ISMS Copilot
Documentación del SGSI

Segregación de funciones (SoD)

La Segregación de funciones (SoD) reduce el riesgo de errores, conflictos de interés y decisiones sin supervisión, garantizando que las actividades críticas del SGSI no sean propiedad y aprobadas por la misma persona.

Por qué es importante la SoD en un SGSI

La norma ISO 27001 espera roles definidos, rendición de cuentas y supervisión independiente para las actividades clave del SGSI. Cuando las responsabilidades se solapan, la organización debe reconocer el riesgo de gobernanza y demostrar cómo se gestiona.

Nuestra situación actual

Al ser una organización pequeña, la persona que implementa el SGSI también forma parte de la alta dirección y realiza la revisión por la dirección. Esto crea un riesgo de segregación de funciones porque el diseño, la ejecución y la revisión no son totalmente independientes.

Enfoque del tratamiento de riesgos

Tratamos esto como un riesgo documentado y aceptado en nuestro registro de riesgos. Dado nuestro tamaño y recursos actuales, aceptamos esta limitación mientras implementamos controles compensatorios y planificamos futuras mitigaciones a medida que crezcamos.

Controles compensatorios

  • Proceso formal de revisión por la dirección con una agenda estructurada y resultados documentados

  • Documentación explícita del conflicto y la lógica de su aceptación

Mitigaciones planificadas

  • Contratación y expansión del equipo para separar los roles de gobernanza y ejecución

  • Delegación de la propiedad de los controles siempre que sea factible

  • Aportaciones externas o revisiones independientes periódicas para reducir el sesgo

Cuando la segregación de funciones es limitada, la transparencia es fundamental: el riesgo, la justificación y el plan de mitigación deben documentarse explícitamente.

Evidencias que mantenemos

  • Entrada en el registro de riesgos para el riesgo de SoD (estado, propietario, plan de tratamiento, justificación de la aceptación)

  • Registros de revisión por la dirección que muestran el reconocimiento y las acciones de seguimiento

  • Documentación de cualquier aportación externa o comprobaciones independientes realizadas

¿Te fue útil?