Objeto:
Definir la estructura organizacional, los roles y responsabilidades para la seguridad de la información de las personas que intervienen en las diferentes áreas de Geoconsult CS.
Alcance:
En esta guía aplican los perfiles para cargos administrativos. Para los ingenieros, geólogos y técnicos, los perfiles profesionales y responsabilidades se describen en los anexos de cada proyecto.
Responsable:
Es responsabilidad de los dueños de proceso y del líder de seguridad de la información en velar por dar seguimiento y cumplimiento a cada una de las obligaciones con la SI por parte de todo el equipo de Geoconsult CS.
Definiciones:
Acción Correctiva: Acción tomada para eliminar la causa de una no conformidad detectada u otra situación indeseable para evitar que vuelva a ocurrir.
Acción Preventiva: Acción tomada para eliminar la causa de una no conformidad potencial u otra situación potencialmente indeseable, para evitar que ocurra.
Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.*
Corrección: Acción emprendida para eliminar una no conformidad.
Disponibilidad: Propiedad de que la información se accesible y utilizable por solicitud de una entidad autorizada. *
Eficiencia: Capacidad de disponer de alguien o de algo para conseguir un efecto determinado (RAE). *
Eficacia: Capacidad de lograr el efecto que se desea o se espera (RAE). *
Evento de Seguridad de la Información: Suceso identificado en un
sistema, servicio o estado de la red que indica una posible brecha en la
política de seguridad de la información o fallo de las salvaguardias o una
situación anterior desconocida que podría ser relevante para la seguridad. * Incidente de Seguridad de la Información: Un evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. *
Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos. *
No conformidad: Incumplimiento de un requisito. Puede ser no conformidad de los servicios, de los procesos o del Sistema de Gestión de Seguridad de la Información.
Mejora Continua: Actividad recurrente para aumentar la capacidad para cumplir con los requisitos.
SGI: Sistema de Gestión Integrado.
SGSI: Sistema de Gestión de Seguridad de la Información, parte del sistema de gestión global, basada en un enfoque hacia los riesgos globales de un negocio, cuyo fin es establecer, implementar operar hacer seguimiento, revisar, mantener y mejorar la seguridad de la información. *
SI: Seguridad de la Información, preservación de la confidencialidad, la integridad y la disponibilidad de la información; además, puede involucrar otras propiedades tales como: autenticidad, trazabilidad (Accountability), no repudio y fiabilidad.
*Concepto tomado de la Norma Técnica NTC-ISO/IEC 27001
Desarrollo del objeto:
Esquema Organizacional de Geoconsult CS.
Los roles y responsabilidades descritos en el presente documento, obedecen a la definición de la estructura organizacional de Geoconsult CS Ltda de acuerdo al Sistema de Gestión Integral.
De acuerdo a lo anterior se detallan a continuación los perfiles definidos en
cada nivel y se describen las responsabilidades en la Seguridad de la
Información.
PRESIDENTE
DEPARTAMENTO: GERENCIAL JEFE INMEDIATO: NINGUNO No. DE CARGOS IGUALES: CERO
RESPONSABILIDADES
RESPONSABILIDAD PRINCIPAL: Planear y controlar todas las actividades administrativas, financieras y del SGSI de la empresa. Además de realizar actividades de mercadeo y supervisión de compras.
RESPONSABILIDADES GENERALES RESPONSABILIDADES CON EL SGSI
Representar a la empresa ante terceros, autoridades del orden administrativo o judicial, como representante legal de la empresa.
Cumplir y hacer cumplir las decisiones adoptadas por la Asamblea y la Junta Directiva.
Elaboración y proyección de presupuestos.
Consecución de dinero, asegurando la disponibilidad de recursos.
Control de manejo de recursos.
Establecer los procedimientos administrativos necesarios para lograr un adecuado control interno de las operaciones de la empresa.
Autorizar los documentos públicos o privados que deben otorgarse para el desarrollo de actividades o intereses de la empresa.
Impartir órdenes e instrucciones y ejercer control sobre las mismas, para garantizar la buena marcha de la empresa.
Análisis de la competencia de la empresa.
Planeación de mercado.
Analizar las cotizaciones, informes y documentos para los clientes
Presentar a la Junta Directiva, el informe semestral de actividades.
Realizar la revisión por la dirección al SGSI.
Establecer y realizar revisión a las políticas y los objetivos de SI de la organización.
Analizar los datos arrojados por el SGSI y tomar las decisiones necesarias para garantizar el mantenimiento y mejoramiento del sistema.
Asignar los recursos necesarios a los procesos del SGSI
Reportar e identificar los riesgos, incidentes o eventos de seguridad de la información que se generen en las actividades desarrolladas a su cargo y/o al de sus compañeros.
Velar por la eficaz comunicación al interior de la organización.
Garantizar el logro de la política y objetivos de Seguridad de la Información.
Reportar e identificar actos y condiciones inseguras durante el desarrollo de las actividades.
Cumplir con el plan mínimo de capacitación definido en el SGSI.
Respetar y cumplir los principios básicos de seguridad de la información (Confidencialidad, Integridad y Disponibilidad).
Implementar las mejoras identificadas en el SGSI.
DIRECTOR HSEQ
DEPARTAMENTO: HSEQ JEFE INMEDIATO: PRESIDENTE No. DE CARGOS IGUALES: CERO
RESPONSABILIDADES
RESPONSABILIDAD PRINCIPAL
:
Verificar y coordinar el cumplimiento del funcionamiento de las Normas ISO, y OHSASRESPONSABILIDADES GENERALES RESPONSABILIDADES CON EL SGSI
Establecer los lineamientos y procesos referentes a implementación de Sistemas de Calidad, Ambiental, Salud Ocupacional y Seguridad Industrial.
Realizar el seguimiento a las acciones correctivas y preventivas generadas en la compañía.
Reportar e identificar los riesgos e incidentes que se generen en las actividades desarrolladas a su cargo.
Elaborar informes mensuales sobre las actividades desarrolladas en ejercicio de sus funciones.
Reportar e identificar actos y condiciones inseguras durante el desarrollo de las actividades.
Cumplir con el plan mínimo de capacitación definido en el SGSI.
Respetar y cumplir los principios básicos de seguridad de la información (Confidencialidad, Integridad y Disponibilidad).
Implementar las mejoras identificadas en el SGSI.
Cumplir con las medidas de Seguridad en la Información que se definan en los procedimientos de trabajo que se elaboren para las diferentes actividades que se desarrollen en la organización.
DIRECTOR ADMINISTRATIVO
DEPARTAMENTO: ADMINISTRATIVO JEFE INMEDIATO: PRESIDENTE No. DE CARGOS IGUALES: CERO
RESPONSABILIDADES
RESPONSABILIDAD PRINCIPAL: Velar por el correcto uso y administración de los recursos de la compañía (Físicos y humanos).
RESPONSABILIDADES GENERALES RESPONSABILIDADES CON EL SGSI
Revisar y aprobar las órdenes de compra requeridas por la prestación del servicio.
Cumplir y hacer cumplir los principios de seguridad de la información en el procedimiento
Elaborar los contratos del personal que lo requieran Garantizar que las vacantes que se presenten sean cubiertas en el menor tiempo posible
Velar por el cumplimiento del programa de capacitación.
Asegurarse que todo el personal que entra a laborar, cuenta con exámenes médicos de ingreso, afiliaciones, inducción y entrega de elementos de protección personal.
Custodiar las hojas de vida.
Vigilar que los recursos físicos presentes en la empresa cumplen con parámetros de funcionamiento y seguridad.
Brindar al personal capacitación constante.
Velar por el buen clima organizacional.
establecido para compras.
Verificar que los nuevos candidatos cumplen con los perfiles de cargo diseñados.
Participar en la elaboración del programa de capacitación del SGSI y velar por su cumplimiento.
Reportar e identificar actos y condiciones inseguras durante el desarrollo de las actividades.
Cumplir con el plan mínimo de capacitación definido en el SGSI.
Respetar y cumplir los principios básicos de seguridad de la información (Confidencialidad, Integridad y Disponibilidad).
Implementar las mejoras identificadas en el SGSI.
Cumplir con las medidas de Seguridad en la Información que se definan en los procedimientos de trabajo que se elaboren para las diferentes actividades que se desarrollen en la organización.
DIRECTOR COMERCIAL
DEPARTAMENTO: COMERCIAL JEFE INMEDIATO: PRESIDENTE No. DE CARGOS IGUALES: CERO
RESPONSABILIDADES
RESPONSABILIDAD PRINCIPAL: Encargado de elaborar el plan comercial de la compañía y asegurar su sostenibilidad económica.
RESPONSABILIDADES GENERALES RESPONSABILIDADES CON EL SGSI
Seleccionar y formar al personal del departamento comercial así como establecer una política de retribución e incentivos del personal.
Realizar supervisiones, seguimientos y asesoramiento del personal de ventas.
Elaborar los presupuestos de ventas y los presupuestos de gastos anuales del departamento adaptándolos y ajustándolos a los objetivos y recursos disponibles.
Elaborar y estimar los objetivos comerciales.
Cumplir y hacer cumplir los principios de seguridad de la información en el procedimiento establecido para comercial.
Reportar e identificar actos y condiciones inseguras durante el desarrollo de las actividades.
Cumplir con el plan mínimo de capacitación definido en el SGSI.
Respetar y cumplir los principios básicos de seguridad de la información (Confidencialidad,
Generar demanda de los productos y/o servicios de la empresa.
Establecer el plan de marketing, seguimiento y control de gastos del mismo.
Realizar estudios de mercado para identificar las necesidades de clientes potenciales.
Diseñar la estrategia comercial de la empresa definiendo los canales de comercialización adecuados según el tipo de producto o servicio.
Integrar las nuevas tecnologías en las diferentes estrategias comerciales y de marketing
Integridad y Disponibilidad).
Implementar las mejoras identificadas en el SGSI.
Cumplir con las medidas de Seguridad en la Información que se definan en los procedimientos de trabajo que se elaboren para las diferentes actividades que se desarrollen en la organización.
DIRECTOR TI
DEPARTAMENTO: ADMINISTRATIVO JEFE INMEDIATO: PRESIDENTE No. DE CARGOS IGUALES: CERO
RESPONSABILIDADES
RESPONSABILIDAD PRINCIPAL: Velar por el correcto uso y administración de los recursos informáticos de la compañía.
RESPONSABILIDADES GENERALES RESPONSABILIDADES CON EL SGSI
Administración del área TI, responsable por la disponibilidad, desempeño, crecimiento y operación de la plataforma tecnológica, centro de datos y sistemas de comunicaciones de la compañía en Colombia y Ecuador; incluyendo la administración de hardware, software, acceso a recursos y el cumplimiento de los estándares corporativos a nivel tecnológico.
Coordinación y apoyo en el diseño, planeación e implementación de proyectos correspondientes al área de TI tanto corporativos como externos.
Coordinación y apoyo en labores de auditoría y consultoría, manejo de información, diseño y desarrollo de software, soporte de aplicaciones y mantenimiento e implementación de infraestructura tecnológica.
Cronograma de mantenimiento de equipos Inventarios de activos
Participar en la elaboración del programa de capacitación del SGSI y velar por su cumplimiento.
Reportar e identificar actos y condiciones inseguras durante el desarrollo de las actividades.
Cumplir con el plan mínimo de capacitación definido en el SGSI.
Respetar y cumplir los principios básicos de seguridad de la información (Confidencialidad, Integridad y Disponibilidad).
Implementar las mejoras identificadas en el SGSI.
Cumplir con las medidas de Seguridad en la Información que se definan en los procedimientos de trabajo que se elaboren para las diferentes actividades que se desarrollen en la organización.
SOPORTE TI
DEPARTAMENTO: ADMINISTRATIVO JEFE INMEDIATO: GERENTE TI No. DE CARGOS IGUALES: 0
RESPONSABILIDADES
RESPONSABILIDAD PRINCIPAL: Implementar procedimientos y técnicas para mejorar la eficiencia de la Red y el correcto funcionamiento de los equipos de cómputo bajo la supervisión del Gerente TI.
RESPONSABILIDADES GENERALES RESPONSABILIDADES CON EL SGSI
Realizar el mantenimiento preventivo de los equipos informáticos.
Solucionar problemas relacionados con el hardware.
Instalar o supervisar instalación de hardware con el software de base necesario.
Responder consultas relacionadas con el manejo de las aplicaciones a los usuarios.
Gestionar el estado y el acceso a la red y administrar restricciones y excepciones en base a la seguridad informática.
Construcción de guías de ayuda y capacitar a personal no informático en el uso de las aplicaciones básicas
Respaldar la información importante de la compañía.
Instalar y mantener antivirus locales en estaciones de trabajo.
Hojas de vida de equipos.
Cronograma de mantenimiento de equipos.
Acciones correctivas y preventivas.
Inventario de activos
Reportar e identificar actos y condiciones inseguras durante el desarrollo de las actividades.
Cumplir con el plan mínimo de capacitación definido en el SGSI.
Respetar y cumplir los principios básicos de seguridad de la información (Confidencialidad, Integridad y Disponibilidad).
Implementar las mejoras identificadas en el SGSI.
Cumplir con las medidas de Seguridad en la Información que se definan en los procedimientos de trabajo que se elaboren para las diferentes actividades que se desarrollen en la organización.
ASISTENTE ADMINISTRATIVA
DEPARTAMENTO: ADMINISTRATIVO
JEFE INMEDIATO: PRESIDENTE, DIRECTOR ADMINISTRATIVO No. DE CARGOS IGUALES: CERO
RESPONSABILIDADES
RESPONSABILIDAD PRINCIPAL: Manejo de la documentación enviada y recibida, así como las quejas y reclamos del cliente, atención de personal
RESPONSABILIDADES GENERALES RESPONSABILIDADES CON EL SGSI
Realiza los documentos que la empresa o el cliente necesiten (en algunos casos con previa autorización del Gerente).
Realiza la facturación.
Generación de comprobante contables.
Controla la correspondencia enviada y recibida.
Manejo de caja menor.
Mantener los registros contables al día.
Realizar las nóminas correspondientes.
Realizar los pagos de aportes parafiscales.
Conciliaciones bancarias.
Operar el proceso de facturación.
Revisa la parte contractual de los contratos con los clientes (revisa pólizas, contratos, equipos, etc.) Solicitud de cotizaciones para las compras a realizar.
Verificar que las requisiciones cumplen con todos los requisitos y están debidamente aprobadas para elaborar las órdenes de compra.
Elaborar las órdenes de compra de acuerdo a las requisiciones aprobadas.
Realizar controles en recepción a los productos comprados.
Mantener actualizada la base de proveedores.
Selecciones, evaluar y re-evaluar a los proveedores que estén en la base de proveedores.
Controlar la correspondencia recibida colocando el sello de radicado o su respectivo consecutivo en el formato y archivándola en su carpeta correspondiente.
Manejar la correspondencia emitida, archivando la copia en la respectiva carpeta de las diferentes obras y registrándola en el formato, con su respectivo consecutivo.
Mantener actualizada la hoja de vida de los funcionarios.Reportar e identificar actos y condiciones inseguras durante el desarrollo de las actividades.
Cumplir con el plan mínimo de capacitación definido en el SGSI.
Respetar y cumplir los principios básicos de seguridad de la información (Confidencialidad, Integridad y Disponibilidad).
Implementar las mejoras identificadas en el SGSI.
Cumplir con las medidas de Seguridad en la Información que se definan en los procedimientos de trabajo que se elaboren para las diferentes actividades que se desarrollen en la organización.
AUXILIAR HSEQ
DEPARTAMENTO: HSEQ
JEFE INMEDIATO: DIRECTOR HSEQ No. DE CARGOS IGUALES: CERO
RESPONSABILIDADES
RESPONSABILIDAD PRINCIPAL: Hacer seguimiento al cumplimiento del funcionamiento de las Normas ISO, y OHSAS
RESPONSABILIDADES GENERALES RESPONSABILIDADES CON EL SGSI
Asistir al establecimiento de los lineamientos y Participar y proponer actividades de Seguridad
procesos referentes a implementación de Sistemas de Calidad y Seguridad Ocupacional.
Asesorar el seguimiento a las acciones correctivas y preventivas generadas en la compañía.
Reportar e identifica los riesgos e incidentes que se generen en las actividades desarrolladas a su cargo.
Elaborar informes mensuales sobre las actividades desarrolladas en ejercicio de sus funciones.
de la Información que involucren a todo el personal de la compañía.
Cumplir con el plan mínimo de capacitación definido en el SGSI.
Respetar y cumplir los principios básicos de seguridad de la información (Confidencialidad, Integridad y Disponibilidad).
Implementar las mejoras identificadas en el SGSI.
CONTADOR
DEPARTAMENTO: CONTABILIDAD
JEFE INMEDIATO: DIRECTOR ADMINISTRATIVO No. DE CARGOS IGUALES: CERO
RESPONSABILIDADES
RESPONSABILIDAD PRINCIPAL: Registrar hechos económicos, de tal modo que la información emanada de la contabilidad sea comprendida por todos los que la utilizan para tomar decisiones.
RESPONSABILIDADES GENERALES RESPONSABILIDADES CON EL SGSI
Elaborar, actualizar y supervisar los procesos y documentos contables de la organización.
Presentar los informes ante la gerencia y/o autoridades respectivas cuando estas lo consideren oportuno.
Realizar el proceso de facturación.
Hacer la declaración de los impuestos.
Presentar los estados e informes financieros.
Cumplir con las medidas de Seguridad en la Información que se definan en los procedimientos de trabajo que se elaboren para las diferentes actividades que se desarrollen en la organización.
Cumplir con el plan mínimo de capacitación definido en el SGSI.
Respetar y cumplir los principios básicos de seguridad de la información (Confidencialidad, Integridad y Disponibilidad).
Implementar las mejoras identificadas en el SGSI.
DIRECCION DE PROYECTOS
DEPARTAMENTO: PRESTACION DE SERVICIOS JEFE INMEDIATO: PRESIDENTE
No. DE CARGOS IGUALES: IGUAL AL NUMERO DE PROYECTOS
RESPONSABILIDADES
RESPONSABILIDAD PRINCIPAL: Persona responsable de garantizar el cumplimiento de los requisitos del cliente y de velar por que los proyectos se realicen bajo criterios de eficacia, eficiencia y efectividad.
RESPONSABILIDADES GENERALES RESPONSABILIDADES CON EL SIG
Representar a Gerencia ante los clientes.
Velar por el uso adecuado de los recursos del proyecto.
Manejo de personal del proyecto Control de presupuesto.
Elaborar informes mensuales sobre las actividades desarrolladas en ejercicio de sus funciones.
Coordinar con el grupo de seguimiento la exploración de la ANH el cronograma de visitas técnicas a llevar a cabo.
Preparar la información necesaria para atender todos los requerimientos, llamados, explicaciones o aclaraciones solicitadas por la ANH, Entidades de fiscalización, control y de la Rama Jurisdiccional, en relación con el cumplimiento de las actividades mencionadas.
Entregar un informe mensual sobre el estado de avance de los contratos E&P, con la relación de las actividades de seguimiento. El informe debe entregarse en dos copias en papel, una dirigida al contrato de la interventoría y una copia digital en PDF.
Revisar los informes de visitas realizadas para verificar el cumplimiento de las actividades exploratorias de inicio y fin de fase. Los informes deben entregarse en dos copias en papel, una dirigida al contrato objeto de interventoría y una copia digital en PDF.
Semanalmente se deberán celebrar reuniones de planeación con participación del supervisor de la ANH y el Grupo de Seguimiento a la Exploración, con el propósito de planear las visitas de verificación.
Cumplir con las medidas de Seguridad en la Información que se definan en los procedimientos de trabajo que se elaboren para las diferentes actividades que se desarrollen en la organización.
Cumplir con el plan mínimo de capacitación definido en el SGSI.
Respetar y cumplir los principios básicos de seguridad de la información (Confidencialidad, Integridad y Disponibilidad).
Implementar las mejoras identificadas en el SGSI.
LIDER DE SEGURIDAD DE LA INFORMACIÓN
DEPARTAMENTO: ADMINISTRATIVO JEFE INMEDIATO: PRESIDENTE No. DE CARGOS IGUALES: CERO
RESPONSABILIDADES
RESPONSABILIDAD PRINCIPAL
:
Verificar y coordinar el cumplimiento del funcionamiento de las Normas ISO, yOHSAS
RESPONSABILIDADES GENERALES RESPONSABILIDADES CON EL SGSI
Establecer los lineamientos y procesos referentes a la implementación y operación del SGSI.
Realizar el seguimiento a las acciones correctivas y preventivas generadas en la compañía.
Reportar e identificar los riesgos e incidentes que se generen en las actividades desarrolladas a su cargo.
Elaborar informes mensuales sobre las actividades desarrolladas en ejercicio de sus funciones.
Asegurar que el SGSI sea conforme con los requisitos de la norma ISO27001
Encaminar a la organización al cumplimiento de los requisitos de Seguridad de la Información exigidos por el cliente.
Planear, participar y realizar actividades de Seguridad de la Información que involucren a todo el personal de la compañía.
Ejercer seguimiento y control del SGSI, aplicando los correctivos y ajustes necesarios para el logro de los objetivos, informando a la alta dirección sobre el desempeño del sistema.
Emplear la información, los procedimientos, el talento humano y los recursos materiales y financieros para el desarrollo de las actividades del SGSI adecuadamente.
Cumplir con las medidas de Seguridad en la Información que se definan en los procedimientos de trabajo que se elaboren para las diferentes actividades que se desarrollen en la organización.
Cumplir con el plan mínimo de capacitación definido en el SGSI.
Respetar y cumplir los principios básicos de seguridad de la información (Confidencialidad, Integridad y Disponibilidad).
Implementar las mejoras identificadas en el SGSI.
AUXILIAR CONTABLE
DEPARTAMENTO: ADMINISTRATIVO
JEFE INMEDIATO: ASISTENTE ADMINISTRATIVO No. DE CARGOS IGUALES: CERO
RESPONSABILIDADES
RESPONSABILIDAD PRINCIPAL: Responder por toda la información contable de la compañía
RESPONSABILIDADES GENERALES RESPONSABILIDADES CON EL SGSI
Generar conciliaciones bancarias Contabilización de facturas Trascribir documentos contables Revisión de impuestos
Archivar documentación Contable Generación de comprobante contables Manejo de caja menor
Mantener los registros contables al día.
Maneja la correspondencia emitida, archivando la copia en la respectiva carpeta de las diferentes obras y registrándola en el formato, con su respectivo consecutivo.
Mantiene actualizada la hoja de vida de los funcionarios
Cumplir con las medidas de Seguridad en la Información que se definan en los procedimientos de trabajo que se elaboren para las diferentes actividades que se desarrollen en la organización.
Cumplir con el plan mínimo de capacitación definido en el SGSI.
Respetar y cumplir los principios básicos de seguridad de la información (Confidencialidad, Integridad y Disponibilidad).
Implementar las mejoras identificadas en el SGSI.
Distribución:
Todos los funcionarios de Geoconsult tienen acceso a este documento por medio de la red interna.
Para mayor información sobre este documento dirigirse a quien lo elaboró Elaboró: Omar Andres Fonseca Herrera
Cargo: Líder de Seguridad de la Información Teléfono: 4276999 Ext: 132
Correo: [email protected]
Responsable Revisión Responsable Aprobación
Pablo Gáfaro Nelson Alvarez
Gerente TI Presidente
