de criptografía
|
Ver |
Informed (I)
El rol Usuario debe ser notificado del progreso, la finalización y/o los resultados de las siguientes tareas, sin ser parte activa de ellas:
| Gestión de los Usuarios | |
|---|---|
|
Dar de alta, baja y/o modificaciones a los usuarios en los sistemas de información de la Organización
|
Ver |
|
Implementar los privilegios de los usuarios en los sistemas de información de la Organización
|
Ver |
| Actualización de Software | |
|
Redactar instrucciones detalladas sobre el uso de las herramientas de encriptación (si fuera necesario)
|
Ver |
Usuario Interno
Responsible (R)
El rol Usuario Interno es quien ejecuta las siguientes tareas:
| Gestión de Contraseñas y Permisos | |
|---|---|
|
Establecer sus contraseñas según la política de contraseñas
|
Ver |
Accountable (A)
El rol Usuario Interno tiene la autoridad final y es el responsable de que se ejecuten las siguientes tareas, aprobando el trabajo y rindiendo cuentas por su resultado:
| Gestión de Contraseñas y Permisos | |
|---|---|
|
Establecer sus contraseñas según la política de contraseñas
|
Ver |
Usuario de dispositivos BYOD
Responsible (R)
El rol Usuario de dispositivos BYOD es quien ejecuta las siguientes tareas:
| Actualización de Software | |
|---|---|
|
Aplicar las actualizaciones requeridas en sus dispositivos personales
|
Ver |