En la gestión de seguridad de la información una actividad de significativa relevancia se relaciona con la definición, asignación y comunicación de responsabilidades, para los diferentes roles que intervienen en las acciones encaminadas a proteger los activos, principalmente la información.

Junto con otros elementos como las políticas de seguridad de la información, esta práctica permite establecer el marco de gestión para controlar la aplicación y operación de la seguridad dentro de una organización.

Las funciones y áreas de responsabilidad que puedan presentar algún conflicto de interés deben estar separadas para reducir la posibilidad de que se presenten incidentes relacionados, por ejemplo, con modificaciones no autorizadas o involuntarias, así como mal uso de los activos.

Diversos marcos de referencia y mejores prácticas consideran la definición y asignación de las responsabilidades del personal que labora dentro de la organización, desde la alta dirección hasta miembros de los niveles jerárquicos más bajos. En los siguientes puntos describimos las ventajas que se obtienen con la realización de esta actividad.

  • Promueve la aplicación del gobierno de seguridad de la información

El gobierno de seguridad está relacionado con las responsabilidades y prácticas que ejerce la alta dirección en materia de seguridad, al tiempo que se establece la participación de los distintos roles a través de la declaración de sus actividades más relevantes.

Con la intención de facilitar esta tarea, diversos estándares internacionales y marcos de referencia para mejores prácticas han desarrollado documentación relacionada con el tema, algunas de ellas públicamente disponibles.

Por ejemplo, NIST en el documento 800-100 (Manual de Seguridad de la Información: una guía para gerentes), incluye un capítulo enfocado en el gobierno de seguridad de la información, junto con los roles y responsabilidades clave para la aplicación del mismo.

  • Establece el compromiso con la protección de la información

De forma paralela a la asignación de responsabilidades se dan a conocer las expectativas y necesidades de la organización en el tema de seguridad. De esta manera, las personas que reciben las responsabilidades, también adquieren el compromiso para proteger los diferentes activos.

De manera implícita, el personal se hace partícipe de las actividades e iniciativas encaminadas a salvaguardar los recursos que se encuentran bajo su custodia. Del mismo modo, se concientiza sobre los riesgos relacionados con la información y la forma en la que pueden contribuir para su protección.

  • Delimita las actividades del personal dentro de la organización

Relacionado con el punto anterior, la designación de las responsabilidades también permite establecer el alcance y los límites de cada uno de los roles participantes, al tiempo que define a los encargados de rendir cuentas sobre las acciones que se deban ejecutar o sobre las decisiones que se hayan tomado.

En este sentido, una herramienta útil para documentar esta asignación puede ser a través de las matrices RACI, también conocidas como matrices de asignación de responsabilidades, generalmente empleadas para relacionar actividades con miembros de un equipo de trabajo, a los cuales se les asigna un rol: responsable (responsible), quien rinde cuentas (accountable), quien es consultado (consulted) y por último quien debe ser informado (informed) de las distintas actividades planeadas.

  • Permite la alineación con estándares y mejores prácticas

Como ya se ha mencionado, distintos marcos de referencia establecen como una actividad necesaria la definición de responsabilidades, por lo que llevar a cabo esta tarea contribuye a dar cumplimiento con lo descrito en los distintos documentos de referencia.

En este caso se encuentra la familia de estándares ISO 27001, que considera dentro de sus requisitos (cláusula 5.3) la asignación y comunicación de los responsabilidades para los roles más relevantes relacionados con la seguridad. Además, en el Anexo A (control A.6.1.1), establece que todas las responsabilidades de seguridad de la información deben ser definidas y asignadas.

  • Contribuye a definir las directrices de seguridad de la información

Otro beneficio está relacionado con las metas que desean alcanzarse dentro de la organización, utilizando como un habilitador a la seguridad de la información. En este contexto, junto con las responsabilidades se dan a conocer los lineamientos que se deben seguir para dar cumplimiento a los objetivos planteados durante la planeación.

Por ejemplo, durante la definición del estado deseado en materia de seguridad participan tres elementos básicos: personas, procesos y tecnología. El planteamiento de la visión sobre las condiciones de seguridad en un momento determinado, resulta complejo de definir en términos completamente cuantitativos, por lo que puede incluir términos cualitativos de atributos o características, que básicamente es lo que se aplica a las responsabilidades del personal.

Hemos realizado este listado de beneficios para evaluar la factibilidad de la realización de esta actividad, sin olvidar y recalcar que se trata de una mejor práctica, por lo que no existe un manual para llevar a cabo la asignación de responsabilidades.

Si bien existe información documentada sobre las necesidades a considerar y sobre las principales actividades que los roles más relevantes deben llevar a cabo, ésta siempre deberá adaptarse a las características y necesidades de cada organización.