Sistema de Gestión de Calidad de La Empresa

SISTEMA DE GESTIÓN DE CALIDAD DE LA EMPRESA
Título: Modelo operativo de seguridad de la información
Documento No
XX-XXX-XX-XXX
Estado de revisión
00
Fecha efectiva
Fecha de la última revisión
Aprobado por
Nombre del preparador
Firma
Fecha
Desarrollado por Global Markets - EY Knowledge

Tabla de Contenido
SISTEMA DE GESTIÓN DE CALIDAD DE LA EMPRESA 1
1. PROPÓSITO .................................................................. Error! Bookmark not defined.
2. LISTA DE ABREVIACIONES ......................................................................................... 4
3. INTRODUCCIÓN ........................................................................................................... 5
4. VISIÓN DE CONJUNTO ................................................................................................ 5
5. PROCESO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ........................ 6
5.1. Objetivo del proceso y objetivos............................... Error! Bookmark not defined.
5.2. Pasos de proceso de alto nivel .................................... Error! Bookmark not defined.
6. RELACIONES CON LAS PARTES INTERESADAS DE SEGURIDAD DE LA
INFORMACIÓN ..................................................................... Error! Bookmark not defined.
6.1. Partes interesadas internas .................................................................................... 9
6.1.1. El tablero de COMPANY X .............................................................................. 9
6.1.2. Ejecutivo Responsable de Seguridad de la Información ................................ 10
6.1.3. Director de información (CIO) ........................................................................ 10
6.1.4. Funciones / servicios de soporte ....................... Error! Bookmark not defined.
6.1.5. Servicios TIC ................................................................................................. 10
6.1.6. Oficina de privacidad de la información.......................................................... 12
6.1.7. Oficina de seguridad (física) .......................................................................... 13
6.1.8. Servicios jurídicos ............................................. Error! Bookmark not defined.
6.1.9. Oficina de riesgos ............................................. Error! Bookmark not defined.
6.1.10. Auditoría interna ............................................... Error! Bookmark not defined.
6.1.11. Comunicaciones ............................................... Error! Bookmark not defined.
6.1.12. Unidades / Centros Operativos (OU) ............................................................. 15
6.2. Interesados externos ............................................... Error! Bookmark not defined.
6.2.1. Agencia de Seguridad del Estado (SSA)........................................................ 16
6.2.2. Auditor General (AG) ........................................ Error! Bookmark not defined.
6.2.3. Regulador de información ................................. Error! Bookmark not defined.
6.2.4. Centro de seguridad cibernética ....................... Error! Bookmark not defined.
6.2.5. Proveedores de servicio ................................... Error! Bookmark not defined.
6.3. Grupos de interés especial ................................................................................... 17
6.4. Buenas prácticas de seguridad de la información .... Error! Bookmark not defined.
6.5. Requisitos Regulatorios y Legislativos ..................... Error! Bookmark not defined.
7. IS OFICINA DISEÑO ORGANIZACIONAL ...................... Error! Bookmark not defined.
7.1. Oficina de seguridad de la información .................... Error! Bookmark not defined.
7.2. COMPAÑÍA X Estructura organizacional .............................................................. 18
7.3. Líneas de informes de la oficina de seguridad de la información .. Error! Bookmark
not defined.
7.4. Estructura interna de la Oficina de Seguridad de la Información ... Error! Bookmark
not defined.
7.5. Descripciones de funciones de la oficina de seguridad de la información ....... Error!
Bookmark not defined.
7.5.2.2. Especialista Senior en Gestión de la Seguridad de la Información........... Error!
7.5.2.3. Especialista Senior en Seguridad de la Información ........Error! Bookmark not
defined.
7.5.2.4. Especialista en seguridad de la información .................................................. 30
7.5.3. Operaciones de seguridad de la información ........ Error! Bookmark not defined.
7.5.3.1. Jefe de Equipo de Operaciones de Seguridad de la Información ................... 32
7.5.3.2. Equipo de operaciones de seguridad de la información (*recursos existentes33
7.5.3.3. Analista de seguridad de la información............ Error! Bookmark not defined.
7.6. Roles de seguridad de la información organizacional ..........Error! Bookmark not
defined.
7.6.2. Responsabilidades del empleado para la seguridad de la información .... Error!
7.6.3. Responsabilidades de la administración para la seguridad de la información
Error! Bookmark not defined.
8. COMPAÑÍA X FOROS Y COMITÉS DE SEGURIDAD DE LA INFORMACIÓN ..... Error!
8.1. Comités y foros estratégicos ................................................................................. 37
8.1.1. Comité Directivo de Seguridad de la Información (ISSC) .Error! Bookmark not
defined.
8.1.2. Comité Ejecutivo (EXCO) .............................................................................. 38
8.1.3. Comité Directivo del Proyecto de Privacidad de la Información (IPPSC) .. Error!
8.2. Comités tácticos y foros ........................................... Error! Bookmark not defined.
8.2.1. Comité de Operaciones (OPCO).................................................................... 40
8.2.2. Comité de planificación conjunta (JPC).......................................................... 40
8.2.3. Reuniones de la Unidad Operativa / Centro de Gestión ................................. 40
8.2.4. Reuniones sobre TIC de Business Service Manager (BSM) .......................... 40
8.2.5. Grupo de trabajo de seguridad de la información (ISWG) .............................. 41
8.2.6. Comité de Gobierno de las TIC ...................................................................... 41
8.2.7. Foro de seguridad integrada .......................................................................... 42
8.3. Comités y foros operativos.................................................................................... 42
8.3.1. Reuniones de Gestión de TIC y Gestión de Programas ................................. 42
8.3.2. Reuniones del equipo de seguridad de la informacion ................................... 42
8.3.3. Reuniones del programa de seguridad de la informacion .............................. 42
9. TECNOLOGIAS DE SEGURIDAD DE LA INFORMACION .......................................... 43
1. PROPÓSITO
El Modelo Operativo de Seguridad de la Información (ISOM) es un modelo abstracto que describe la
función de seguridad de la información de COMPANY X. Resalta los procesos de soporte de alto
nivel, detalla la estructura de gobierno requerida y describe las tecnologías y estructuras de
organización de soporte.
2. LISTA DE ABREVIATURAS
Abbreviation Full term

AG Auditor General
BSM Gerente de servicios comerciales
BYOD Trae tu propio dispositivo
CAM Gerente del Área de Competencia
CEO Director Ejecutivo
CIO Director de información
CISO Director de seguridad de la información
COBIT (ISACA) Objetivos de control para información y tecnologías
relacionadas
CPO Jefe de privacidad
EA Arquitectura empresarial
ECT Ley de Comunicaciones Electrónicas y Transacciones (ECT)
EISA Arquitectura de seguridad de la información empresarial
ICT Tecnología de información y comunicaciones
IPPSC Comité Directivo del Proyecto de Privacidad de la Información
IS Seguridad de información
ISACA Asociación de Auditoría y Control de Sistemas de Información
ISC Campeón de seguridad de la información
ISSC Comité Directivo de Seguridad de la Información
ISO Organización Internacional de Normalización
ISOM Modelo operativo de seguridad de la información
ISMS Sistema de gestión de seguridad de la información
ISWG Grupo de Trabajo de Seguridad de la Información
IT tecnología Información
JPC Comité de planificación conjunta
NCPF Marco Nacional de Política de Ciberseguridad
NHA Ley Nacional de Salud
NKPA Ley nacional de puntos clave
OU Unidad Operativa / Centro
POPI Protección de información personal (Ley)
RICA Regulación de la interceptación de las comunicaciones y provisión
de la ley de información relacionada con la comunicación
SITA Agencia de Tecnología de la Información del Estado
SLA Acuerdo de nivel de servicio
SSA Agencia de Seguridad del Estado
3. INTRODUCCIÓN
Los ciberataques y el cibercrimen están en aumento. A menudo, esto da como resultado infracciones
de privacidad y seguridad de la información que atraen la atención no deseada, la pérdida de
reputación, la confianza del cliente y, en ocasiones, los costos de recuperación importantes para las
organizaciones. Al mismo tiempo, las organizaciones están adoptando nuevas tecnologías que
impulsan el crecimiento y la productividad. Estos incluyen Enterprise Mobility, BYOD, servicios
basados en la nube, Internet of Things, solo por nombrar algunos. Estas nuevas tecnologías y formas
de trabajar han hecho cada vez más difícil controlar y proteger cualquier organización.
En los últimos años, las amenazas a la información y la seguridad cibernética de cualquier
organización se han multiplicado por diez, con miles de nuevas amenazas, malware y métodos de
ataque que se descubren todos los días. Symantec informa en su Informe trimestral de amenazas a
la seguridad en Internet que solo en 2015, se perdieron más de 500 millones de registros personales
y se descubrieron 431 millones de nuevas variantes de malware.
Dentro de cualquier organización, se necesita una fuerte cultura de seguridad de la información
basada en influencias positivas en los diversos niveles organizacionales. En general, en los últimos
años, las expectativas comerciales de los equipos de seguridad de la información han aumentado a
medida que las amenazas a la organización han avanzado y amplificado.
Además de esto, el enfoque de la seguridad de la información debe pasar de ser un problema de TI
operacional a un objetivo comercial estratégico que aborde un problema y necesidad comercial,
esforzándose por lograr una protección efectiva y sostenible de los recursos de información de la
organización.
Normalmente, esto ha resultado en el establecimiento de una función de seguridad de información
corporativa estandarizada y reconocida, que informa a ejecutivos de nivel C o incluso directamente a
la junta directiva / CEO, que cuenta con el respaldo de un Modelo Operativo de Seguridad de la
Información (ISOM).
Dentro del contexto de la COMPAÑÍA X, la información, ya sea en formato electrónico o en papel, es
un activo comercial crítico, y la capacidad de la COMPAÑÍA X para operar de manera efectiva,
alcanzar sus objetivos comerciales y cumplir con varios imperativos legislativos y regulatorios,
depende de su capacidad de garantizar que la información esté adecuadamente administrada y
protegida. En particular, nuestra propiedad intelectual debe estar estrechamente protegida, ya que
nuestros adversarios (incluidos los Estados nacionales) y los competidores podrían beneficiarse
grande e indebidamente al obtener acceso a esta información. Esta pérdida de información también
podría representar inadvertidamente una amenaza para la seguridad nacional.
Tomando todo esto en consideración, existe una gran necesidad de que la COMPAÑÍA X establezca
una capacidad de gestión de la seguridad de la información fuerte y efectiva para crear e incorporar
una cultura y práctica de seguridad de la información en sus operaciones y a través de sus
empleados.
4. VISIÓN GENERAL
Los beneficios de seguridad de la información solo se logran si la estructura de gobierno de la
seguridad de la información se integra de manera efectiva y adecuada en las diversas unidades
operativas / centros y funciones de soporte en toda la empresa X. La seguridad de la información
debe ubicarse estratégicamente dentro de la empresa X para objetivos estratégicos clave, mientras
se protegen los recursos de información de la COMPAÑÍA X.
Debe haber un cambio en la función de seguridad de la información desde un nivel operacional a un
nivel estratégico. Esto es para alinearse mejor con los objetivos de la organización, sin perder de
vista y apoyar las operaciones de seguridad de las TIC. Este cambio estratégico se respalda
mediante la definición de controles de seguridad de la información mensurables y procesos
operacionales, con métricas y mecanismos de información apropiados.
Este cambio de enfoque dará como resultado el establecimiento de las siguientes áreas funcionales
clave dentro de la Oficina de Seguridad de la Información de la EMPRESA X, como se muestra en la
Figura 1.
Figura 1: Áreas funcionales de seguridad de la información
La Oficina de Seguridad de la Información dentro de la EMPRESA X tiene como objetivo

lograr los siguientes objetivos estratégicos clave:
• Crear las bases para una Oficina de SI sostenible dentro de la COMPAÑÍA X
• Impulsar la alineación estratégica de la seguridad de la información con la estrategia
comercial para respaldar los objetivos de la organización
• Permitir que la EMPRESA X madure la postura actual de seguridad de la información:
actualmente la seguridad de la información consiste solo en operaciones basadas en TIC,
necesita madurar para convertirse en un programa y función de seguridad de información (y
ciber) en toda la organización. El alcance y alcance de dicho programa debe extenderse a
todas las facetas de la organización
• Facilitar una adhesión más cercana a las mejores prácticas de gobierno corporativo, así
como los requisitos legales y regulatorios para la seguridad de la información
• Impulsar la gestión del riesgo de la información mediante la ejecución de medidas
apropiadas para gestionar y mitigar los riesgos y reducir los impactos en los recursos de
información a un nivel aceptable
• Optimice la gestión de recursos utilizando conocimiento e infraestructura de seguridad de
la información de manera eficiente y efectiva
• Respaldar la medición del desempeño midiendo, monitoreando y reportando las métricas
de gobierno de la seguridad de la información para asegurar que se logren los objetivos de
la organización.
• Impulsar la entrega de valor optimizando las inversiones en seguridad de la información en
apoyo de los objetivos de la organización.
5. PROCESO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

El proceso de gestión de la seguridad de la información específica los pasos necesarios para
establecer, implementar, operar, supervisar, revisar, mantener y mejorar las políticas y
controles de seguridad de la información en el contexto de los objetivos generales de la
empresa X, pero en particular, la protección de la información dentro de la empresa X.
El proceso de gestión de seguridad de la información X de la EMPRESA se ha definido
combinando elementos del estándar ISO 27001 para establecer un sistema de gestión de la
seguridad de la información, así como procesos COBIT 5, a saber, "gestión de seguridad"
(AP013) y "gestión de servicios de seguridad" (DSS05).
El proceso de gestión de la seguridad de la información de alto nivel es el siguiente:
Establecer y Monitor & Monitorear

Administrar
Plan ISMS mantener Operar IS Review y revisar
IS
ISMS ISMS ISMS
5.1. Objetivo del proceso y objetivos

Planifique, establezca, administre, opere y monitoree un sistema de gestión de la seguridad
de la información que logre lo siguiente:
1) Protege la información de COMPANY X para mantener un nivel aceptable de riesgo de
seguridad de la información de acuerdo con la política de seguridad de la información.
2) Establece y comunica una estrategia y un plan de seguridad de la información aceptada
en toda la COMPAÑÍA X.
3) Considera y aborda eficazmente los requisitos de seguridad de la información de la
EMPRESA X, incluidas las obligaciones legales y reglamentarias.
4) Proporciona la identificación e implementación de controles de seguridad de la
información.
5) Implementa y opera servicios y soluciones de seguridad de la información eficaz y
adecuada en toda la COMPAÑÍA X.
6) Promueve una cultura de seguridad de la información dentro de la COMPAÑÍA X.
7) Admite e impulsa la mejora continua de los controles de seguridad de la información.
5.2. Pasos de proceso de alto nivel

Los pasos del proceso (como se ilustra arriba) incluyen los siguientes:
1) Planificar el Sistema de Gestión de Seguridad de la Información (ISMS) – para
garantizar que se realiza un análisis completo, preciso y exhaustivo de la estrategia, los
objetivos y las operaciones de la EMPRESA X para identificar y documentar una estrategia
y plan de seguridad de la información que permita a la EMPRESA X para lograr sus
objetivos comerciales y cumplir con sus obligaciones legales y reglamentarias.
2) Establecer y mantener el SGSI – establecer y mantener un SGSI que proporcione un

enfoque estándar, formal y continuo para la gestión de la seguridad de la información. Esto
se logrará mediante la definición de un marco de políticas de seguridad de la información
para proporcionar dirección de gestión y soporte para la seguridad de la información. El
ISMS también apoyará la habilitación de tecnología segura y procesos comerciales que
estén alineados con los requisitos de seguridad de la información y los negocios.
3) Administre la seguridad de la información (IS) – para garantizar que los controles de

seguridad de la información identificados se prioricen de manera precisa, completa y
oportuna. También se trata de garantizar que las recomendaciones para implementar
mejoras de seguridad se basen en casos comerciales aprobados y se implementen como
parte integral del desarrollo de servicios y soluciones, y luego se operen como parte integral
de la operación comercial.
4) Operar IS –para garantizar que los controles y servicios de seguridad de la información

se operan y mantienen día a día y semana tras semana.
5) Monitorear y revisar ISMS – mantener y comunicar regularmente la necesidad y los

beneficios de la capacidad de seguridad de la información continua y la mejora de los
controles.
Consulte la Estrategia de seguridad de la información para obtener más detalles sobre el
proceso de gestión de la seguridad de la información.
6. RELACIONES CON LAS PARTES INTERESADAS DE LA SEGURIDAD

DE LA INFORMACIÓN
La Oficina de Seguridad de la Información debe establecer y mantener relaciones con otras
funciones, OU y funciones de soporte en toda la EMPRESA X. El siguiente modelo
representa algunas de las relaciones y / o influenciadores clave en términos de partes
interesadas internas, partes interesadas externas, interés especial, mejores prácticas
alineación, así como los imperativos normativos y legislativos.
Figura 2: Oficina de seguridad de la información: relaciones clave con las partes interesadas
6.1. Partes interesadas internas

Las partes interesadas internas son las distintas oficinas, funciones de soporte y / o
unidades / centros operativos (OU) que operan dentro de la COMPAÑÍA X y tienen un
efecto en la Oficina de Seguridad de la Información o se verán afectados por ella.
6.1.1. El tablero de COMPANY X
La responsabilidad de la Seguridad de la Información dentro de la COMPAÑÍA X reside en
última instancia en la Junta de la EMPRESA X. Además, las responsabilidades de la Junta
de COMPANY X incluyen:
• Establecer los valores y las normas de conducta de la EMPRESA X y
garantizar que se cumplan; en interés de las partes interesadas, los
empleados, los clientes, los proveedores y las comunidades en las que
opera la COMPAÑÍA X; y en general, salvaguardar la reputación de la
COMPAÑÍA X
• Proporcionar el liderazgo de la EMPRESA X dentro de un marco de
controles prudentes y efectivos que permitan evaluar y gestionar los
riesgos
• Establecer las direcciones, estrategias y objetivos financieros de la
EMPRESA X y asegurar que se cuente con los recursos necesarios para
que la EMPRESA X cumpla con sus objetivos.
• Siempre actuando en el mejor interés de la COMPAÑÍA X y tratando
asuntos confidenciales como tales
• Supervisar el gobierno de la tecnología de la información
En relación con la Oficina de Seguridad de la Información, la Junta de la EMPRESA X:
• Aprobar todas las políticas de seguridad de la información que afectan a
la COMPAÑÍA X y sus empleados
• Aprobación general de la Estrategia de Seguridad de la Información
para la COMPAÑÍA X
• Delegar la responsabilidad de la implementación de controles de
seguridad de la información
• Supervisar el gobierno de la seguridad de la información
La Oficina de Seguridad de la Información deberá
• Informar todos los riesgos críticos de seguridad de la información
(incluida la seguridad cibernética), amenazas y vulnerabilidades al
directorio, ya sea directamente o a través de las estructuras apropiadas.
• Proporcionar una visión general de la madurez de la función de
seguridad de la información de la EMPRESA X.
6.1.2 Ejecutivo Responsable de Seguridad de la Información
La oficina IS es una de las tres oficinas que actualmente reportan al CIO. El CIO
a su vez informa al Ejecutivo del Grupo: Servicios Compartidos.
Cuando surjan problemas debido a posibles conflictos de agendas o intereses
con respecto a la seguridad de la información dentro del negocio, se requerirá
que el Ejecutivo del Grupo: Servicios Compartidos equilibre los mensajes y / o
necesidades del CISO con el gerente o ejecutivo relevante en función de la
organización. Necesidades y apetito de riesgo, y tomar una decisión informada.
6.1.3 Director de información (CIO)
El papel del Oficial Principal de Información con respecto a la seguridad de la información
será tal como se define en el Informe de Rey III sobre Gobierno Corporativo, a menos que el
Comité Ejecutivo X de la EMPRESA y / o el Consejo especifiquen lo contrario. El CIO, entre
otros, será responsable de:
• Negocio y operaciones diarias de TIC dentro de la COMPAÑÍA X,
incluida la seguridad de la información
• Desarrollar planes de estrategia de TIC y centros de servicios de TIC
que estén alineados con los objetivos comerciales de la COMPAÑÍA X
con la debida consulta con el CISO y la consideración de los objetivos,
principios y requisitos de seguridad de la información.
• Consulta y validación de planes de infraestructura y / o inversión en TIC
existentes o planificados para garantizar que se hayan tenido en cuenta
las implicaciones de seguridad.
• Impulsar la implementación de la tecnología con la debida consideración
de la introducción de riesgos nuevos o potencialmente desconocidos para
la infraestructura
• Implementar acciones apropiadas de acuerdo con este marco de
gobernanza y desarrollar planes de gestión de riesgos que sean
revisados periódicamente
• Apoyar e impulsar la resolución de inquietudes, vulnerabilidades,
amenazas o riesgos relacionados con la seguridad de la información
relacionada con los servicios o sistemas TIC planteados por la Oficina de
SI
6.1.4 Funciones / servicios de soporte
Funciones de Soporte / Servicios de la EMPRESA X ejecuta una variedad de funciones de
soporte necesarias para que la COMPAÑÍA X opere, tales como Recursos Humanos
(RR.HH.), Servicios de TIC, Adquisiciones, Servicios de Gestión y Administración de
Instalaciones.
En relación con la oficina IS, se requerirán funciones de soporte para:
• Apoyar la implementación y el cumplimiento de políticas y controles de seguridad de la
información relacionados con todos los aspectos de la información (clasificación, manejo,
administración, archivo, gestión de registros, etc.)
• Apoyar la capacitación de los Campeones de Seguridad de la Información dentro de las
diferentes funciones
• Impulsar una cultura de seguridad de la información dentro de sus áreas respectivas
• Haga que el personal necesario esté disponible para respaldar las evaluaciones,
auditorías, pruebas y / o revisiones de SI.
La Oficina de Seguridad de la Información deberá:
• Impulsar la concientización y capacitación sobre seguridad
• Llevar a cabo evaluaciones, auditorías, pruebas y / o evaluaciones de SI de seguridad de
la información programadas y ad hoc para garantizar el cumplimiento del marco de políticas
de SI y las obligaciones legales.
• Proporcionar servicios de asesoramiento y consultoría en cuestiones relacionadas con la
seguridad de la información, así como la protección de la información personal
6.1.5 Servicios ICT
Los servicios de ICT son responsables del aprovisionamiento de servicios de
comunicaciones y tecnología de la información (ICT) dentro de la COMPAÑÍA X. Los
servicios ICT brindan soporte tanto a las unidades operativas / centros como a todas las
funciones de soporte, incluyendo infraestructura central y servicios de telefonía, para la
COMPAÑÍA X como todo. Para fines de Investigación y Desarrollo (I + D), no todas las
unidades operativas hacen uso de los Servicios de ICT, y algunos dependen de sus propios
recursos.
Los Servicios ICT se componen de varias áreas funcionales como se muestra a
continuación. La Oficina de Seguridad de la Información es actualmente una función dentro
de los Servicios ICT que informa al Oficial Principal de Información (CIO).
Figura 3: Estructura de informes funcionales del CIO
Mientras el CISO informa al CIO, su oficina es una oficina separada bajo el CIO. El CISO,
por lo tanto, no forma parte directamente del equipo de gestión de ICT, y la Oficina de SI no
es parte de los Servicios de ICT. Esto es para garantizar la independencia en términos de
cuestiones policiales de seguridad de la información dentro de los servicios ICT y de la
COMPAÑÍA X en su conjunto. Sin embargo, el CISO participará en reuniones relacionadas
con la gestión de las ICT a fin de garantizar que la seguridad de la información se considere
dentro de la gestión y / o las decisiones estratégicas.
En relación con la Oficina de Seguridad de la Información, los Servicios de ICT deberán:
• Asegurarse de que todos los servicios de ICT cumplan con los requisitos de
seguridad de la información y cumplan con la política, los estándares, los
procesos y los procedimientos de seguridad de la información.
• Asegurarse de que los requisitos de seguridad de TI se hayan incorporado,
incorporado y / o abordado adecuadamente en todos los sistemas y servicios
de ICT
• Implementar estándares de seguridad de la información técnica e incorporar
controles de seguridad de la información en todos los servicios ICT.
• Consultar con la oficina de SI sobre todos los cambios dentro del entorno de
las ICT, incluidos los operativos y / o estratégicos, para determinar el impacto
del cambio en la seguridad de la información, los riesgos asociados y
cualquier requisito de seguridad adicional que deba abordarse
• Involucrar los recursos de SI en la etapa más temprana de todos los
proyectos para garantizar que los requisitos de seguridad de la información
se aborden desde el inicio de los proyectos.
• Apoyar la capacitación de los Campeones de Seguridad de la Información e
impulsar una cultura de seguridad de la información en la COMPAÑÍA X
• Haga que el personal necesario esté disponible para respaldar las
evaluaciones, auditorías, pruebas y / o revisiones de SI.
• Consultoría, aprobación o validación de planes de infraestructura o

inversión de TI existentes para garantizar que se hayan tenido en cuenta las
implicaciones de seguridad.
• Consultar con los servicios de TIC sobre todos los controles de seguridad
de la información técnica dentro del Marco de SI para asegurar la idoneidad
de estos controles para el entorno de TI de la COMPAÑÍA X.
• Cumplir un rol de supervisión de los Servicios de TIC, impulsando el
cumplimiento y la garantía contra las mejores prácticas de seguridad de la
información, así como con las regulaciones y legislación relevantes
• Revisar y aprobar todas las estrategias, arquitecturas, diseños y soluciones
de TIC para garantizar que las implicaciones de seguridad de la información
se hayan considerado / incorporado
• Asegúrese de que la información correcta y / o las capacidades y controles
de seguridad de TI estén diseñados e implementados para respaldar y
habilitar el negocio
• Documentar y mantener todos los controles de seguridad de información
técnica
• Impulsar la concientización y la capacitación sobre seguridad
• Realizar evaluaciones, auditorías, pruebas y / o revisiones de SI
programadas y ad hoc para garantizar el cumplimiento del marco de políticas
de SI y las obligaciones legales
• Tener representación en todas las reuniones de gestión de TIC, comités de
gestión de proyectos y sesiones de estrategia
• Proporcionar servicios de asesoramiento y consultoría en cuestiones
relacionadas con la seguridad de la información, así como la protección
de la información personal
6.1.6. Oficina de privacidad de la información
La función de la Oficina de Privacidad de la EMPRESA X es asegurar que la EMPRESA X
cumpla con la Ley de Protección de Información Personal 4 de 2013 (POPI), la Política de
Privacidad de la Información de la COMPAÑÍA X y sus otras obligaciones de privacidad de
la información. Al hacerlo, la Oficina de privacidad debe, según corresponda, ser capaz de
prevenir, detectar, gestionar, controlar y remediar los riesgos asociados con el cumplimiento
de POPI.
En relación con la Oficina de seguridad de la información, la oficina de privacidad deberá:
• Trabajar estrechamente con la Oficina de Seguridad de la Información para
garantizar que la seguridad de la información en la COMPAÑÍA X cumpla con
POPI, otras leyes aplicables, obligaciones contractuales y la Política de
Privacidad de la COMPAÑÍA X.
• Proporcionar los requisitos de seguridad de la información personal a la
Oficina de Seguridad de la Información
• Llevar a cabo evaluaciones, auditorías, pruebas y / o revisiones de los
controles de seguridad de la información como parte de las revisiones
periódicas de cumplimiento de POPI.
• Proporcionar a la Oficina de privacidad un nivel de seguridad de que los
controles adecuados se han aplicado y son efectivos
La Oficina de privacidad debe estar representada en todos los comités y foros
relevantes para la toma de decisiones de seguridad de la información, tal
como se detalla en la sección 8.
6.1.7. Oficina de seguridad (física)
El mandato de la Oficina de Seguridad (física) es proporcionar servicios de seguridad física
a la COMPAÑÍA X. También es responsable de garantizar que la COMPAÑÍA X cumpla con
la legislación de seguridad nacional aplicable relacionada con la seguridad física.
La Oficina de Seguridad de la Información es responsable de la seguridad de la información
lógica. Como existe una superposición de responsabilidades desde la perspectiva de que
los controles débiles de seguridad física pueden reducir o anular la efectividad de los
controles lógicos de seguridad de la información, es de importancia crítica que la Oficina de
Seguridad (Física) y la Oficina de Seguridad de la Información colaboren e interactúen
estrechamente. asegurar que se hayan implementado controles de seguridad efectivos en
toda la COMPAÑÍA X.
Además de lo mencionado anteriormente, la Oficina de Seguridad es el punto de contacto
con la policía y otras funciones de seguridad del estado con respecto a la seguridad
nacional y la legislación relacionada. También es responsable del establecimiento y las
operaciones del Comité Conjunto de Planificación (JPC) como se describe a continuación
en la sección 8.2.2.
La Oficina de seguridad de la información y la Oficina de seguridad deben trabajar juntas
para garantizar la seguridad integral de los recursos de información de la EMPRESA X y
garantizar que la seguridad física de la EMPRESA X cumpla con las políticas, los
estándares, los procesos y los procedimientos de seguridad de la información.
Por último, dado el papel de las Oficinas de Seguridad (físicas) como punto de contacto con
la policía y otras funciones de seguridad del estado, la Oficina de Seguridad de la
Información deberá informar a la Oficina de Seguridad dónde:
1) la COMPAÑÍA X desea abrir un caso por cargos criminales relacionados con
infracciones de seguridad de la información
2) la Oficina de Seguridad de la Información se da cuenta de la actividad que implica
una amenaza o riesgo para la seguridad nacional
6.1.8. Servicios jurídicos
La COMPAÑÍA X Legal Services brinda asesoría legal general a la organización, incluso
sobre el empleo y la ley de propiedad intelectual. También ayuda a evaluar el riesgo
contractual, el litigio, las negociaciones y con ciertas funciones secretariales de la
compañía.
En relación con la Oficina de Seguridad de la Información, los Servicios Legales deberán:
• Asegurar que todas las cuestiones legales tengan en cuenta los requisitos de
• Asegúrese de que las obligaciones de seguridad de la información se tengan
en cuenta en todos los asuntos legales. Esto puede incluir, entre otras cosas,
respaldar la redacción de las plantillas de contratos y ayudar a los Servicios
Legales a ayudar a los clientes a concluir acuerdos con terceros en los que se
deben incorporar los requisitos de seguridad de la información.
• Trabajar con los Servicios Legales (y RRHH) cuando se trata de incidentes /
infracciones de seguridad de la información
La relación entre la Oficina de Seguridad de la Información y los Servicios Legales debe ser
administrada por el CISO y el Jefe de Servicios Legales, quienes deben garantizar la
cooperación apropiada entre las dos oficinas.
6.1.9. Oficina de riesgos
La Oficina de Riesgos de la COMPAÑÍA X es responsable de garantizar que todos los
riesgos sean identificados, monitoreados y mitigados. La Oficina de Seguridad de la
Información y la Oficina de Riesgos deben trabajar juntas para garantizar que todos los
riesgos relacionados con la seguridad de la información identificado, rastreado y registrado
en los registros de riesgos relevantes y que se tomen las medidas apropiadas para
minimizar o eliminar los riesgos. Los riesgos críticos y de alta calificación identificados por la
Oficina de Seguridad de la Información y comunicados a la Oficina de Riesgos deberán ser
informados a la Junta. La Oficina de riesgos debe comunicarse con la Oficina de seguridad
de la información para asegurarse de que se tomen las medidas adecuadas para abordar
adecuadamente los riesgos que son responsabilidad de la Oficina de seguridad de la
información.
La relación entre la Oficina de Seguridad de la Información y la Oficina de Riesgos debe ser
administrada por el CISO y la EMPRESA X Risk Manager.
6.1.10. Auditoría interna
La auditoría interna proporciona una garantía independiente de que los procesos de gestión
de riesgos, gobierno y control interno de la organización están funcionando de manera
efectiva.
En relación con la Oficina de Seguridad de la Información, la Auditoría Interna deberá:

• Asegurar que la Oficina de Seguridad de la Información gestiona de
manera efectiva los riesgos de seguridad de la información de la
COMPAÑÍA X.
• Resalte las debilidades, las áreas de mejora y las recomendaciones
cuando los hallazgos indiquen que la Oficina de SI no gestiona
eficazmente los riesgos identificados.
• Gestionar la relación con el Auditor General y cualquier otra empresa de
auditoría relevante encargada de realizar seguridad de la información o
auditorías relacionadas
• Apoyar las actividades de auditoría
• Solicitar garantía independiente sobre asuntos relacionados con la
seguridad de la información de la auditoría interna
• Comunicarse con la auditoría interna para analizar el plan de cobertura de
auditoría para las auditorías de seguridad de la información y los
estándares normativos que se utilizarán para realizar las auditorías.
• Establecer un cronograma de evaluaciones regulares de SI, auditorías,
pruebas y revisiones
6.1.11. Comunicaciones
COMPAÑÍA X Communications es responsable de las comunicaciones internas y externas,
el marketing, el asesoramiento sobre el riesgo reputacional y las intervenciones de
comunicación requeridas dentro de la organización.
En relación con la Oficina de Seguridad de la Información, las Comunicaciones deberán:
• Apoyar las campañas de concientización de SI y los requisitos de
comunicación en toda la organización, y cuando sea necesario, fuera de
la COMPAÑÍA X (como terceros y clientes)
• Consultar con la oficina de SI sobre asuntos relacionados con la
• Participar en el proceso de gestión de incidentes de seguridad de la
información para incidentes en los que la EMPRESA X es requerida o
decide hacer declaraciones públicas o anuncios sobre tales incidentes o
manejar cualquier incidente mediático como resultado de una infracción /
incidente. En tales casos, Communications proporcionará asesoramiento
sobre el contenido de las declaraciones / anuncios y los canales para la
entrega de los mismos
• Asociarse con los recursos de las Comunicaciones para desarrollar o
supervisar el desarrollo de material de campaña de sensibilización
• Solicitar revisiones de Comunicaciones de todo el conocimiento y / o
material de comunicación antes de ser publicado / distribuido.
6.1.12. Unidades Operativas (OU)
Las unidades operativas (OU) realizan trabajos de investigación y desarrollo dentro de los
diversos dominios científicos en los que la EMPRESA X está activa. Las unidades
organizativas también contienen representantes de servicios compartidos, como recursos
humanos y personal de finanzas, sin embargo, este personal informa a sus personas
mayores en servicios compartidos. Además, a menudo celebran contratos con terceros.
En relación con la Oficina de Seguridad de la Información, las OU deberán:
• Apalancarse con el Campeón de seguridad de la información designado
para respaldar los requisitos de seguridad de la información para una
unidad organizativa. Sin embargo, puede ser necesario que las OU
trabajen directamente con la Oficina de Seguridad de la Información en
situaciones más complejas y / o inusuales.
• Si es necesario, consulte con la oficina de SI sobre asuntos relacionados
con la seguridad de la información.
• Asegurar que toda la investigación y desarrollo que se lleva a cabo dentro
de la COMPAÑÍA X se realice de una manera que cumpla con la política
de seguridad de la información y los estándares, procesos y
procedimientos relacionados.

• Trabajar con cada unidad organizativa para garantizar que realiza sus
actividades de investigación de manera que cumpla con la política de
seguridad de la información de la empresa X, la política de privacidad de
la información y sus obligaciones legales y reglamentarias cuando se
trata de cuestiones de seguridad de la información
• Soporte y consulta en asuntos relacionados con la exposición a la
Seguridad de la Información de la COMPAÑÍA X
• Realizar evaluaciones de SI programadas y ad hoc, auditorías, pruebas y
/ o revisiones de las unidades organizativas para garantizar el
cumplimiento del marco de políticas de SI y / o las obligaciones legales.
Dentro de las OUs, todos los Gerentes de Área de Competencia (CAM) serán entrenados y
formalmente designados (o un recurso delegado) como Campeones de Seguridad de la
Información (ISC). Se les exigirá que garanticen que los riesgos de seguridad de la
información en la investigación llevada a cabo dentro de sus áreas de competencia hayan
sido abordados adecuadamente. Las OU pueden solicitar (delegar formalmente) que un
empleado alternativo o empleados adicionales sean designados como ISC (tales como
líderes de grupos de investigación (RGL) o posiblemente investigadores estratégicos);
dichas solicitudes deben ser aprobadas por la Oficina de SI. Las OU también pueden
solicitar que otros individuos / roles (por encima del ISC formalmente designado) dentro de
sus unidades reciban la misma capacitación que los ISC, por ejemplo, gerentes de
proyectos o ciertos RGL. Si a los individuos / roles adicionales se les otorga capacitación de
ISC, esto no resta valor a las responsabilidades formales de los nombrados como ISC.
Si bien el mandato de la Oficina de SI es evaluar la manera en que se lleva a cabo la
investigación, no se requiere proporcionar asesoramiento u orientación donde la seguridad
de la información en sí misma forma parte del tema de la investigación. La oficina IS lo hará,
sin embargo, es necesario garantizar que cualquier información relacionada con la
investigación, datos o propiedad intelectual esté (como mínimo) asegurada de conformidad
con las políticas y las obligaciones legales de seguridad de la información de la empresa X.
La Oficina de SI puede, según su propio criterio, ayudar a los grupos de investigación con el
contenido de la investigación.
6.2. Interesados externos
Las partes interesadas externas son las personas, grupos o entidades fuera de la
COMPAÑÍA X que pueden tener un impacto en la COMPAÑÍA X, más específicamente en la
Oficina de Seguridad de la Información. Estos se discuten en las secciones que siguen.
6.2.1. Agencia de Seguridad del Estado (SSA)

La Agencia de Seguridad del Estado de Sudáfrica proporciona al gobierno sudafricano
información sobre amenazas nacionales y extranjeras o posibles amenazas a la estabilidad
nacional, el orden constitucional y la seguridad y el bienestar de la población. El SSA
también es responsable de la supervisión de la seguridad de la información en todas las
entidades estatales y, en particular, en los puntos clave nacionales. La SSA también puede
realizar evaluaciones de seguridad de la información de la COMPAÑÍA X. Además, es
responsable de proporcionar información de inteligencia y amenazas según corresponda y
cuando sea necesario.
6.2.2. Auditor General (AG)
El Auditor General de Sudáfrica es una institución del capítulo nueve y la única institución
que audita e informa sobre el gasto del público en el dinero de los contribuyentes. Entre
otros tipos de auditorías, AG realizará auditorías de seguridad de la información y auditorías
de controles generales de TI, que examinan los controles de las siguientes áreas de
enfoque (entre otras): gobierno de TI, gestión de seguridad, control de acceso de usuarios y
continuidad del servicio de TI. Como entidad estatal, la empresa X será auditada por la AG.
Si bien todas las auditorías se facilitarían a través de la Oficina de Auditoría Interna de la
EMPRESA X, la AG es una parte interesada externa importante.
6.2.3. Regulador de información
El Regulador de Información se establecerá como resultado de la Ley POPI. El Regulador
de la información, cuando sea designado, tendrá el poder de investigar y penalizar a las
partes que incumplan la Ley POPI. La Oficina de Privacidad de la EMPRESA X es
responsable de cumplir con la Ley POPI y actuar de enlace con el Regulador de
Información. Sin embargo, la Oficina de Seguridad de la Información debe respaldar la
Oficina de Privacidad para garantizar que la EMPRESA X cumpla con sus obligaciones de
seguridad de la información bajo la Ley POPI. .
6.2.4. Centro de seguridad cibernética
El Hub de Ciberseguridad se ha establecido como resultado del Marco de Políticas de
Ciberseguridad Nacional (NCPF). El objetivo del Centro de seguridad cibernética es reunir
información sobre amenazas del sector público y privado, así como procesar y difundir dicha
información a todas las partes interesadas pertinentes. Cybersecurity Hub ayudará a la
Oficina de Seguridad de la Información a estar al tanto de la evolución de los riesgos, las
amenazas y las vulnerabilidades y brindará orientación sobre cómo tratar
con lo anterior. La Oficina de Seguridad de la Información es responsable de informar
incidentes de seguridad de la información al Centro de Seguridad Cibernética. Mientras se
ha establecido el Hub de Ciberseguridad, sus procesos y operaciones aún no han
comenzado formalmente.
6.2.5. Proveedores de servicio
La COMPAÑÍA X adquiere los servicios de organizaciones en apoyo de diversas
operaciones. La Oficina de Seguridad de la Información debe garantizar que los
proveedores de servicios con los que la EMPRESA X conocen la política de seguridad de la
información de la EMPRESA X, así como cualquier otro estándar relacionado con la
seguridad de la información, procesos o procedimientos que deben cumplir para garantizar
que la EMPRESA Los recursos de información de X están protegidos. La Oficina de
Seguridad de la Información también debe garantizar que los requisitos relevantes de
Seguridad de la Información se hayan incluido dentro de las obligaciones contractuales con
los proveedores de servicios.
6.3. Grupos de interés especial
Los grupos de interés especial (SIG) consisten en un grupo de miembros que comparten
información o investigación dentro de un campo especializado de estudio o experiencia. Los
SIG son comunidades con un interés compartido en el avance de un área específica de
conocimiento, y pueden cooperar para producir soluciones, comunicarse, reunirse y
organizar conferencias.
Los grupos de intereses especiales relacionados con la seguridad de la información a los
que la EMPRESA X y / o la Oficina de SI pueden suscribirse o participar incluyen:
• Gartner
• Foro de seguridad de la información (ISF)
• Asociación de Auditoría y Control de Sistemas de Información (ISACA)
• Asociación de Seguridad de Sistemas de Información (AISS)
• SANS Institute
6.4. Buenas prácticas de seguridad de la información
Mediante la alineación o referencia a las mejores prácticas, IS Office puede garantizar que
las capacidades y controles que se implementan se comparan y alinean con los que están
probados, aceptados y / o prescritos por la industria para la seguridad de la información
dentro de una organización.
Las mejores prácticas con las que se puede alinear la EMPRESA X y / o la oficina de SI
incluyen:
• Centro de Seguridad de la Información (CIS)
• Objetivos de control de ISACA para información y tecnologías relacionadas
(COBIT)
• Organización Internacional de Normalización (ISO)
• Biblioteca de Infraestructura de Tecnología de la Información (ITIL)
• Instituto Nacional de Estándares y Tecnología (NIST)
• SANS Institute
6.5. Requisitos Regulatorios y Legislativos
El universo de cumplimiento de la seguridad de la información dentro de Sudáfrica está
evolucionando y madurando con la redacción de una serie de nuevas leyes o reglamentos y
discutido. El universo normativo y legislativo actual de la EMPRESA X ha sido detallado
dentro de la Estrategia de Seguridad de la Información. Los comités y foros que deben
establecerse, o en los que debe participar la oficina de SI, se detallaron en las secciones a
continuación.
7. ES OFICINA DISEÑO ORGANIZACIONAL

Esta sección describe la estructura de la Oficina de seguridad de la información.
7.1. Oficina de seguridad de la información
La Oficina de Seguridad de la Información será dirigida y administrada por el CISO y
contará con el respaldo de varios especialistas en seguridad de la información. El CISO
proporciona liderazgo para la Oficina de Seguridad de la Información como gerente de línea
directa de los Especialistas de Seguridad de la Información y es responsable de garantizar
que la Oficina de IS desempeñe su función para respaldar y habilitar los objetivos
comerciales mientras cumple con los requisitos legales y de cumplimiento normativo.
Una vez establecida, la Oficina de SI formará parte de la Oficina del CIO a corto plazo. Se
requieren varios roles para ayudar al CISO a alcanzar los objetivos estratégicos, tácticos y
operativos de la Oficina de SI.
Las principales funciones de la Oficina de Seguridad de la Información son:
• Conviértase en una función central que gobierna todos los aspectos de la
seguridad de la información dentro de la COMPAÑÍA X
• Documentar y mantener políticas, estándares, procesos, procedimientos y
pautas para garantizar la seguridad de los recursos de información de la
COMPAÑÍA X, e impulsar la adherencia y / o cumplimiento de estos.
• Establecer y mantener un programa de seguridad de la información de toda la
empresa X-wide
• Ser responsable y responsable de los riesgos de la información, las
amenazas y las vulnerabilidades, y se espera que entregue una postura
mínima de seguridad de la información para la seguridad de la información en
toda la organización.
• Establecer y mantener un programa de concientización y capacitación de
toda la EMPRESA a fin de incorporar una cultura de seguridad de la
información en la organización
• Administrar la investigación y el manejo de incidentes de seguridad de la
información y / o infracciones
Para comprender completamente el valor que la Oficina de SI traerá a la COMPAÑÍA X, es

importante entender la alineación de la Oficina de SI con la estructura organizacional de la
EMPRESA X.
7.2. COMPAÑÍA X Estructura organizacional

La siguiente figura muestra la estructura de gestión ejecutiva de COMPANY X.
IMAGEN BORRADA
Figura 4: estructura de gestión ejecutiva de COMPANY X
7.3. Líneas de informes de la oficina de seguridad de la información
La línea de informes del CISO y las relaciones con los jugadores de roles clave se ilustra en
el siguiente diagrama:
Figura 5: Línea de informes CISO
El CISO informa al Oficial Principal de Información (CIO), quien a su vez informa al
Ejecutivo del Grupo: Servicios Compartidos. El CISO también puede informar
indirectamente al Gerente de Riesgos y, si es necesario, al Ejecutivo del Grupo: Servicios
Compartidos. Todos los recursos de seguridad de la información informan al CISO, con la
excepción de los recursos empleados en OU.
7.4. Estructura interna de la Oficina de Seguridad de la Información

La Oficina de Seguridad de la Información estará bajo la dirección del CISO. Se necesitarán
diversos recursos para respaldar al CISO y para garantizar que la Oficina de Seguridad de
la Información alcance sus objetivos.
El organigrama para la estructura interna del equipo de la Oficina de Seguridad de la
Información se puede ver en FIGURA 6
Figura 6: Organograma de la Oficina de Seguridad de la Información
En términos de la estructura del equipo representada anteriormente, hay dos áreas de
enfoque clave para la Seguridad de la Información dentro de la COMPAÑÍA X, a saber, la
Gestión y Gobierno de la Seguridad de la Información y las Operaciones de Seguridad de la
Información. En pocas palabras, el Gobierno y la Administración de SI definirían las reglas
(o controles) y verificarían el cumplimiento de estas reglas, las Operaciones de SI
implementarían una gran parte de las reglas y administrarían las tecnologías que hacen
cumplir estas reglas. El enfoque y las responsabilidades de estas áreas son las siguientes:
• Gobernanza y gestión de la seguridad de la información
Responsable del establecimiento y mantenimiento de una política de seguridad de la
información, una arquitectura de seguridad de la información empresarial (EISA), así como
la gobernanza, el cumplimiento y la gestión de la seguridad de la información dentro de la
EMPRESA X. Las áreas de enfoque más específicas incluirían:
• Alineación estratégica de la estrategia, los objetivos y la hoja de ruta de
SI con la estrategia, los objetivos y los planes de TI y de TI
• Documentar el marco de cumplimiento de seguridad de la información
• Proporcionar dirección estratégica, recursos y requisitos presupuestarios
• Permitir e impulsar la implementación del programa de seguridad de la
información
• Gestión del riesgo de seguridad de la información
• Desarrollo, mantenimiento y aplicación del marco de la política de
• Conciencia y capacitación en seguridad de la información
• Soporte para seguridad organizacional y objetivos generales de
continuidad comercial
• Definición de requisitos y controles de SI relevantes (para sistemas de
información y procesos de negocios)
• Establecimiento de las capacidades de seguridad de información
requeridas
• Monitorear y medir la efectividad de los controles y servicios de seguridad
de la información
• Asegura la efectividad de los controles de SI y hace recomendaciones
para mejorar
• Aborda todas las amenazas de seguridad que una organización podría
enfrentar de manera estructurada
• Servicios de consultoría y asesoramiento
La gobernanza y gestión efectiva de SI es la piedra angular en un esfuerzo por transformar
la seguridad de la información en una actividad proactiva impulsada por el liderazgo
empresarial, en lugar de una respuesta reactiva impulsada por los tecnólogos dentro de una
organización. Al introducir un enfoque estructurado para la seguridad de la información, una
organización puede mejorar su postura de seguridad, reducir los costos relacionados con la
seguridad de la información y mejorar el cumplimiento.
• Operaciones de seguridad de la información
Esta área es responsable de las operaciones diarias (administración, configuración y
soporte) de diversas tecnologías, dispositivos y / o sistemas de seguridad de la información,
así como del servicio y soporte de todas las solicitudes e incidentes operacionales en un
nivel de control de seguridad de la información técnica.
También es el área donde se supervisan, evalúan y controlan la infraestructura, las
tecnologías de seguridad y los sistemas de información de toda la empresa, y donde se
identifican y gestionan los eventos y / o incidentes de seguridad de la información. También
apoyan la identificación, mitigación y / reparación de amenazas, vulnerabilidades y riesgos a
nivel operativo.
NOTA: Actualmente, existen recursos dentro de las TIC que tienen funciones dobles, es
decir, realizan tareas operativas de TIC e IS, por ejemplo, un recurso será tanto un
administrador de red como un administrador de cortafuegos. Esto crea un conflicto de
intereses ya que ahora ambos son "el jugador y el árbitro": administran la red y la protegen /
vigilan. Si bien idealmente todos los recursos de operaciones de SI deben ser únicamente
responsables de las operaciones de SI, y deben ser responsables de controlar los servicios
y operaciones de TIC, se recomienda que, a corto plazo, estos recursos permanezcan
dentro de sus funciones y funciones actuales dentro de los servicios de TIC. Esto es para
permitir que el enfoque principal de la Oficina de SI sea el establecimiento de una base
sólida de gestión y gobierno para la seguridad de la información. Por lo tanto, las
Operaciones de SI continuarán siendo administradas por los servicios de TIC con
supervisión de la Oficina de SI. En el futuro, se propone que haya una realineación de estos
recursos y / o responsabilidades con la Oficina de SI.
7.5. Descripciones de funciones de la oficina de seguridad de la información

Las descripciones detalladas de los roles de CISO y los roles de IS de soporte se pueden
encontrar en las tablas a continuación.
7.5.1. Director de seguridad de la información (CISO)
Propuesta de El CISO será responsable de:
trabajo • El desarrollo y la implementación de cualquier
estrategia de seguridad de la información y marco
de SI
• Mantener un programa integral de seguridad de la
información X de la EMPRESA para garantizar que
todos los recursos de información de la COMPAÑÍA
X estén adecuadamente protegidos contra
amenazas internas / externas actuales / futuras.
• Evaluar y gestionar riesgos, amenazas y
vulnerabilidades de la seguridad de la información,
y garantizar que se implementen medidas de
seguridad y / o mitigación adecuadas para proteger
los recursos de información de la COMPAÑÍA X.
Unidad Servicios ICT
Informes a Director de información (CIO)

Reportes directos • Arquitecto de seguridad de la información
• Especialista en gestión de seguridad de la
información
• Especialista Senior en Seguridad de la Información
• Especialista en seguridad de la información
• Jefe de equipo de operaciones de seguridad de la
información
Responsabilidades El CISO tendrá la responsabilidad general de:
del Principio
• El desarrollo y la implementación de cualquier
estrategia, políticas, estándares, procesos y
procedimientos de seguridad de la información
CISR que sean necesarios para el cumplimiento de
esta política o cualquier obligación legal y que
apoye los objetivos empresariales y TIC de la
COMPAÑÍA X
• Garantizar la implementación, mejora, monitoreo y
aplicación de las políticas de seguridad de la
información y todos los sistemas y controles de
seguridad de la información de respaldo
• El CISO tendrá la responsabilidad general de
mantener:
• Un programa integral de seguridad de la
información X de toda la EMPRESA para garantizar
que todos los recursos de información de la
COMPAÑÍA X estén adecuadamente protegidos
contra amenazas actuales o futuras, internas o
externas
• Contacto con las autoridades pertinentes, grupos

de interés especiales u otros foros especializados
en seguridad de la información y asociaciones
profesionales
El CISO administrará:
• presupuesto general para la seguridad de la

información
• investigar las infracciones de los controles y / o
políticas de seguridad de la información, y
tomar las medidas necesarias, incluida la
implementación de controles de compensación
adicionales
• oficina de seguridad de la información
El CISO se asegurará de:
• que se realice un seguimiento adecuado de las

violaciones de seguridad y respalde los
procesos disciplinarios y / o legales cuando sea
necesario
• cumplimiento de las reglamentaciones y
obligaciones contractuales aplicables, y trabaja
con la empresa para alinear los controles de
seguridad de la información con los objetivos
comerciales
• Desarrollar, implementar y mantener una
arquitectura de seguridad de la información
empresarial (EISA) que satisfaga las
necesidades comerciales actuales y futuras
• Evaluar y administrar riesgos, amenazas y
vulnerabilidades de seguridad de la información,
y garantizar que se implementen medidas de
seguridad y / o mitigación adecuadas para
proteger los recursos de información de la
COMPAÑÍA X.
• Proporcionar servicios de consulta de seguridad
de la información y recomendar métodos para
mitigar riesgos, amenazas y / o vulnerabilidades
de seguridad de la información
• Coordinar el desarrollo y la implementación de
un programa de capacitación y concientización
sobre seguridad de la información
• Informar regularmente sobre el estado general
del programa de seguridad de la información y
la madurez de la seguridad de la información
dentro de la organización
• Coordinar y supervisar las actividades de los

miembros del Equipo de seguridad de la
información
• Proporcionar supervisión de las Operaciones de
seguridad de la información dentro de la
COMPAÑÍA X
7.5.2. Gobierno y gestión de la seguridad de la información

Las siguientes funciones de seguridad de la información se han propuesto para formar parte
de la Oficina de SI inicial y comprenden los requisitos de recursos inmediatos de la Oficina
de IS:
7.5.2.1. Arquitecto de seguridad de información
Propuesta de El Arquitecto de Seguridad de la Información es un
trabajo especialista en Seguridad de la Información que se
encargará de:
• El desarrollo y mantenimiento de la arquitectura de
seguridad de la información empresarial (EISA) de
la EMPRESA X en apoyo del universo de
cumplimiento de la seguridad de la información de
la EMPRESA X, en alineación con el contexto
empresarial y los objetivos, así como las mejores
prácticas relevantes de la industria
• Proporcionar habilidades de seguridad de
información experta para poder diseñar y evaluar
controles de seguridad de la información
• Asegurar que los controles de seguridad de la
información se hayan incorporado a varios marcos,
metodologías y puntos de control en toda la
organización
Unidad Servicios TIC: Oficina de Seguridad de la Información
Informes a CISO
Reportes directos Ninguno
Responsabilidades • Mantener y actualizar el universo de cumplimiento de
del Principio seguridad de la información de COMPANY X
(comprensión de las cláusulas y requisitos de
seguridad de la información desde una perspectiva
legal y regulatoria, así como de la ISO 27001 y otras
prácticas relevantes de la industria)
• Mantener la estrategia de seguridad de la información
alineada con el contexto empresarial de la EMPRESA
X, la estrategia de las TIC, las mejores prácticas
industriales y la seguridad de la información industrial y
las tendencias de TI
• Incorporación de controles y requisitos clave según el
universo de cumplimiento de seguridad de la
información de COMPANY X en la Estrategia de
seguridad de la información, Arquitectura de seguridad
empresarial y marco de seguridad de la información
Mantenerse al tanto de:

• tecnologías en evolución para garantizar que se
implementen y mantengan controles de seguridad
de la información apropiados en la COMPAÑÍA X
• De los últimos desarrollos aplicables a la seguridad
de la información (ya sea dentro del área de
seguridad de la información, a nivel de negocios o
dentro de TI)
• Desarrollar y / o mantener la Arquitectura de
Seguridad de la Información Empresarial de la
EMPRESA X (EISA)
• Soporte Enterprise Architecture (EA), arquitectura
técnica y de soluciones mediante la incorporación
de requisitos y controles de seguridad de la
información en arquitecturas y diseños nuevos y / o
actualizados
• Tecnología directa de seguridad de la información y
desarrollo de capacidades de toda la organización
• Definir medidas y medidas de seguridad de la
información para medir la adecuación y eficacia de
los controles de seguridad de la información
• Proporcionar orientación sobre aspectos de
seguridad de la información con respecto a las
adquisiciones y / o actividades de contratación
• Asegurar que los controles de seguridad de la
información se hayan incorporado a varios marcos,
metodologías y puntos de control en toda la
organización
• Apoye a la Oficina de administración de programas
(PMO) garantizando que los requisitos de
seguridad de la información se incorporen en todos
los proyectos y en la gobernanza del proyecto.
• Asegurar que se establezcan los criterios de
aceptación y / o implementación de la seguridad de
la información para nuevos sistemas de
información, actualizaciones y / o nuevas
versiones.
• Solicitudes de servicio de asistencia o información
de EA, riesgos, TIC, oficina de privacidad, oficina
de seguridad (física), auditoría interna y otras
partes interesadas (por ejemplo, unidades
operativas) con respecto a la seguridad de la
información
• Ser capacitado como un Campeón de privacidad
para garantizar que los requisitos de SI
relacionados con la privacidad se hayan
incorporado adecuadamente en el EISA.
7.5.2.2. Especialista Senior en Gestión de la Seguridad de la Información

Propuesta de El especialista en gestión de la seguridad de la
trabajo información senior es un especialista en seguridad de la
información que se encargará de:
• Proporcionar habilidades de seguridad de la información
de expertos para diseñar, implementar, supervisar y
evaluar los controles de seguridad de la información
técnica
• Asegurar que la oficina de seguridad de la información y
la COMPAÑÍA X como organización cumplan con el
universo de cumplimiento de seguridad de la información a
través del marco de seguridad de la información
• Mantener el Marco de seguridad de la información
impulsando el desarrollo y el mantenimiento de controles
administrativos de seguridad de la información, como
políticas de seguridad de la información, normas y
procedimientos.
• Respaldar y / o conducir evaluaciones de seguridad de la
información, revisiones, pruebas y auditorías regulares,
así como impulsar la remediación de riesgos.
• Administrar y mantener el registro de riesgos de
• Administrar y respaldar el proceso de gestión de
incidentes de seguridad de la información
• Apoya las actividades de sensibilización y capacitación
• Apoya al CISO en sus actividades
El especialista Senior IS Management es responsable de

la supervisión de uno o más especialistas en seguridad de
la información.
Unidad Servicios ICT: Oficina de Seguridad de la Información
Informes a CISO
Reportes directos Especialista en seguridad de la información
Responsabilidades • Asegurar que la oficina de seguridad de la
principales información y la COMPAÑÍA X como organización
cumplan con el universo de cumplimiento de
seguridad de la información a través del marco de
• Mantener el marco de seguridad de la
información, incluida toda la política de seguridad
de la información, estándares, procesos y
procedimientos
• Administrar todas las exenciones / desviaciones
de seguridad de la información, incluido el proceso,
formulario y registro
• Incorporar consideraciones de seguridad de la
información, requisitos y / o controles en los
controles de gobierno de TI
• Mantener y / o establecer el inventario de activos
de información y establecer un proceso para
mantener este registro
• Asegurar que se hayan definido e implementado
procesos efectivos de gestión de riesgo, amenaza y
/ o vulnerabilidad a la seguridad de la información.
• Establecer y mantener un calendario de
evaluación de SI
• Facilitar, conducir y / o realizar evaluaciones
periódicas de riesgos, amenazas y / o
vulnerabilidades, auditorías, revisiones y / o
pruebas, y recomendar medidas apropiadas para
mitigar los riesgos identificados.
• Gestione el registro de riesgos de seguridad de la
información y garantice la escalada y el informe a la
oficina de riesgos de la EMPRESA X. Impulsar la
mitigación y / o remediar todos los hallazgos de
• Administre y / o ejecute el proceso de gestión de
vulnerabilidades y asegúrese de que se realice una
exploración de vulnerabilidades según el enfoque y
el proceso de gestión de vulnerabilidades
aprobados.
• Identificar tendencias y cambios significativos en
los riesgos de seguridad de la información de la
EMPRESA X y, cuando corresponda, proponer
cambios a los controles de seguridad de la
información y / o al marco de políticas.
• Mantener los registros del Sistema de gestión de
la seguridad de la información (ISMS), la matriz de
registros y los requisitos de cumplimiento del SGSI,
así como garantizar que el SGSI respalde el
Sistema de gestión de la calidad de la EMPRESA
X.
• Soporte de marco y proceso de gestión de activos
de software (SAM) (revise los riesgos de las
exenciones de software)
• Revise todos los cambios registrados a través del
proceso de gestión de cambios para detectar
posibles impactos en la seguridad de la
información, y aporte sugerencias y
recomendaciones para reducir el riesgo de
seguridad de la información.
• Revisar las lecciones aprendidas de los incidentes
de seguridad de la información y, cuando sea
apropiado, recomendar mejoras estratégicas para
abordar cualquier causa raíz subyacente
• Monitorear e informar sobre el cumplimiento de
las políticas, normas y procedimientos de seguridad
de la información
• Informar periódicamente sobre la madurez, el
estado, la efectividad y la adecuación de los
controles de seguridad de la información
• Dirigir el proceso de gestión de incidentes de
seguridad de la información y coordinar recursos y
esfuerzos para resolver y / o gestionar el incidente.
• Dirigir investigaciones de seguridad de la
información y apoyar investigaciones de TIC
• Involucrado y soporte del proceso de gestión de
incidentes de privacidad (si es necesario)
• Facilita y / o proporciona conciencia y
capacitación en seguridad de la información para el
personal de TIC, los usuarios finales y otros
• Asegurarse de que la seguridad de la información
esté integrada en los sistemas generales de
Gestión de Continuidad del Negocio (BCM) de la
EMPRESA X.
• Participación y apoyo de las actividades y pruebas
de continuidad empresarial y recuperación ante
desastres de la empresa X
• Coordinar y apoyar las funciones de riesgo de ICT
y COMPANY X
• Coordinar, conducir y respaldar la auditoría
interna con respecto a las auditorías de seguridad
de la información o la información requerida para
una auditoría
de riesgos, TIC, oficina de privacidad, oficina de
seguridad (física), auditoría interna y otras partes
interesadas (por ejemplo OU) con respecto a la
7.5.2.3. Especialista Senior en Seguridad de la Información
Propuesta de El rol de especialista en seguridad de la información
trabajo superior (Senior ISS) será responsable de:
• Proporcionar habilidades de seguridad de la información
de expertos para diseñar, implementar, supervisar y
evaluar los controles de seguridad de la información
técnica
• Admite el desarrollo de controles administrativos de
seguridad de la información tales como políticas de
seguridad de la información, estándares, procedimientos
• Apoya a la organización a través de servicios de
consultoría y asesoramiento a nivel táctico y operativo
• Supervisa e impulsa la implementación del Programa de
• Llevar a cabo evaluaciones de seguridad de la
información, pruebas, auditorías y revisiones, plantear y
gestionar los riesgos relevantes cuando sea necesario, así
como conducir y / o respaldar la corrección de los
hallazgos
• Apoya las iniciativas de sensibilización y capacitación
• Apoya al CISO en sus actividades
Senior ISS brinda asistencia a uno o más especialistas en

Unidad Servicios TIC: Oficina de Seguridad de la Información
Informes a CISO
Responsabilidades • Apoyar el mantenimiento y la implementación de las
principales políticas, estándares, procesos y procedimientos de
seguridad de la información de la COMPAÑÍA X.
• Mantenerse al tanto de las tecnologías en evolución
para garantizar que los sistemas, dispositivos,
tecnologías y herramientas de seguridad de la
información apropiados estén diseñados, configurados
e implementados
• Diseñar, mantener, administrar e impulsar la
implementación del programa de seguridad de la
información
• Evaluar y medir el rendimiento y la madurez de la
seguridad de la información, e impulsar las iniciativas
de mejora a través del Programa de seguridad de la
información
• Realice pruebas de seguridad de la nueva
infraestructura en un entorno de laboratorio o
desarrollo antes de introducirlo en el entorno en vivo
(según se requiera)
• Dirigir, gestionar y / o apoyar el diseño, la
documentación y la implementación de los requisitos
de control del SGSI y los sistemas de seguridad dentro
de la COMPAÑÍA X
• Supervisar la gestión, configuración y mantenimiento
de todas las tecnologías de seguridad de información
de COMPANY X, incluidos, entre otros, cortafuegos,
sistemas de prevención de intrusos, escáneres de
vulnerabilidad, soluciones de seguridad de punto final,
registro y supervisión, y todas las demás herramientas
de seguridad de la información (según corresponda)
• Realizar pruebas de seguridad de la nueva
infraestructura en un laboratorio o entorno de
desarrollo antes de introducirla en el entorno en vivo
(según se requiera)
• Desarrollar y mantener estándares seguros de
construcción / configuración para todas las
infraestructuras y aplicaciones TIC (especialmente
sistemas orientados a Internet y otros sistemas de alto
riesgo)
• Mantener procedimientos operacionales de seguridad
de la información
• Desarrollar requisitos de seguridad de la información
para sistemas de información y procesos comerciales
• Brindar servicios de consultoría y asesoramiento en
seguridad de la información a todas las unidades de la
EMPRESA X y partes interesadas
• Garantizar informes operativos periódicos y
periódicos relacionados con la seguridad de la
información
• Realizar evaluaciones de riesgo de seguridad de la
información, amenazas y / o vulnerabilidades,
auditorías, pruebas o revisiones de todos los aspectos
de la seguridad de la información (según corresponda)
y recomendar medidas apropiadas para mitigar los
hallazgos identificados y aumentar los riesgos
relevantes cuando sea necesario
• Desarrollar requisitos de seguridad para sistemas y
procesos comerciales, y garantizar que la seguridad de
la información sea una parte integral de los procesos
de gestión de proyectos, así como del desarrollo,
adquisición y mantenimiento de los recursos de
información.
• Apoye las iniciativas de clasificación de la
información y asegúrese de que se identifiquen e
implementen los controles de seguridad mínimos.
• Asegurar que los requisitos de seguridad de la
información se hayan incorporado a los contratos de
terceros, así como los diseños para la
interconectividad de terceros y / o el aprovisionamiento
de servicios.
• Participar en la gestión de incidentes y brotes de
seguridad de la información, y respaldar y / o dirigir
investigaciones de seguridad de la información
• Facilita o proporciona conciencia y capacitación en
seguridad de la información para el personal de TIC,
los usuarios finales y otros
• Soporte y gestión de todas las solicitudes de servicio
de centro de llamadas TIC
• Asegurar que se siga el proceso de gestión de
cambios para todos los cambios de seguridad de la
información
• Solicitudes de asistencia y servicio para asistencia o
información de Risk, ICT, Privacy office, auditoría
interna y otras partes interesadas (por ejemplo, OU)
con respecto a la seguridad de la información
• Solicitudes de servicio de asistencia o información de
EA, Riesgo, TIC, oficina de privacidad, oficina de
interesadas (por ejemplo, OU) con respecto a la
• Cumplir el rol de un campeón de privacidad
7.5.2.4. Especialista en seguridad de la información
Propuesta de El especialista en seguridad de la información es un
trabajo especialista que es responsable de:
• Desarrollar, mantener, coordinar e implementar todas las
iniciativas de concientización y capacitación sobre
seguridad de la información para la COMPAÑÍA X como
un todo
• Gestionar todas las vías de comunicación (ya sean
internas o externas) en colaboración con las
Comunicaciones
• Respaldar las responsabilidades de todos los
especialistas superiores en seguridad de la información,
incluido el mantenimiento del marco de seguridad de la
información, la implementación del programa de seguridad
de la información y la realización de evaluaciones,
exámenes y pruebas de seguridad de la información.
Informes a Especialista Senior en Gestión de la Seguridad de la
Información
Responsabilidades • Desarrollar, mantener, coordinar e implementar
principales todos los planes e iniciativas de concientización
sobre seguridad de la información e iniciativas para
varias audiencias en toda la COMPAÑÍA X en
general (incluidos empleados permanentes,
pasantes, estudiantes, contratistas y terceros)
• Crear conciencia sobre las políticas, los
estándares, los procesos y los procedimientos de
seguridad de la información, así como los riesgos y
las amenazas a la seguridad de la información
según corresponda para los empleados de la
COMPAÑÍA X.
• Presentar los requisitos, controles y / o
expectativas de seguridad de la información en
foros relevantes, reuniones y / o sesiones de
inducción
• Mantener el sitio web de seguridad de la
información de COMPANY X, y todas las vías de
conocimiento tales como, entre otros, el blog de
seguridad de la información y el glosario.
• Administrar el buzón de seguridad de la
información y responder a las consultas de los
usuarios
• Coordinar, colaborar y capacitar a los Campeones
de Seguridad de la Información
• Reunirse periódicamente con las partes
interesadas clave a fin de garantizar que sus
necesidades y requisitos de seguridad de la
información se cumplan o se aborden
• Asegurar que todos los empleados de la
COMPAÑÍA X conozcan, entiendan y apliquen sus
responsabilidades de seguridad de la información a
través de las iniciativas de concienciación y
capacitación
de EA, riesgos, TIC, oficina de privacidad, oficina
de seguridad (física), auditoría interna y otras
partes interesadas (por ejemplo, unidades
operativas) con respecto a la seguridad de la
información
• Respaldar los resultados del Especialista en
Gestión de la Seguridad de la Información en el
mantenimiento del Marco de la Política de
Seguridad de la Información para la COMPAÑÍA X
• Apoyar la implementación del programa de
• Apoyar el proceso de gestión de incidentes a
través de la concientización y las comunicaciones
durante el proceso del incidente, así como después
del incidente para proporcionar conocimiento sobre
las lecciones aprendidas
• Apoyar las comunicaciones con cualquier medio
de comunicación y / o las partes interesadas
externas
• Monitorear registros, eventos, alarmas de
dispositivos de seguridad de la información,
tecnologías, herramientas, sistemas y otra
infraestructura de TIC (según corresponda) para
detectar ataques u otros comportamientos
sospechosos o maliciosos en la red y los sistemas
de COMPANY X. Asegúrese de que todos los
ataques sospechosos o comportamiento malicioso
se investiguen, intensifiquen y actúen según sea
necesario
• Administre y / o ejecute el proceso de gestión de

vulnerabilidades y asegúrese de que se realice una
exploración de vulnerabilidades según el enfoque y
el proceso de gestión de vulnerabilidades
aprobados.
7.5.3. Operaciones de seguridad de la información

Los siguientes roles han sido propuestos como parte de un futuro modelo operativo estatal
por el cual, actualmente se propone que, las Operaciones de Seguridad de la Información
se separarán de las funciones de Servicios ICT:
7.5.3.1. Jefe de Equipo de Operaciones de Seguridad de la Información

Propuesta de El líder del equipo de operaciones de seguridad de la
trabajo información es responsable de:
• Gestionar y coordinar el equipo de Operaciones de SI
• Tener supervisión de todas las operaciones y sistemas
de SI
• Responsable de la implementación técnica y el
mantenimiento de los controles y capacidades de SI
dentro de la COMPAÑÍA X
Informes a CISO
Reportes directos • Analista de seguridad de la información
• Equipo de operaciones de seguridad (*)
Responsabilidades • Administra y coordina el equipo de operaciones de
principales seguridad de la información para garantizar que los
sistemas de seguridad de la información
implementados cumplan con los requisitos de la
política de seguridad de la información
• Supervisión y gestión de todas las operaciones de
seguridad de la información: esto incluye administrar
los sistemas de seguridad y supervisar los roles de
seguridad dentro de otras funciones de las
organizaciones TIC (por ejemplo, administración de
parches y soporte antimalware como parte del soporte
al usuario final).
• Soporte de diseño, configuración y mantenimiento de
los sistemas de seguridad de la información que
protegen a la COMPAÑÍA X
• Ayuda a definir los elementos del programa de
seguridad de la información y asegura que los
elementos de seguridad de la información técnica se
construyan, configuren, implementen y practiquen en
consecuencia
• Impulsa la revisión periódica de los controles
operacionales y su efectividad
• Conducir auditorías operativas regulares de la
configuración implementada (como eliminar el acceso
al cortafuegos no requerido, o eliminar el acceso a una
red privada virtual (VPN) de terceros, etc.)
• Participar y apoyar el (los) procedimiento (s) de
control de cambios
• Impulsar la administración administrativa de las
operaciones de seguridad de la información, como,
entre otras, las siguientes:
 Definiciones de roles de acceso, revisión de
derechos de acceso, administración de privilegios y
usuarios
 Revisión y aprobación de solicitudes de firewall
 Manejar la administración regular de parches de
infraestructura
 Asegurar que los procesos y procedimientos
operativos estén redactados y mantenidos
(incluyendo cualquier formulario de respaldo)
• Responsable de toda la planificación de operaciones
de seguridad de la información, licencias, soporte y
renovación
• Responsable de la gestión del acuerdo de nivel de
servicio (SLA) y mantener las relaciones con los
proveedores de servicios
• Responsable de informar sobre las medidas y
medidas de rendimiento operativo relacionadas con la
• Solicitudes de servicio de asistencia o información de
EA, Riesgo, TIC, oficina de privacidad, oficina de
interesadas (por ejemplo, OU) con respecto a la
7.5.3.2. Equipo de operaciones de seguridad de la información (* recursos

existentes *)
Nota: Actualmente, dentro de las TIC existen recursos existentes cuyas
responsabilidades incluyen operaciones de seguridad de la información,
específicamente la implementación de capacidades de seguridad de la
información y la aplicación de políticas y controles de SI. En el futuro, estos
recursos deberían vincularse a la Oficina de Seguridad de la Información para
poder controlar y hacer cumplir estos controles de manera más efectiva.
Propuesta de El equipo de Operaciones de SI es responsable de:
trabajo
• La implementación técnica, la gestión y el
mantenimiento de los controles y capacidades de SI
dentro de la COMPAÑÍA X dentro del marco de
Informes a Jefe de Equipo de Operaciones de Seguridad de la
Información
Responsabilidades • Instalación, configuración, mantenimiento y gestión
principales de sistemas de seguridad de la información en toda la
red de COMPANY X, así como los controles
necesarios para proteger las interfaces con terceros,
incluidos, entre otros, cortafuegos, sistemas de
prevención de intrusiones, escáneres de vulnerabilidad
y otras herramientas de seguridad de la información
(tan relevante)
• Efectuar las responsabilidades operativas diarias

• Preste servicio a todas las solicitudes de soporte
operacional de la empresa (como solicitudes de acceso
a cortafuegos, apertura de sitios web)
• Monitorear y administrar la disponibilidad de los
sistemas de seguridad de la información
• Informe operativo sobre medidas y medidas de IS
7.5.3.3. Analista de seguridad de la información

Propuesta de El Analista de Seguridad de la Información es
trabajo responsable de:
• Monitorear y analizar todas las amenazas,
vulnerabilidades y eventos relacionados con la
seguridad de la información, y proporciona
información sobre presuntos ataques o incidentes.
• Soporte de gestión e investigación de incidentes de
• Todos los sistemas de monitoreo IS e informes
operativos regulares
Informes a Jefe de Equipo de Operaciones de Seguridad de la
Información.
Responsabilidades • Supervisa, revisa y analiza registros de
principales seguridad, eventos y / o alarmas de sistemas de
seguridad de la información, herramientas,
servidores y otros sistemas TIC (según
corresponda) para detectar ataques u otros
comportamientos sospechosos o maliciosos en la
red y los sistemas de información de la
COMPAÑÍA X.
• Responde a las infracciones y / o violaciones de
la Seguridad de la información y garantiza que
todos los ataques, incidentes o comportamientos
maliciosos sospechosos se investiguen,
intensifiquen y actúen según sea necesario.
• Operar como investigador de seguridad de la
información (buscar nuevas vulnerabilidades y
amenazas y analizar su impacto en la COMPAÑÍA
X).
• Monitorea todos los sistemas de seguridad de la
información.
• Admite las investigaciones de seguridad de la
información y la gestión de incidentes, y
proporciona la evidencia requerida si / cuando sea
necesario.
• Solicitudes de servicio de asistencia o
información de EA, Riesgo, TIC, oficina de
privacidad, oficina de seguridad (física), auditoría
interna y otras partes interesadas (por ejemplo,
OU) con respecto a la seguridad de la información.
• Proporciona informes operativos.
7.6. Roles de seguridad de la información organizacional

La Oficina de Seguridad de la Información debe ser respaldada por varias funciones y
responsabilidades en toda la organización, tal como se define en la Política de Seguridad de
la Información y / o en las descripciones de trabajo individuales.
Un rol específico que se delegará formalmente a los empleados existentes es el del
Campeón de Seguridad de la Información.
7.6.1. Campeones de seguridad de la información (ISCs)
El rol del Campeón de Seguridad de la Información será una responsabilidad adicional a la
de un empleado existente de la COMPAÑÍA X que se encuentre estratégicamente o
tácticamente ubicado dentro de las unidades operativas / centros y funciones de soporte en
toda la COMPAÑÍA X. Estos campeones IS (ISC) serán los promotores de la información
seguridad dentro de su unidad o área, integrando la cultura de la seguridad de la
información en toda la organización, y será el enlace entre la Oficina de Seguridad de la
Información y la unidad o área dentro de la cual operan.
La responsabilidad de la seguridad de la información dentro de un área de competencia
residirá en las CAM relevantes. Sin embargo, este papel puede ser formalmente delegado a
una o varias personas dentro de un área de competencia.
Todos los ISC serán formalmente entrenados y nombrados para proporcionar orientación
básica sobre la clasificación de los activos de información, la incorporación de requisitos de
seguridad de la información en su área de competencia relevante y la evaluación básica de
los riesgos de seguridad de la información. Esto es para asegurar que traigan una cultura y
conciencia de la seguridad de la información en su área de competencia respectiva.
También entenderán y transmitirán las necesidades y requisitos de seguridad de la
información de su área de competencia a la Oficina de SI. Cuando una preocupación sea
más compleja, el ISC tendrá que consultar y / o remitir el asunto a la Oficina de Seguridad
de la Información para intervenir directamente y / o apoyar el ISC.
Varios recursos dentro del área de competencia recibirán capacitación de seguridad de
información similar o más general, pero el empleado delegó la función del ISC deberá ser
nombrado formalmente dentro de su área de competencia respectiva, o cuando se requiera
dentro de proyectos estratégicos y / o proyectos de investigación / equipos.
Del mismo modo, los ISC también deben designarse dentro de las áreas funcionales / de
apoyo, tales como Finanzas y RR. HH., A fin de garantizar una consideración adecuada con
respecto a las preocupaciones / requisitos de seguridad de la información dentro de su área.
Como habrá numerosos ISC en toda la COMPAÑÍA X, los principales métodos de
colaboración / interacción entre ellos y la Oficina de SI serán a través de la comunicación
por correo electrónico y / o participando en las reuniones de gestión periódicas de la OU o
de la función de apoyo (si es necesario). Cuando existe una necesidad o requisito más
complejo, esto puede formalizarse entre el ISC y la Oficina de SI, y se pueden organizar
reuniones o compromisos adicionales.
Las comunicaciones regulares con el ISC incluirán:
• Proporcionar información sobre las operaciones de IS actuales y la hoja de
ruta
• Comunicar más detalles sobre actividades y planes de concientización sobre
seguridad de la información y planes
• Comunicar cualquier información táctica y / o cambios que tengan un impacto
en la unidad organizativa o la función de soporte
• Coordinar y compartir información para garantizar la ejecución coherente del
marco de políticas de seguridad de la información en todas las unidades
organizativas y funciones de soporte.
• Permitir que el ISC proporcione una vía para comprender cualquier
necesidad de soporte y desafíos dentro de su área
Sus principales responsabilidades incluyen, pero no están limitadas a:

• Proporcionar el soporte necesario para gestionar todo tipo de problemas de
seguridad de la información básicos, locales (OU específicos) y así
garantizar que los activos de información de la COMPAÑÍA X estén
protegidos de forma adecuada y coherente.
• Coordinar y compartir información con sus unidades organizativas
respectivas para garantizar la ejecución coherente del marco de políticas de
• Proporcionar una presencia y conocimiento de la seguridad de la
información dentro de su unidad relevante, y evitar que la Oficina de
Seguridad de la Información se convierta en un cuello de botella cuando se
requiera asesoramiento o apoyo con un proyecto o iniciativa.
• Reforzar, por ejemplo, el mensaje de que las políticas y prácticas de
seguridad de la información son importantes para la organización y
transmitirá los requisitos y expectativas de seguridad de la información a sus
funciones de soporte o unidades organizativas relevantes para generar
conciencia continua y centrarse en los requisitos de seguridad de la
información.
• Apoyar al Propietario de Negocio / Información dentro de su unidad para
asignar una clasificación de información apropiada a sus activos de
información, y proporcionar una guía básica sobre las expectativas de
manejo de información (de acuerdo con las normas de SI relevantes)
• Recopilación de métricas y otra información sobre la efectividad general de
los controles de seguridad de la información en su ámbito de competencia e
informe de esto a la Oficina de SI
• Comprender las necesidades y requisitos de seguridad de la información de
su unidad organizativa y colaborar con la oficina de SI para abordar estos
• Admite su unidad organizativa o área funcional en temas relacionados con la
• Colabore con la oficina IS, y traiga aprendizajes y requisitos de vuelta a sus
respectivas unidades organizativas o área funcional
7.6.2. Responsabilidades del empleado para la seguridad de la información
Es responsabilidad de todos los empleados de la COMPAÑÍA X comprender y cumplir con
las políticas de seguridad de la información y los estándares, procesos, procedimientos y
directrices de respaldo. Esto aplica a todos los empleados de la COMPAÑÍA X incluyendo
contratistas permanentes, temporales, terceros, consultores, auditores, pasantes y
estudiantes de la COMPAÑÍA X que acceden a la información de la COMPAÑÍA X o hacen
uso de los recursos de información de la COMPAÑÍA X.
7.6.3. Responsabilidades de la administración para la seguridad de la información

La gerencia tiene la responsabilidad de apoyar los esfuerzos de seguridad de la información
dentro de la organización y cumplir con dicha responsabilidad mediante un compromiso
demostrable. Esto incluye, pero no está limitado a:
• La implementación diaria de la política de seguridad de la información dentro
de su área de competencia, unidad o equipo
• Garantizar que los empleados apliquen y utilicen controles adecuados para
salvaguardar los recursos de información de la COMPAÑÍA X. En particular,
deberían tomar medidas para garantizar que los empleados:
o Están informados de sus obligaciones de cumplir con las declaraciones de
políticas de seguridad de la información relevantes
o Cumplir con las declaraciones de políticas y apoyar activamente los
controles asociados
o Se monitorean para evaluar su cumplimiento con las declaraciones de
política y el correcto funcionamiento de los controles asociados, y se les
recuerda sus obligaciones según corresponda
• Brindar la dirección, los recursos, el soporte y las revisiones necesarias para
garantizar que los activos de información estén protegidos de forma adecuada
dentro de su área de responsabilidad.
• Informar a la Oficina de Seguridad de la Información sobre infracciones reales
o presuntas de las políticas (incidentes de seguridad de la información) que
afecten a sus activos.
• Apoyo a la evaluación del cumplimiento de la política
8. COMPAÑÍA X FOROS Y COMITÉS DE SEGURIDAD DE LA

INFORMACIÓN
La Oficina de Seguridad de la Información apoyará y apoyará el establecimiento de varios
comités y foros como se muestra en la Figura 7.
Figura 7: Comités y foros de seguridad de la información
8.1. Comités y foros estratégicos

Los Comités y Foros Estratégicos son aquellos que apoyan y brindan liderazgo
estratégico a largo plazo, dirección y planificación de la Oficina de Seguridad de la
Información. Esto incluirá el establecimiento de un Comité Directivo de Seguridad de la
Información, así como la representación en el Comité Ejecutivo existente (ExCo)
(cuando sea necesario) y la Privacidad de la Información SteerCo.
8.1.1. Comité Directivo de Seguridad de la Información (ISSC)

La seguridad de la información afecta todos los aspectos de una organización. Para
asegurar que todas las partes interesadas afectadas por consideraciones de seguridad
estén involucradas, se debe formar un comité directivo de ejecutivos. El objetivo del ISSC
será proporcionar dirección estratégica a la Oficina de Seguridad de la Información para
implementar y mantener medidas de seguridad de la información en la COMPAÑÍA X.
También sirve como un canal de comunicación efectivo para los objetivos y direcciones de
la administración y proporciona una base continua para asegurar la alineación del programa
de seguridad de la información con objetivos organizacionales. Es fundamental para lograr
un cambio de comportamiento hacia una cultura que promueva buenas prácticas de
seguridad de la información y cumplimiento de políticas.
El Comité Directivo de Seguridad de la Información (ISSC) se reunirá al menos dos veces al
mes (cada dos meses) para revisar el progreso de las implementaciones, ratificar las
decisiones estratégicas y la dirección de la seguridad de la información, y hacer
recomendaciones cuando sea necesario.
Los miembros del ISSC incluirán una variedad de ejecutivos que representan las diferentes
Unidades Operativas de la COMPAÑÍA X. Estos incluyen:
• Director de seguridad de la información (CISO)
• Chief Finance Officer (CFO) (incluye la responsabilidad de Legal and
Internal Audit)
• Director de privacidad (CPO)
• Ejecutivo de grupo: servicios compartidos
• Gerente de grupo: Recursos humanos
• Risk Manager (también representante en el comité de auditoría y riesgo de
COMPAÑÍA X)
• Ejecutivo de grupo: Operaciones
• Ejecutivo de grupo: alianzas estratégicas y comunicación
• Ejecutivo de grupo: investigación y desarrollo
• CIO
Las responsabilidades del ISSC incluyen:
• Proporcionar una supervisión general de la administración de la COMPAÑÍA
X de la seguridad de la información
• Revisar y aprobar la estrategia y hoja de ruta de seguridad de la información
de la compañía X
• Supervisión del marco de seguridad de la información de la EMPRESA X.
• Supervisar la implementación de un SGSI
• Encargar o aprobar formalmente declaraciones de políticas de seguridad de
la información para su uso en toda la COMPAÑÍA X
• Recibir notificaciones de tendencias y cambios significativos en la
exposición al riesgo de seguridad de la información de la COMPAÑÍA X y,
cuando corresponda, aprobar cambios en el marco de control y / o políticas,
por ejemplo, patrocinando iniciativas estratégicas importantes para mejorar la
• Revisar incidentes graves de seguridad de la información y, cuando
corresponda, recomendar mejoras estratégicas para abordar cualquier causa
raíz subyacente
• Revisar periódicamente informes relacionados con el estado del programa
de seguridad de la información, así como los controles de seguridad de la
información implementados
• Proporcionar la información necesaria relacionada con la seguridad de la
información a la Junta de la EMPRESA X.
8.1.2. Comité Ejecutivo (EXCO)

El Comité Ejecutivo (EXCO) de la EMPRESA X forma parte de los Ejecutivos del Grupo en
las siguientes áreas:
• Investigación y desarrollo
• Operaciones
• Alianza Estratégica y Comunicaciones
• Servicios compartidos
• Recursos humanos
• Finanzas
Cuando sea necesario, un representante de la oficina de SI deberá presentar los asuntos
que impactan a la COMPAÑÍA X en su conjunto, incluyendo, entre otros, madurez de la
seguridad de la información, postura de riesgo de la información, elevar riesgos críticos y de
alta seguridad de la información a la atención del EXCO. Cualquier nueva amenaza de alto
riesgo, proporcionar información general y estado del programa de IS, proporcionar
comentarios sobre incidentes de seguridad de la información, proporcionar conocimiento de
las iniciativas de seguridad de la información. El Ejecutivo del Grupo: Servicios Compartidos
representará a la Oficina de SI en este comité.
EXCO a su vez proporcionará el soporte requerido de los requisitos y responsabilidades de
seguridad de la información, y proporcionará liderazgo y / o dirección cuando sea necesario.
8.1.3. Comité Directivo del Proyecto de Privacidad de la Información (IPPSC)

El Comité Directivo del Proyecto de Privacidad de la Información determina la dirección y las
prioridades de la Oficina de Privacidad de la Información durante su establecimiento según
las recomendaciones del Director de Privacidad.
Como la seguridad de la información es un componente para lograr privacidad de
información, la Oficina de Seguridad de la Información debe estar representada en el
Proyecto de Privacidad de la Información SteerCo para garantizar que las preocupaciones
de seguridad de la información sean consideradas en las decisiones de privacidad y que la
Oficina de Seguridad de la Información apoye activamente la hoja de ruta de Privacidad.
8.2. Comités tácticos y foros

Los comités y foros tácticos son aquellos que ejecutarán los planes de seguridad de la
información y alcanzarán los objetivos y las metas de seguridad de la información. Estos
comités y foros incluyen:
8.2.1. Comité de Operaciones (OPCO)

El papel de OPCO es monitorear y evaluar en qué medida diversas operaciones sostienen y
mejoran los objetivos y el mandato estratégico de la EMPRESA X. OPCO está compuesto
por gerentes o ejecutivos de las siguientes áreas:
• Implementación de la estrategia de I + D
• Unidades operativas y centros de investigación
• Centros de investigación
• Desarrollo de negocios
• Gestión de los interesados
• Asociaciones estratégicas
• Servicios de información
• Desarrollo del capital humano
• Licencias y Joint Ventures
Cuando sea necesario, un representante de la oficina de SI deberá presentar asuntos que
impacten en las operaciones de la COMPAÑÍA X, tales como nuevas amenazas y riesgos,
proyectos o capacidades diseñadas y / o implementadas, proporcionar retroalimentación
sobre incidentes de seguridad de la información u obtener compra -in y apoyo para
iniciativas de seguridad de la información.
8.2.2. Comité de planificación conjunta (JPC)

El Proyecto Nacional de Puntos Claves e Instalaciones Estratégicas 2007 constituye la
formación del Comité Conjunto de Planificación (JPC). Es un comité constituido en términos
de la sección 17 para planificar y coordinar efectivamente todas las actividades relacionadas
con la protección adecuada de un Punto Clave Nacional, Instalación Estratégica o Lugar de
Importancia. Este comité se reúne trimestralmente.
El JPC debe estar compuesto por al menos seis personas y debe estar integrado por
representantes de las distintas oficinas de seguridad de la EMPRESA X, agencias de
seguridad nacional, agencias de gestión de desastres, servicios de respuesta de
emergencia y servicios de inteligencia nacional. Las funciones del Comité Conjunto de
Planificación están claramente establecidas en la Ley.
8.2.3. Reuniones de la Unidad Operativa / Centro de Gestión

Si es necesario, un representante de la Oficina de Seguridad de la Información asistirá a las
reuniones de gestión de OU. Esto puede ser necesario para comprender las operaciones de
unidad organizativa y / o para presentar, identificar y / o asesorar sobre los requisitos de
seguridad de la información. Además de esto, la asistencia a estas reuniones puede ser
necesaria para debatir y registrar riesgos de seguridad de la información, amenazas,
infracciones y / o incidentes que puedan surgir dentro de la OU. El representante también
abordará cualquier inquietud o pregunta de seguridad de la información que puedan tener
las OU.
8.2.4. Reuniones sobre TIC de Business Service Manager (BSM)

Los Business Service Managers (BSM) son gerentes que operan dentro de OU. Estos
gerentes informan a los Directores Ejecutivos de las OU. El objetivo de la Reunión ICT de
BSM es informar y debatir cualquier inquietud relacionada con las TIC, incluidas las
relacionadas con la seguridad de la información. Estos pueden surgir de los diversos
proyectos en curso o como parte de las operaciones diarias dentro de las diversas OU.
El representante de SI deberá identificar y asesorar sobre los requisitos de seguridad de la
información, debatir y registrar los riesgos, amenazas, infracciones y / o incidentes de
seguridad de la información que puedan surgir dentro de la unidad organizativa. El
representante también abordará cualquier inquietud o pregunta de seguridad de la
información que puedan tener las OU.
8.2.5. Grupo de trabajo de seguridad de la información (ISWG)

El ISWG está compuesto por un grupo de expertos en la materia (PYME) que trabajan
juntos para alcanzar los objetivos específicos de seguridad de la información de la
EMPRESA X. Este grupo se puede equiparar a un equipo de trabajo de PYME que aporta
información, experiencia y asesoramiento sobre la gobierno, gestión y operaciones de la
oficina de SI dentro de la EMPRESA X.
Como parte del mantenimiento regular del Marco de IS y EISA, así como de la
implementación del Programa de SI, se requerirá que el ISWG debata, revise y / o
proporcione aportes (como mínimo) los siguientes elementos de gobierno:
• Marco de seguridad de la información y todos los artefactos de soporte
• Arquitectura de seguridad empresarial
• Programa de seguridad de la información: capacidades, estado, hitos
clave e impacto comercial
Todos los resultados del ISWG deberán presentarse al Comité de Gobernanza de las TIC y
/ o OPCO una vez que hayan sido revisados y ratificados por el ISWG.
Las decisiones estratégicas o las decisiones de impacto de la COMPAÑÍA X se discutirán
en el ISWG, pero estas decisiones se presentarán al ISSC para su ratificación.
8.2.6. Comité de Gobierno de las TIC

El Comité de Gobernanza TIC de la EMPRESA X tiene como objetivo habilitar las TIC
dentro de la COMPAÑÍA X en las siguientes áreas:
• Cómo se realizarán las evaluaciones de las áreas de inversión
• Cómo se tomarán las decisiones de inversión en TIC considerando los
riesgos expuestos a la organización
• Donde radica la responsabilidad por esas decisiones
• Cómo se desarrollarán e implementarán los planes, incluido el plan de
gestión de riesgos de TIC.
• Cómo se controlará el rendimiento
Como la seguridad de la información también tiene un elemento de TIC, y los controles de
seguridad de la información requeridos pueden tener un impacto en la estrategia de TIC, las
iniciativas tácticas y operativas, la oficina de SI deberá estar representada como miembro
formal de este comité.
La oficina de IS también deberá incorporar requisitos de seguridad y de información y de TI
en los elementos que se discuten. También deben presentar y representar todos los
elementos, intereses y preocupaciones de seguridad informática en esta reunión (como los
requisitos de inversión y los requisitos de planificación de las TIC).
8.2.7. Foro de seguridad integrada

El Foro de Seguridad Integrada será una reunión mensual operativa entre todas las
unidades de Seguridad y Riesgo en toda la COMPAÑÍA X, a fin de garantizar la
colaboración y la alineación entre los diversos aspectos de la seguridad de la información y
la continuidad del negocio. La Oficina de Privacidad tendrá que ser un miembro de este
foro.
Los resultados de esta reunión deberían alimentar al JPC.
8.3. Comités y foros operativos

Los comités y foros operativos son reuniones establecidas para dirigir las operaciones
diarias de la EMPRESA X. Estas incluirían:
8.3.1. Reuniones de Gestión de TIC y Gestión de Programas

El CISO debe asistir a las reuniones de gestión de TIC que se realizan semanalmente para
garantizar que la inversión, el diseño y la planificación de TI tengan en cuenta las
implicaciones de seguridad. En estas reuniones, el CISO, o uno de los principales recursos
de seguridad de la información, abogará por consideraciones de seguridad de la
información dentro de las TIC y comunicará los requisitos y preocupaciones de seguridad de
la información. La Oficina de Seguridad de la Información necesitará el apoyo de la Gestión
de las TIC para alcanzar las metas y los objetivos de seguridad de la información de la
EMPRESA X.
Del mismo modo, un representante de la Oficina de SI también deberá asistir a las
reuniones de gestión del Programa de TIC para garantizar que las consideraciones de
seguridad de la información se hayan incluido en los proyectos y programas de TIC, y su
planificación.
8.3.2. Reuniones del equipo de seguridad de la información

Deben establecerse reuniones regulares dentro de la Oficina de SI con el Equipo de
Seguridad de la Información y deben centrarse en Operaciones, Gobernanza y Gestión, o
ambas, a fin de comunicar la dirección y el estado de las actividades, abordar cualquier
desafío o inquietud.
8.3.3. Reuniones del programa de seguridad de la información
Reuniones regulares de estado y actualización para el Programa de SI con el fin de seguir
de cerca los hitos, el progreso, las dependencias y los problemas, y para garantizar que el
Programa de SI progrese a un ritmo aceptable con el apoyo y el compromiso adecuados.
Cuando sea necesario, los informes de progreso de esta reunión se incluirán en el ISWG,
OPCO y el ISSC, y en cualquier otro foro que requiera información específica. El ISSC
operará como el Programa IS Steerco para todas las decisiones estratégicas.
9. TECNOLOGÍAS DE SEGURIDAD DE LA INFORMACIÓN

El proceso de gestión de la seguridad de la información, así como el marco de políticas de
IS contará con el respaldo de diversas tecnologías que se utilizarán para impulsar la
aplicación de los controles de seguridad de la información dentro de la organización.
Con el tiempo, cambiarán las tecnologías que la EMPRESA X necesitará implementar y
mantener. Las siguientes tecnologías de seguridad están actualmente en funcionamiento
dentro de los Servicios TIC:
• Cortafuegos
• Antimalware para puntos finales y servidores
• Solución de seguridad de correo electrónico e Internet
• Sistemas de prevención de intrusiones
• Soluciones de gestión de acceso e identidad con una funcionalidad de
autoservicio de contraseña
• Solución de infraestructura de clave pública externa (PKI) para
certificados digitales
• Sistemas de control de acceso físico.
La seguridad de la información también contará con el respaldo de sistemas de información
tales como:
• Inventario de activos de información
• Registro de riesgos de seguridad de la información (base de datos)
Mientras que lo anterior describe las capacidades técnicas de seguridad de la información
existentes dentro de la COMPAÑÍA X, se deberá documentar una Arquitectura de Seguridad
de la Información Empresarial (EISA) y se deberán implementar más capacidades de
seguridad de la información (arquitectura, adquisición, diseño y / o construcción) como un
subproyecto del Programa de seguridad de la información.

Sistema de Gestión de Calidad de La Empresa

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Sistema de Gestión de Calidad de La Empresa

Hochgeladen von

Copyright:

Verfügbare Formate

SISTEMA DE GESTIÓN DE CALIDAD DE LA EMPRESA

Título: Modelo operativo de seguridad de la información

Fecha de la última revisión

Nombre del preparador

Desarrollado por Global Markets - EY Knowledge

Abbreviation Full term

Figura 1: Áreas funcionales de seguridad de la información

La Oficina de Seguridad de la Información dentro de la EMPRESA X tiene como objetivo

5. PROCESO DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Establecer y Monitor & Monitorear

5.1. Objetivo del proceso y objetivos

5.2. Pasos de proceso de alto nivel

2) Establecer y mantener el SGSI – establecer y mantener un SGSI que proporcione un

3) Administre la seguridad de la información (IS) – para garantizar que los controles de

4) Operar IS –para garantizar que los controles y servicios de seguridad de la información

5) Monitorear y revisar ISMS – mantener y comunicar regularmente la necesidad y los

6. RELACIONES CON LAS PARTES INTERESADAS DE LA SEGURIDAD

6.1. Partes interesadas internas

La Oficina de Seguridad de la Información deberá:

• Consultoría, aprobación o validación de planes de infraestructura o

En relación con la Oficina de Seguridad de la Información, la Auditoría Interna deberá:

La Oficina de Seguridad de la Información deberá:

6.2.1. Agencia de Seguridad del Estado (SSA)

6.3. Grupos de interés especial

7. ES OFICINA DISEÑO ORGANIZACIONAL

Para comprender completamente el valor que la Oficina de SI traerá a la COMPAÑÍA X, es

7.2. COMPAÑÍA X Estructura organizacional

7.4. Estructura interna de la Oficina de Seguridad de la Información

7.5. Descripciones de funciones de la oficina de seguridad de la información

Informes a Director de información (CIO)

• Contacto con las autoridades pertinentes, grupos

• presupuesto general para la seguridad de la

El CISO se asegurará de:

• que se realice un seguimiento adecuado de las

• Coordinar y supervisar las actividades de los

7.5.2. Gobierno y gestión de la seguridad de la información

Mantenerse al tanto de:

7.5.2.2. Especialista Senior en Gestión de la Seguridad de la Información

El especialista Senior IS Management es responsable de

Senior ISS brinda asistencia a uno o más especialistas en

• Administre y / o ejecute el proceso de gestión de

7.5.3. Operaciones de seguridad de la información

7.5.3.1. Jefe de Equipo de Operaciones de Seguridad de la Información

7.5.3.2. Equipo de operaciones de seguridad de la información (* recursos

• Efectuar las responsabilidades operativas diarias

7.5.3.3. Analista de seguridad de la información

7.6. Roles de seguridad de la información organizacional

Sus principales responsabilidades incluyen, pero no están limitadas a:

7.6.3. Responsabilidades de la administración para la seguridad de la información

8. COMPAÑÍA X FOROS Y COMITÉS DE SEGURIDAD DE LA

Figura 7: Comités y foros de seguridad de la información

8.1. Comités y foros estratégicos

8.1.1. Comité Directivo de Seguridad de la Información (ISSC)

8.1.2. Comité Ejecutivo (EXCO)

8.1.3. Comité Directivo del Proyecto de Privacidad de la Información (IPPSC)

8.2. Comités tácticos y foros

8.2.1. Comité de Operaciones (OPCO)

8.2.2. Comité de planificación conjunta (JPC)

8.2.3. Reuniones de la Unidad Operativa / Centro de Gestión

8.2.4. Reuniones sobre TIC de Business Service Manager (BSM)

8.2.5. Grupo de trabajo de seguridad de la información (ISWG)

8.2.6. Comité de Gobierno de las TIC

8.2.7. Foro de seguridad integrada