ROLES Y

RESPONSABILIDADES DEL
SGSI
DOC-SGSI-003
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN

Elaborado por: Revisado por: Aprobado por:

Ronald Ramírez Blanco Nombre y Apellido

Margarita
Responsable de SGSI
Gerente General
CONSULTOR VIRTUALTEC
VIRTUALTEC

Fecha: 27/01/2021 Fecha: Fecha:

Nivel de Confidencialidad: Interno

 DOC-SGSI-
ROLES Y RESPONSABILIDADES DEL Código: 003
Aprobado: GG
SGSI Versión: 0.2
Fecha : 09.02.2021

Historial de modificaciones
Fecha Versió Creado por Descripción de la modificación
n

27/01/2021 0.1 Ronald Ramírez Blanco Elaboración Preliminar del Documento

Tabla de contenido
1. OBJETIVO, ALCANCE Y USUARIOS..............................................................................................3

2. DOCUMENTOS DE REFERENCIA................................................................................................... 3

3. DEFINICIÓN DE LA ORGANIZACIÓN DEL SGSI...........................................................................3

4. VALIDEZ Y GESTIÓN DE DOCUMENTOS....................................................................................12

Prohibido reproducir sin autorización de VIRTUALTEC Página 2 de 11

 DOC-SGSI-
ROLES Y RESPONSABILIDADES DEL Código: 003
Aprobado: GG
SGSI Versión: 0.2
Fecha : 09.02.2021

1. Objetivo, alcance y usuarios

Describir las funciones de los colaboradores de VIRTUALTEC con respecto a la gestión de
seguridad de la información (SGSI)

Este documento se aplica a toda la documentación y actividades dentro del SGSI.

Los usuarios de este documento son los miembros de la dirección de VIRTUALTEC y los
miembros del equipo del proyecto que implementa el SGSI.

2. Documentos de referencia
 Norma ISO/IEC 27001, punto 5,3
 DOC-SGSI-003; Alcance del SGSI
 POL-SGSI-001; Política de Seguridad de la Información

3. Definición de la Organización del SGSI

Esta definición hace mención a la estructura de Roles y Responsabilidades que han de
asignarse para llevar a cabo un correcto manejo del Sistema de Gestión de Seguridad de
la Información (SGSI). Esto es importante para el logro de objetivos del SGSI, cada rol
asignado deberá cumplir de manera disciplinada y también acorde a los diversos
Reglamentos internos de trabajo como el Manual de Organización y Funciones o la que
hiciera de sus veces y entre otros.

Tomando en cuenta estas consideraciones, se ha planteado la estructura organizativa del

SGSI de la siguiente manera:

Prohibido reproducir sin autorización de VIRTUALTEC Página 3 de 11

 DOC-SGSI-
ROLES Y RESPONSABILIDADES DEL Código: 003
Aprobado: GG
SGSI Versión: 0.2
Fecha : 09.02.2021

Gerencia General

Comité de Gestión
de Seguridad de la
Información

Gestor de Seguridad
de la Información

Analista de Seguridad
de la Información

Leyenda Descripción
Corresponde a la conformación formal de un Comité.
Corresponde a un puesto de trabajo o una función designada según
gestión interna.
Corresponde a una función designada según gestión interna, dicha
designación puede ser dedicada o no, o desempeñada por un grupo
de personas en función de la carga operativa.

Gerencia General
Línea de reporte: Principales funciones:

Prohibido reproducir sin autorización de VIRTUALTEC Página 4 de 11

 DOC-SGSI-
ROLES Y RESPONSABILIDADES DEL Código: 003
Aprobado: GG
SGSI Versión: 0.2
Fecha : 09.02.2021

 Asegurar que los objetivos del SGSI sean

establecidos y compatibles con la visión y
Gerencia
Gerencia General
General objetivos organizacionales.
 Aprobar y apoyar la difusión y cumplimiento
Comité
Comité dede Gestión
Gestión de la Política General de Seguridad de la
de Seguridad de
de
de Seguridad
la
la Información
Información
Información a nivel organizacional.
 Asegurar la adherencia de los requisitos del
SGSI en las Unidades Orgánicas de
Gestor
Gestor de
de Seguridad
de
Seguridad
la Información
de la Información
VIRTUALTEC.
 Asegurar y proveer recursos necesarios
para la planificación, implantación, revisión
Analista
Analista de
de
Seguridad de la
Seguridad de la y mejora del SGSI.
Información
Información

Principales capacidades: Designación organizacional:

 Liderazgo.  Por definir.
 Alto grado de influencia en la
organización.
 Visión trasversal de los procesos,
organización y tecnología.

Comité de Gestión de Seguridad de la Información

Línea de reporte: Principales funciones:
 Proponer iniciativas relacionadas a la
seguridad de la información, tal es el caso
Gerencia
Gerencia General
General de normativas, procedimientos, controles,
entre otros.
Comité
Comité dede Gestión
Gestión  Monitorear el cumplimiento de la
de Seguridad de
de
de Seguridad
la
la Información
Información
implementación y operación del Sistema de
Gestión de Seguridad de la Información
 Implementar un Plan de Sensibilización
Gestor
Gestor de
de Seguridad
de la
Seguridad
Información
de la Información
para colaboradores y terceros.
 Monitorear el cumplimiento de las
normativas aprobadas relacionadas a la
Analista
Analista de
de
Seguridad de la
Seguridad de la seguridad de la información.
Información
Información
 Revisar anualmente la Política de
seguridad de la información, para su debida
actualización si fuera el caso.
 Supervisar el desarrollo de iniciativas y
proyectos en temas relacionados a la
seguridad de la información.
 Supervisar la ejecución periódica de la
evaluación de riesgos de seguridad de la
información y los resultados de dicha
evaluación.
 Tener conocimiento de la ejecución de
auditorías sobre la gestión de la seguridad
de la información.
Principales capacidades: Designación organizacional:
 Conformación multidisciplinaria. Según designación organizacional descrita en
 Alto grado de influencia. la ACTA DE CONFORMACIÓN DE COMITÉ

Prohibido reproducir sin autorización de VIRTUALTEC Página 5 de 11

 DOC-SGSI-
ROLES Y RESPONSABILIDADES DEL Código: 003
Aprobado: GG
SGSI Versión: 0.2
Fecha : 09.02.2021

 Adecuada representación de la DE SEGURIDAD DE LA INFORMACIÓN Nº

organización en su totalidad. 001-2021-VIRTUALTEC:
 Gerente General.
 Gerente de Tecnología.
 Gerente Comercial.
 Responsable legal.
 Gestor de Seguridad de la Información.

Gestor de Seguridad de la Información

Línea de reporte: Principales funciones:
 Propiciar que la seguridad de la
información, sea considerada dentro del
planeamiento estratégico de la institución.
 Supervisar la implementación en la
institución de las medidas preventivas y
correctivas que sean necesarias con
relación a la seguridad de la información.
 Supervisar la operatividad y vigencia de las
herramientas que garantizan la continuidad

Prohibido reproducir sin autorización de VIRTUALTEC Página 6 de 11

 DOC-SGSI-
ROLES Y RESPONSABILIDADES DEL Código: 003
Aprobado: GG
SGSI Versión: 0.2
Fecha : 09.02.2021

de los procesos de la institución.

Gerencia
Gerencia General
General  Supervisar el cumplimiento de las normas y
procedimientos establecidos en las
Comité
Comité dede Gestión
Gestión
políticas de la institución y ejercer las
de Seguridad de
de Seguridad
la
de
la Información
Información
medidas correctivas que sean necesarias.
 Velar por el cumplimiento de las políticas,
normas y procedimientos de seguridad de
Gestor de
de Seguridad
Gestor
de la
de la
Seguridad
Información
Información
la información establecidos en la
institución.
 Coordinar la implementación de
Analista
Analista de
Seguridad
de
de la
Seguridad de la
requerimientos e iniciativas de seguridad
Información
Información de la información entre las áreas de
negocio y el equipo de Seguridad de la
Información.
Principales capacidades: Designación organizacional:
 Hábil para la comunicación  Por definir.
interpersonal a todo nivel.
 Ordenado y disciplinado.
 Hábil en la solución de problemas
y manejo de conflictos.
 Habilidades de análisis,
planificación y organización.
 Proactivo y con capacidad de
liderazgo.
 Habilidad para manejarse bajo
presión.

Analista de Seguridad de la Información

Línea de reporte: Principales funciones:
 Proponer y elaborar las normativas
necesarias a implementar en cuanto a la
Gerencia General
Gerencia General seguridad de la información en la
institución.
Comité de Gestión
Comité de Gestión  Desarrollar las pruebas de seguridad
de Seguridad de
de
de Seguridad
la
la Información
Información
informática.
 Identificar las pruebas de seguridad
informática que se llevarán a cabo en
Gestor
Gestor de
de Seguridad
de la
Seguridad
Información
de la Información
proyectos.
 Identificar, registrar y presentar soluciones
a los incidentes de seguridad de la
Analista
Analista de
de
Seguridad de la
Seguridad de la información reportados
Información
Información
 Velar por el cumplimiento de las políticas,
normas y procedimientos de seguridad de
la información establecidos en la
institución.

Prohibido reproducir sin autorización de VIRTUALTEC Página 7 de 11

 DOC-SGSI-
ROLES Y RESPONSABILIDADES DEL Código: 003
Aprobado: GG
SGSI Versión: 0.2
Fecha : 09.02.2021

 Ejecutar el programa de concientización y

capacitación de seguridad de la
información dirigido a todo el personal.
 Ejecutar el análisis de riesgos de seguridad
de acuerdo al alcance establecido en la
estrategia de seguridad.
Principales capacidades: Designación organizacional:
 Hábil para la comunicación  Por definir.
interpersonal.
 Ordenado y disciplinado.
 Hábil en la identificación oportuna
de riesgos y problemas.

Otras responsabilidades:

 Propietario del Activo de Información:

o Responsable de rendir cuentas ante la pérdida de disponibilidad, integridad y

confidencialidad de la información presente en su activo de información.
o Definir, mantener y actualizar la clasificación de la Información.
o Asegurar que la información entregada al usuario sea integra.

 Propietario del Riesgo de la Información:

o Cumple con la aplicación de controles definidos por VIRTUALTEC.

o Ejecutar las medidas de seguridad de la información definidas.
o Asegurar el cumplimiento de los niveles de servicio acordados, en caso
apliquen.
o Asegurar la disponibilidad de la información en los términos acordados, y
cumplir con el Plan de recuperación de desastres, en caso aplique.
o Dotar de recursos (personal u financiero) para abordar los riesgos de
seguridad de información u en su defecto, informar a la Gerencia General
para la toma de acciones.

 Usuario de la Información:

o Cumple con las políticas y procedimientos de seguridad de la información

definidos en la institución.
o Utilizar la información únicamente para el propósito para el que recibió
autorización de utilizarla.
o Cumplir los controles establecidos en las normas impuestas por
VIRTUALTEC.
o Tomar las medidas adecuadas para evitar que la información se divulgue o
use sin autorización.

Articulación de la designación organizacional

Prohibido reproducir sin autorización de VIRTUALTEC Página 8 de 11

 DOC-SGSI-
ROLES Y RESPONSABILIDADES DEL Código: 003
Aprobado: GG
SGSI Versión: 0.2
Fecha : 09.02.2021

Rol / Estructura Articulación de la Designación Organizacional

Gerencia General Para la designación en referencia, se recomienda actualizar los
documentos administrativos correspondientes (Manual de
Organización de Funciones, entre otros) con el propósito de
incorporar las siguientes responsabilidades a la Gerencia General
u similares Cargos de Alta Dirección:
 Aprobar y apoyar la difusión y cumplimiento de la Política
General de Seguridad de la Información a nivel
organizacional.
 Asegurar la adherencia de los requisitos del SGSI en las
Unidades Orgánicas de VIRTUALTEC.
 Asegurar y proveer recursos necesarios para la planificación,
implantación, revisión y mejora del SGSI.

Comité de Para la designación en referencia, se recomienda emitir un Acta

Gestión de de Conformación del Comité de Seguridad de la Información que
Seguridad de la designe a los siguientes miembros como parte del Comité en
Información referencia:
 Gerencia General.
 Gerencia Comercial.
 Gerencia de Tecnología.
 Responsable legal.
 Gestor de Seguridad de la Información.

Las responsabilidades de dicho comité deberán ser las

siguientes:
 Proponer iniciativas relacionadas a la seguridad de la
información, tal es el caso de normativas, procedimientos,
controles, entre otros.
 Monitorear el cumplimiento de la implementación y operación
del Sistema de Gestión de Seguridad de la Información
 Implementar un Plan de Sensibilización para colaboradores y
terceros.
 Monitorear el cumplimiento de las normativas aprobadas
relacionadas a la seguridad de la información.
 Revisar anualmente la Política de seguridad de la
información, para su debida actualización si fuera el caso.
 Supervisar el desarrollo de iniciativas y proyectos en temas
relacionados a la seguridad de la información.
 Supervisar la ejecución periódica de la evaluación de riesgos
de seguridad de la información y los resultados de dicha
evaluación.
 Tener conocimiento de la ejecución de auditorías sobre la
gestión de la seguridad de la información.

Gestor de Para la designación en referencia, se recomienda actualizar los

Seguridad de la documentos administrativos correspondientes (Manual de
Información Organización de Funciones, entre otros) con el propósito de crear
un nuevo puesto de Gestor de Seguridad de la Información con
las siguientes responsabilidades:

Prohibido reproducir sin autorización de VIRTUALTEC Página 9 de 11

 DOC-SGSI-
ROLES Y RESPONSABILIDADES DEL Código: 003
Aprobado: GG
SGSI Versión: 0.2
Fecha : 09.02.2021

 Propiciar que la seguridad de la información, sea considerada

dentro del planeamiento estratégico de la institución.
 Supervisar la implementación en la institución de las medidas
preventivas y correctivas que sean necesarias con relación a
la seguridad de la información.
 Supervisar la operatividad y vigencia de las herramientas que
garantizan la continuidad de los procesos de la institución.
 Supervisar el cumplimiento de las normas y procedimientos
establecidos en las políticas de la institución y ejercer las
medidas correctivas que sean necesarias.
 Velar por el cumplimiento de las políticas, normas y
procedimientos de seguridad de la información establecidos
en la institución.
 Coordinar la implementación de requerimientos e iniciativas
de seguridad de la información entre las áreas de negocio y el
equipo de Seguridad de la Información.

Respecto a la ubicación organizacional del puesto, se tienen las

siguientes alternativas:
 Reporte de la Gerencia de Tecnología, principales fortalezas:
o Alineamiento entre la estrategia de TI y la estrategia de
Seguridad de la información.
o Sinergia en los esfuerzos de TI y Seguridad de la
Información.
o Mayor conocimiento compartido de Seguridad de la
Información.
 Reporte directo a Gerencia General, principales fortalezas:
o Independencia de la función de Seguridad de la
Información para la supervisión de los controles.
o Mayor foco en el negocio.
o Empoderamiento y visibilidad de la función de
Seguridad de la Información.
 Sobre el contexto de las características de dichas alternativas
y la situación actual de la organización, se recomienda en una
primera etapa designar el puesto como parte de la Gerencia
de Tecnología o a la Gerencia Comercial (dueña del proceso
core de negocio) y en una etapa posterior conforme se logre
un nivel de madurez adecuado pasar a reportar directamente
a Gerencia General. Dicho nivel de madurez, deberá ir en
función de los siguientes criterios:
o Definición e implementación de controles adecuados
de seguridad de la información.
o Empoderamiento de la función de Seguridad de la
Información en la organización.
o Mayor cultura de control y gestión de riesgos de
seguridad de la información.

Analista de No se requiere la actualización de documentos administrativos

Seguridad de la debido a que este rol puede ser o no desempeñado de manera
Información dedicada en función de la carga operativa.

Prohibido reproducir sin autorización de VIRTUALTEC Página 10 de 11

 DOC-SGSI-
ROLES Y RESPONSABILIDADES DEL Código: 003
Aprobado: GG
SGSI Versión: 0.2
Fecha : 09.02.2021

4. Validez y gestión de documentos

El propietario de este documento es el Gestor de la Seguridad de la Información, que debe
verificar, y si es necesario actualizar el documento por lo menos una vez al año.

El Presente documento entrará en Vigencia al momento de ser aprobado por las partes
involucradas.

Al evaluar la efectividad y adecuación de este documento, es necesario tener en cuenta los

siguientes criterios:

 Cambios en el alcance del SGSI.

 Cambios estructurales en la Unidad Organizativa.
 Adecuación y/o Modificación del Manual de Funciones Laborales o el Documento
que haga sus veces.
 Cantidad de riesgos identificados y las opciones de tratamiento a abordar.

Prohibido reproducir sin autorización de VIRTUALTEC Página 11 de 11