Roles Clave en un Programa de Seguridad de la Información

Clase 17 de 19 • Curso de Estrategia de Seguridad Informática para Empresas

Resumen

La implementación adecuada de un programa de seguridad de la información es crucial para cualquier organización. Este proceso no solo protege activos valiosos sino que también establece protocolos que garantizan la integridad y la confidencialidad de la información manejada. Al pensar en la creación de un equipo encargado de la gestión de la seguridad de la información, surgen dudas esenciales: ¿Dónde se debe ubicar este equipo dentro de la estructura organizativa y qué roles son fundamentales para su funcionamiento eficiente?

¿Cómo integrar el equipo de seguridad en la estructura organizativa?

En el inicio, muchas empresas optan por colocar el equipo de seguridad dentro del área de tecnología, reportando al líder de este departamento. Con el tiempo y la maduración de las prácticas de seguridad, se identifica la necesidad de desacoplar este equipo debido a la naturaleza de auditoría que asumen sobre las prácticas tecnológicas. Para entidades con requerimientos complejos, como las instituciones financieras, esto evoluciona hacia una separación más definida, dejando los equipos de riesgo y ciberseguridad como entidades distintas.

¿Cuáles son los roles esenciales en un equipo de seguridad?

En la constitución de un equipo de seguridad efectivo, existen tres roles básicos y cruciales que deben estar presentes:

Líder del programa de seguridad

El líder es el pilar estratégico encargado de definir la dirección y gestionar los recursos del equipo. Este puede ser el líder de tecnología o incluso el CEO en startups, pero lo importante es su habilidad para interactuar con la dirección empresarial y fijar los objetivos a alcanzar.

Ingeniero de seguridad de la información

El ingeniero o analista se centra en la implementación de los controles de seguridad necesarios. Podría ser un miembro técnico como un desarrollador o administrador de la infraestructura tecnológica. Su papel es fundamental para la gestión de vulnerabilidades y la monitorización de la seguridad.

Responsable de políticas y cumplimiento

Inicialmente, esta función puede ser desempeñada por el mismo líder del programa. A medida que la organización crece, se hace necesario un rol dedicado a asegurar que las políticas estén actualizadas y en línea con las regulaciones del mercado, comúnmente conocido como compliance officer.

¿Cómo expandir el alcance de la cultura de seguridad en la industria?

Para diseminar la cultura de la seguridad más ampliamente en la organización, es importante involucrar a los security champions. Estos no necesitan ser expertos técnicos en seguridad, sino que pueden ser personas de distintas áreas que actúen como enlace entre el negocio y el equipo técnico. Su inclusión es clave para la creación de conciencia y formación en la organización.

Para fomentar un entorno organizacional informado y consciente de las prácticas de seguridad, se recomienda proporcionar acceso a recursos educativos, como los cursos vinculados en el apartado de recursos. La capacitación y concientización son esenciales para asegurar el éxito del programa de seguridad de la información de la empresa.

Juan Carlos Gutiérrez Ayala

student•

Los equipos de seguridad pueden estar especializados por tareas, en las organizaciones muy grandes.

Si está iniciando, una organización puede llevar cabo con su equipo de personas actual.

Roles mínimos

Líder del programa de seguridad - Principal responsable de la visión y dirección del programa de seguridad.
Analista - Persona responsable de la implementación técnica. Debe tener responsabilidad en la gestión de vulnerabilidades, evaluación de riesgo.
Responsable de políticas y cumplimiento - Asegurarse de que las políticas estén actualizadas, sean relevantes y se adhieran a las normativas legales y a los estándares aplicables de la industria. También se le llama compliance officer.

Adicional a estos, están los security champions, su rol no es la seguridad de la información. Se enfocan en actuar como enlaces entre el negocio y el equipo técnico que está implementando los controles de seguridad.

Josue M.

student•

Gracias !

Diego Fernando Ramos Aguirre

student•

Gracias por el resumen.

Eloy Chávez Dev

student•

Los roles mínimos para la seguridad de la información dependen del tamaño, la complejidad y la industria de la organización.

1. Líder del Programa de Seguridad:

Responsable de la estrategia general de seguridad de la información de la organización.
Define las políticas y procedimientos de seguridad.
Supervisa el cumplimiento de las normas de seguridad.
Reporta a la alta gerencia sobre los riesgos de seguridad y las medidas de seguridad implementadas.

2. Analista de seguridad:

Realiza pruebas de seguridad para identificar vulnerabilidades en los sistemas de información.
Evalúa los riesgos de seguridad y recomienda medidas para mitigarlos.
Investiga los incidentes de seguridad y ayuda a la organización a recuperarse.

3. Responsable de políticas y cumplimiento:

Asegurarse de que las políticas estén actualizadas, sean relevantes y se adhieran a las normativas legales y a los estándares aplicables de la industria. También se le llama compliance officer.

Josue M.

student•

Gracias !

Yilber Alejandro Erazo Bolaños

student•

Un pequeño consejo para algunos, ojo con el rol de Oficial de Cumplimiento, recomiendo no llamarlo así "a secas", sino que, Oficial de Cumplimiento de Seguridad, esto dado que el rol de Oficial de Cumplimiento en las organizaciones a nivel internacional es ocupado para otros temas, en específico para temas antilavado de activos, hay algunas legislaciones que indican este rol por ley, por ejemplo, en Colombia este rol está designado así, como Oficial de Cumplimiento, por la Circular Básica Jurídica 100-000016 del 24 de Dic de 2020 emitida por la Superintendencia de Sociedades. Así mismo, si googlean Oficial de Cumplimiento lo que les va a aparecer por lo general son temas relacionados a LA/FT

Ronald Escalona

Team Platzi•

Gran aporte Yilber, muchas gracias por la aclaración. De hecho en nuestro equipo tenemos a Diego Ademir Duarte como nuestro Security Compliance Officer, tal como lo indicas

Patricio Sánchez Fernández

student•

Queda claro que emprender, tanto para sacar adelante un producto o servicio, en el proceso, se debe considerar la ciberseguridad, y al menos un par de puestos para llevarla a cabo. En el escenario más complicado, al menos con asesoría en el tema.

Josue M.

student•

Gracias !

Juliana Castillo Araujo

Team Platzi•

¿Cuál es el rol más importante en la creación del plan de seguridad en una empresa?

Platzi

student•

El líder del programa de seguridad es el responsable de llevar la visión estratégica, gestionar los recursos para el equipo y evaluar que se apliquen los objetivos definidos.

Francisco Marín

student•

Security Champions

Su rol principal, no es la seguridad de la información

Actúan como puntos de enlace entre los equipos de seguridad y desarrollo o de otras áreas no técnicas.

Aplican y fomentan la implementación de prácticas de seguridad.

Pueden organizar sesiones de formación o compartir conocimientos (comunidad interna, cultura).

Javier Felipe Quijano Rodriguez

student•

El video aborda la estructura y roles esenciales para implementar un programa de ciberseguridad en una organización. Se enfatiza la importancia de tres roles claves: el líder del programa de seguridad, encargado de la visión estratégica; el analista de seguridad, responsable de la implementación de controles; y el oficial de cumplimiento, que gestiona las políticas. Además, menciona la figura de los 'security champions', quienes fomentan la cultura de seguridad en toda la organización. Se destaca la necesidad de incluir a todos en el proceso para generar conciencia y efectividad en la seguridad de la información.

Constanza Rodríguez

student•

En mi caso, trabajo en una software factory y cumplo todos los roles :(,

He levantado la mano para que por lo menos una persona más me ayude, pero es como pedir ir a la luna. jajaja

MARIA TERESA PANIAGUA RIVERA

student•

gracias

Roles Clave en un Programa de Seguridad de la Información

Importancia de la seguridad de la información

Implementación de un Programa de Seguridad de la Información

Seguridad de la Información: Implementación y Estrategia Empresarial

Componentes clave de un programa de seguridad de la información

Componentes Clave de un Programa de Seguridad de la Información

Elementos Clave de Políticas de Seguridad de la Información

Gestión de Incidentes: Ciclo de Vida y Mejores Prácticas

Gestión de Vulnerabilidades en Seguridad Informática

Gestión de riesgos

Gestión de Riesgos en Seguridad de la Información

Gestión Holística del Riesgo en Organizaciones

Evaluación de Riesgos en Seguridad de la Información

Gestión de Riesgos y Controles ISO 27001 y NIST 800-53

Continuidad del negocio

Continuidad del Negocio y Recuperación ante Desastres

Análisis de Impacto al Negocio y Continuidad Operativa

Software seguro

Desarrollo Seguro de Software: Integración de Seguridad en el Ciclo de Vida

Proyectos de OWASP para Seguridad en Desarrollo de Software

OWASP Top 10: Riesgos Críticos en Aplicaciones Web y Móviles

Modelo de Madurez OWASP SAM para Aseguramiento de Software Seguro

Diseño del equipo

Roles Clave en un Programa de Seguridad de la Información

Certificaciones Clave en Seguridad de la Información

Caso de estudio Platzi

Certificación ISO 27001: Implementación y Mejora Continua en Platzi