Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Nivel 1

• OR.1-1: existe una persona que cumple el rol de RSI.
• OR.1-2: el RSI coordina actividades de seguridad de la información.

Nivel 2

• OR.1-3: está designado formalmente el RSI.
• OR.1-4: las responsabilidades del RSI están documentadas e incluyen: la gestión de seguridad de la información, gestión de incidentes, gestión de riesgos de seguridad, entre otras.

Nivel 3

• OR.1-5: el RSI coordina la evaluación de riesgos de seguridad de la información junto con los responsables de los activos o designa referentes delegados.
• OR.1-6: el RSI participa en el CSI de la organización.

Nivel 4

• OR.1-7: el RSI elabora y presenta planes anuales de mejora de seguridad de la información, incluyendo indicadores.
• OR.1-8: el RSI forma parte de los procesos de planificación estratégica.

Responsable de la Seguridad de la Información (RSI)
La organización debe designar a un RSI de la Información que, idealmente, desarrolle sus actividades en forma independiente de las áreas de tecnología. El RSI debe ser un referente de la temática en la organización y debe participar en la gestión de incidentes y la gestión de riesgos de seguridad. 
Se deben alinear las responsabilidades de seguridad de la información con las políticas de seguridad de la información que se encuentren definidas.

Características del rol de RSI
La persona designada para este rol que podrá ser interna o externa, debe contar con disponibilidad para cumplir adecuadamente con las funciones asignadas; debe contar con los mecanismos para contactar directamente a la dirección de la organización. 
Liderazgo, capacidad para lograr acuerdos, aceptación de sus pares, conocimiento de riesgos, amenazas y vulnerabilidades de los activos; así como poder de gestión, son cualidades fundamentales para llevar con éxito la tarea de RSI. 
Se entiende necesario determinar la dedicación que debe tener quien asuma el rol en la organización.

Cometidos
El RSI o quien éste determine, debe ser el punto de contacto con el CERTuy.
Reunir y responder información que el CERTuy solicite a la entidad, para un entendimiento cabal de los sistemas relacionados con TIC necesaria para la adecuada resolución de los incidentes de ciberseguridad, en los tiempos que éste determine.

Participar, con las autoridades competentes en la entidad, en los casos que el CERTuy entienda necesario, de proyectos con el fin de facilitar el monitoreo de los sistemas informáticos, con el fin de prevenir posibles incidentes de ciberseguridad, de acuerdo con el CERTuy o la autoridad sectorial competente.

Cumplir las condiciones, requisitos e informaciones mínimas que debe proveer la entidad, para comunicar los incidentes de ciberseguridad, de acuerdo con lineamientos del CERTuy o la autoridad sectorial competente.

Notificar cuando existen cambios sustantivos en los sistemas y cuando se incorporan nuevos.

Proporcionar información de los sistemas existentes, así como información de cómo funciona el sistema para poder interpretar las trazas de auditoría de los mismos.
 

• Resolución de designación del rol del RSI u otro mecanismo o registros que evidencie formalmente la designación.
• Difusión de la designación del rol de RSI (correo, sitio web, intranet, etc.).
• Descripción de cargo o rol de RSI.
• Notificación de designación a AGESIC (correo, etc.).
• Actas o evidencias de reuniones del CSI donde participe el RSI.
• Organigrama donde figure el RSI.
• Planes de mejora firmados o aprobados por el RSI.
• Evidencia de participación del RSI en evaluación de riesgos.