Matriz de roles y responsabilidades

Definir las responsabilidades y roles que juega el personal dentro de la empresa es importante, y en materia de ciberseguridad no es la excepción, ya que cuando una organización toma la decisión de implementar controles de seguridad, es necesario definir las funciones y responsabilidades que se requieren para la ejecución y mantenimiento de las actividades enfocadas en proteger el activo más importante.

La definición de roles y de responsabilidades es necesaria para que nuestro sistema sea efectivo y eficaz, siendo dependiente de los objetivos de la empresa, pues detallará quienes serán los encargados de realizar que actividad, obteniendo al final una matriz de roles y responsabilidades bien definida. Para poder realizar esta actividad de forma precisa, es necesario llevar a cabo algunos puntos que son básicos y que deben de seguirse para poder lograr nuestro objetivo.

Algunas empresas listan los roles y responsabilidades en una pequeña tabla que es documentada en sus políticas de seguridad y donde se definen las actividades y responsabilidades del personal, y algunas otras hacen uso de una matriz RACI (Responsable, Accountable,  Consultor, Informed), no importa cuál sea el método que utilices, la idea principal es que se encuentre bien definido lo que hace cada quién en las actividades.

Para poder explicar un poco mejor, nos basaremos en la matriz RACI, donde deberemos identificar bien los roles y responsabilidades, por ejemplo:

• Responsable. Es la persona que realiza la actividad de forma directa. Es recomendable que exista un responsable solamente, así se podrá acudir a esta persona directamente para cualquier aclaración.
• Aprobador. Es la persona que se encuentra a cargo de supervisar una actividad, puede ser un cargo superior del responsable, y será principalmente quien apruebe la actividad del responsable.
• Consultado. Es la persona o personas que deben de revisar y aprobar la actividad antes de entregarla como finalizada.
• Informado. Es la persona o personas que deben de estar informadas de los avances de la actividad.
  
  

La definición de roles y responsabilidades nos ayudarán a poder dar un correcto seguimiento a las actividades que se realizan por las personas en sus diferentes asignaciones, apoyando, en teoría, a tomar mejores decisiones y disminuir los baches que podrían afectar una actividad.

Dentro de las políticas y procedimientos que se encuentran establecidos en nuestro sistema de seguridad, deben de especificarse estos roles y responsabilidades para que se pueda realizar un seguimiento del cumplimiento, y en caso de encontrarse con algún inconveniente, sea más sencillo rastrear el problema y ejecutar alguna acción para poder resarcirlo y evitarlo en un futuro, recordemos que la seguridad debe de estar basada en la mejora continua, y nuestras asignaciones ayudan a que la revisión de procesos sea más sencilla, así como la detección de mejoras.

Algunas de sus ventajas es que puedes tener una visión clara de las responsabilidades y roles que asumen las personas en las actividades, sabiendo exactamente a quien acudir en búsqueda de esclarecer dudas, lo que mejora los tiempos de respuesta y la toma de decisiones.

Ahora bien, también existen desventajas, ya que puede volverse un tema complejo si asignamos las responsabilidades y/o roles de forma muy granular, y adicionalmente, en muchas ocasiones, no se llegan a adaptar al 100% estas matrices con nuestras políticas y/o procesos, por lo que pueden quedar obsoletos rápidamente.

Es importante definir las responsabilidades y los roles que jugamos en materia de ciberseguridad, pero debemos de tener cuidado de no ser tan estrictos y enfocarnos lo más posible a los objetivos del negocio, para que pueda verse como una ventaja más que desventaja.