Política de roles y responsabilidades de gobernanza

La Política de roles y responsabilidades de gobernanza proporciona una base integral para establecer, gestionar y mejorar continuamente la gobernanza de la seguridad de la información dentro del Sistema de gestión de la seguridad de la información (SGSI) de la organización. Su propósito principal es definir el modelo mediante el cual se asignan y documentan los roles, responsabilidades y autoridad de la organización, permitiendo el funcionamiento eficaz del SGSI en plena alineación con los objetivos estratégicos del negocio, los requisitos contractuales, las obligaciones reglamentarias y normas internacionales como ISO/IEC 27001:2022 e ISO/IEC 27002:2022. La política garantiza líneas claras de rendición de cuentas y autoridad de toma de decisiones al exigir la definición formal, la asignación y la documentación de todos los roles de gobernanza relacionados con la seguridad. La dirección ejecutiva, el Comité Directivo de Seguridad de la Información, el Director de Seguridad de la Información (CISO)/Responsable del SGSI, los propietarios de los controles, los propietarios de procesos y los propietarios del activo, los delegados de seguridad, el personal de Auditoría y Cumplimiento, y todo el personal tienen responsabilidades designadas. Esta estructura está diseñada para reforzar una sólida segregación de funciones, procesos de escalado transparentes y la trazabilidad de las decisiones, que en conjunto sustentan una propiedad del riesgo eficaz y el cumplimiento normativo. En el núcleo de la implantación operativa se encuentra el Registro de roles y responsabilidades, un registro obligatorio y dinámico que registra títulos de rol, descripciones, personas o grupos asignados, niveles de autoridad, interdependencias y rutas de escalado. Todas las asignaciones requieren un acuse de recibo formal y están sujetas a revalidación anual o a actualizaciones desencadenadas por cambios organizativos o funcionales. La política también detalla cómo pueden delegarse los roles de seguridad, las condiciones de delegación y los requisitos de documentación para garantizar que la rendición de cuentas permanezca clara y sin compromisos. Se exige explícitamente la integración con otras disciplinas, incluida la Gestión de riesgos, Legal y Cumplimiento, Operaciones de TI, Recursos Humanos (RR. HH.), Adquisición y Gestión de proyectos, para incorporar las responsabilidades de seguridad de la información en el tejido organizativo y apoyar la resiliencia de toda la organización. Los requisitos clave de gobernanza especifican procedimientos de escalado estructurados, tanto de escalada operativa como de escalado estratégico, y definen líneas de escalado legal/regulatorio para incidentes o violaciones de seguridad. La gobernanza debe seguir siendo adaptable: todas las excepciones, desviaciones o cambios temporales de rol deben justificarse, documentarse, someterse a evaluación de riesgos y aprobarse formalmente. El cumplimiento y la aplicación se refuerzan mediante actividades obligatorias de Auditoría interna y validación de roles. La política exige revisiones periódicas tanto por el Comité Directivo de Seguridad de la Información como por la Auditoría interna, incluida la verificación de asignaciones de roles, segregación de funciones y eficacia del control. Se revisan los registros de escalado y los registros de excepciones a las políticas, lo que respalda la identificación y corrección rápidas de brechas de gobernanza. Se articulan claramente las medidas disciplinarias ante cualquier incumplimiento o fallo en las responsabilidades de gobernanza asignadas, y se incluyen protecciones del mecanismo de denuncia para garantizar la notificación de fallos de gobernanza sin temor a represalias. El sólido ciclo de revisión y actualización de la política requiere una reevaluación al menos anual o antes si surgen cambios organizativos significativos, actualizaciones normativas o hallazgos de auditoría. La Gestión de cambios, la identificación y el tratamiento de riesgos, y la Gestión del ciclo de vida de las políticas de todos los roles se gestionan mediante registros asociados. Los vínculos explícitos con políticas relacionadas, como las que cubren la política de seguridad de la información, la Política de gestión de cambios, el Marco de gestión del riesgo, el ciclo de vida del personal y la Auditoría y Cumplimiento, garantizan una estructura de gobernanza del SGSI unificada y defendible. Este documento es indispensable para las organizaciones que buscan demostrar una gobernanza sólida y auditable y cumplir las exigencias de trazabilidad y rendición de cuentas de los marcos regulatorios y de certificación.