Marco de ciberseguridad
Guía Equipo responsable de la gestión de riesgo
Guías
Para alcanzar los objetivos definidos respecto a la gestión de riesgos de seguridad de la información en una organización, debe asignarse a equipo de trabajo que gestione los riesgos que pudieran comprometer la seguridad de la información de la organización, de acuerdo con la Política de Gestión del Riesgo de Seguridad de la Información definida y aprobada por la Dirección.
Objetivo
Con el fin de que el organismo u organización pueda cumplir con los objetivos definidos respecto a la seguridad de la información, es necesario contar con una persona que asuma el rol de Responsable de la Seguridad de la Información.
Alcance
La asignación de las responsabilidades de seguridad de la información debería hacerse de acuerdo con la Política de Seguridad de la Información definida y aprobada por la Dirección.
Descripción
Las principales actividades a desarrollar son:
- Verificar la alineación de la seguridad de la información con los objetivos estratégicos del Organismo.
- Guiar, implementar, mantener y documentar el Sistema de Gestión de Seguridad de la Información.
- Revisar en forma periódica los documentos y controles del Sistema de Gestión de Seguridad de la Información.
- Coordinar con los "propietarios" de los procesos y activos de información, la alineación con la seguridad de la información definida.
- Asegurar que la implementación de los controles de seguridad de la información es coordinada en toda la organización.
- Verificar la falta o superposición de controles en seguridad de la información.
- Desarrollar métricas y métodos que permitan monitorear las actividades de seguridad de la información, y verificar la eficiencia y eficacia de los controles.
- Promover la difusión, concientización, educación y la formación en seguridad de la información.
- Promover el cumplimiento con la normativa y legislación vigente en relación con aspectos de seguridad de la información.
- Promover el cumplimiento de las políticas y documentos relacionados del Sistema de Gestión de Seguridad de la Información.
- Identificar cambios significativos en las amenazas y la exposición de la información y de las instalaciones de procesamiento de la información a las amenazas.
- Evaluar la información recibida de los seguimientos y revisiones de los incidentes de seguridad de la información y las acciones recomendadas en respuesta a los mismos.
- Colaborar con el equipo responsable por la Gestión de Incidentes de Seguridad de la Información.
- Colaborar con el equipo responsable por la Gestión del Riesgo de Seguridad de la Información.
- Colaborar con el equipo responsable por la definición e implementación del Plan de Continuidad del Negocio.