• No se han encontrado resultados

REVISIÓN POR LA DIRECCIÓN

En el numeral 9.3 Revisión por la dirección de la norma ISO 27001:2013 establece los siguientes requisitos:

1) la revisión debe realizarse a intervalos planificados, para asegurar su conveniencia, adecuación y eficacia continuas.

2) en las revisiones se deben incluir consideraciones sobre:  el estado de las acciones con relación a las revisiones previas  cambios en el contexto de la empresa que sean pertinentes al SGSI

El apartado que trata sobre la revisión de la Política de Seguridad de la empresa, se encuentra integrado en el documento de la política de seguridad de la información de la empresa.

La empresa objeto de estudio no tiene oficina de Dirección sino que cuenta con un Comité de Gerencia, quienes cumplen con la función de revisar la política de seguridad de la información, el texto se relaciona a continuación.

8.1 REVISIÓN DE LAS POLÍTICAS DE SEGURIDAD DE INFORMACIÓN POR LA GERENCIA DE LA EMPRESA

Anualmente, o ante un cambio relevante en los Sistemas de Información, el responsable de seguridad deberá realizar una revisión y o adecuación de la Política de Seguridad a la realidad de la Compañía, con la participación activa

31

del Comité de Seguridad de la Información y del apoyo de la Gerencia de la Empresa.

Las decisiones y acciones tomadas como resultado de las revisiones que la gerencia de la empresa realizara, quedan registradas en Actas bajo la responsabilidad del Comité de Seguridad de la Información, quienes velaran por la aplicación y cumplimientos de las mismas.

9.

ROLES Y RESPONSABILIDADES EN SEGURIDAD DE LA

INFORMACIÓN

En el numeral 5.3 de la norma ISO 27001:2013 - Roles, Responsabilidades y Autoridades en la organización, establece los siguientes requerimientos:

1) la alta dirección debe asegurar la asignación y comunicación de las responsabilidades y autoridades pertinentes para los roles del SGSI

2) la alta dirección debe asignar responsabilidad y autoridad para asegurar que el SGSI sea conforme con ISO 27001:2013

3) la alta dirección debe asignar responsabilidad y autoridad para tener una fuente que le reporte sobre el desempeño del SGSI A continuación se presenta la definición de los roles y responsabilidades:

9.1 DEFINICIÓN DE ROLES Y RESPONSABILIDADES

La empresa objeto de estudio observando la necesidad que implementar el Sistema de gestión de Seguridad de la Información, tomó la decisión de crear una estructura interna con responsabilidad directa sobre la seguridad de la información, para tal fin estableció los siguientes grupos de acción:

Nivel estratégico:

 Gerencia general  Comité de gerencia Nivel Táctico:

 Comité de seguridad de la información  Responsable de las Auditorías Internas

32

 Responsable de Seguridad de la información

Nivel Operativo

 Líderes de procesos  Colaboradores

Imagen 8Organización de Seguridad de la información de la empresa

9.2 ROLES Y RESPONSABILIDADES DEFINIDOS POR LA EMPRESA EN ESTUDIO

Dentro de la organización interna de la seguridad, la empresa, determina que la función de administración de la seguridad de la información será realizada por el Comité de Seguridad de la Información y por el Responsable de la Seguridad de la Información, quienes tendrán la función general gestionar y controlar la aplicación y la operación de seguridad de la información dentro de la empresa.

Gerencia General Comité de Seguridad de la Información Responsable de Seguridad de la Información Colaboradores Lideres de procesos Responsable de Auditorias Internas Comié de Gerencia

33

9.3 GERENTE GENERAL

El Gerente General de la empresa en estudio, actúa como representante legal de la empresa, fija las políticas operativas, administrativas y de calidad. Es responsable ante los accionistas, por los resultados de las operaciones y el desempeño organizacional, junto con los demás gerentes funcionales planea, dirige y controla las actividades de la empresa

9.4 EL COMITÉ DE GERENCIA

La máxima autoridad en materia de seguridad de la información será ejercida por lo señores Gerentes de la empresa, quienes tienen la función principal de apoyar activamente la gestión de la seguridad de la información en la empresa.

9.5 COMITÉ DE SEGURIDAD DE LA INFORMACIÓN

El Comité de Seguridad de la Información, es un equipo de trabajo integrado por representantes de todas las áreas de la empresa, destinado a garantizar el apoyo manifiesto a las iniciativas de seguridad.

9.6 EL RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN

Será la persona que cumple la función de supervisar el cumplimiento de la presente Política y de asesorar en materia de seguridad de la información a los integrantes de la empresa que lo requieran.

Los empleados que cumplen la función y administración de la seguridad de la información son los responsables de velar por la implantación y desarrollo de las medidas relativas a esta. De igual manera se encargará de la definición y actualización de las políticas, normas, procedimientos y estándares relacionados con la seguridad informática, igualmente velará por la implantación y cumplimiento de las mismas.

Para realizar la función de administración de la seguridad los responsables se apoyarán en herramientas tecnológicas que permitan una adecuada administración, monitoreo y control de los recursos informáticos.

9.7 RESPONSABLES DE PROCESOS

Planear, coordinar, supervisar todas y cada una de las actividades que realizan los recursos humanos conforme a objetivos, políticas y procedimientos de Seguridad de la Información asignados.

34

9.8 COLABORADORES

Dentro del grupo de colaboradores se encuentran todos los demás empleados, quienes deberán contribuir con la implementación y mantenimiento del Sistema De Gestión de Seguridad de la Información.

Nota: Las funciones de los Roles principales como son: el Comité de Gerencia, el Comité de Seguridad de la Información y el Responsable de Seguridad de la Información, se encuentran detallada en la carpeta de ANEXOS así:

Anexo IV - Comité de Gerencia,

Anexo V - Comité de Seguridad de la Información

Anexo VI - Responsable de Seguridad de la Información.

10.

PROCESO DE GESTIÓN DE INDICADORES

En la empresa objeto de estudio, los indicadores de gestión permitirá validar como se está llevando a cabo la implementación de la seguridad de la información, además determinara si las medidas y controles de seguridad fueron efectivas con respecto a los riesgo y amenazas identificadas. En este apartado la empresa validara que requiere ser medido, como se realizará la medición, cuales son las responsabilidades frente a esta medición y el proceso de evaluación de resultados en busca de la mejora del sistema.

A continuación se muestra el formato general para la gestión de los indicadores en esta empresa.

35

Tabla 8 - Formato Indicador de Gestión

Nota: Los indicadores de gestión definidos por la empresa en estudio, se

encuentran detallados en la carpeta de ANEXOS, como Anexo VII

Indicadores de Gestión Anual.

Documento similar