Encargado de Seguridad de la Información y Gobierno de Datos#
Propósito#
Definir, implementar y supervisar el Sistema de Gestión de Seguridad de la Información (SGSI) de 23people, garantizando la protección de los activos de información mediante la gestión proactiva de riesgos, el cumplimiento normativo (ISO 27001, legislación chilena e internacional aplicable), y el fortalecimiento de la cultura de seguridad en toda la organización.
Identificación del Rol#
- Nombre del Rol: Encargado de Seguridad de la Información y Gobierno de Datos.
- Capa Organizacional: Global Operations.
- Asociado a Cargo: Director, Global Operations.
Responsabilidades y Funciones#
-
Gestión del SGSI:
- Desarrollar, implementar y mantener el Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001.
- Elaborar y actualizar políticas, procedimientos y controles de seguridad de la información.
- Asegurar la documentación completa del SGSI (políticas, procedimientos, registros, evidencias).
- Coordinar auditorías internas y externas del SGSI.
-
Gestión de Riesgos:
- Realizar análisis de riesgos de seguridad de la información de manera anual.
- Ejecutar plan de mitigación de riesgos identificados.
- Mantener el registro de riesgos actualizado y comunicado a la dirección.
- Monitorear la efectividad de los controles implementados.
-
Respuesta a Incidentes:
- Actuar como punto de contacto principal seguridad@23people.io para incidentes de seguridad.
- Coordinar la respuesta ante incidentes de seguridad y brechas de datos.
- Gestionar comunicaciones con autoridades (CSIRT Chile, Agencia Nacional de Ciberseguridad) en caso de incidentes críticos.
- Implementar y supervisar el proceso de gestión de incidentes de seguridad.
-
Cumplimiento y Normativa:
- Asegurar el cumplimiento de legislación vigente (Ley 21.663 sobre Delitos Informáticos, Ley 19.628 sobre Protección de Datos Personales, y normativas internacionales según operaciones de 23people).
- Mantener actualizado el conocimiento sobre cambios normativos y regulatorios.
- Coordinar con asesores legales en temas de protección de datos y ciberseguridad.
- Preparar reportes de cumplimiento para dirección y reguladores.
-
Mejora Continua:
- Tomar acciones correctivas en base a un proceso de mejora continua.
- Revisar y actualizar periódicamente políticas de seguridad.
- Implementar lecciones aprendidas de incidentes y auditorías.
- Proponer mejoras basadas en evolución de amenazas y mejores prácticas.
-
Cultura de Seguridad:
- Diseñar e implementar programas de concientización y capacitación en seguridad de la información para todos los colaboradores.
- Comunicar políticas y procedimientos de seguridad de manera efectiva.
- Promover buenas prácticas de seguridad en toda la organización.
- Actuar como evangelizador de seguridad de la información.
-
Gobierno de Datos:
- Supervisar la clasificación, manejo y protección de datos según su criticidad.
- Asegurar controles de acceso apropiados a información sensible.
- Gestionar el ciclo de vida de los datos (creación, almacenamiento, uso, archivo, destrucción).
- Garantizar privacidad y protección de datos personales.
-
Coordinación con Stakeholders:
- Reportar estado de seguridad de la información a la Alta Dirección.
- Coordinar con líderes de área la implementación de controles de seguridad.
- Gestionar relaciones con proveedores de servicios de seguridad.
- Colaborar con equipos técnicos (IT, DevOps, Engineering) en la implementación de medidas de seguridad.
KPIs y Métricas#
- Cobertura de controles ISO 27001: % de controles implementados y operativos.
- Tiempo de respuesta a incidentes: Tiempo promedio desde detección hasta resolución.
- Nivel de riesgo residual: Indicador del riesgo aceptado vs. identificado.
- Completitud de capacitaciones: % de personal capacitado en seguridad de la información.
- Cumplimiento normativo: % de cumplimiento en auditorías internas y externas.
- Tiempo de cierre de hallazgos: Días promedio para resolver hallazgos de auditoría.
- Incidentes de seguridad: Número y severidad de incidentes por período.
- Efectividad de controles: % de controles que superan revisiones y pruebas.
Entregables Principales#
-
Anual:
- Análisis de riesgos de seguridad de la información.
- Plan de tratamiento de riesgos.
- Programa de auditorías internas.
- Reporte anual de estado del SGSI a la Dirección.
- Actualización de políticas de seguridad.
-
Trimestral:
- Reporte de métricas de seguridad e indicadores del SGSI.
- Revisión de incidentes de seguridad y acciones tomadas.
- Estado de implementación de controles.
-
Continuo:
- Gestión de incidentes de seguridad.
- Respuesta a consultas de seguridad.
- Monitoreo de alertas de seguridad (boletines CSIRT, CVEs, threat intelligence).
- Actualización de documentación del SGSI.
Interacciones Clave#
- Con Alta Dirección (High Council): Reportes de estado, aprobación de políticas, solicitud de recursos.
- Con Líderes de Área (TTS, BKO, R&D, Sales & MKT: Implementación de controles, definición de responsabilidades, gestión de riesgos.
- Con R&D : Implementación técnica de controles, gestión de vulnerabilidades, hardening de sistemas.
- Con People Growth: Capacitación, onboarding/offboarding seguro, gestión de accesos.
- Con Legal: Cumplimiento normativo, contratos con terceros, gestión de privacidad.
- Con Externos: Coordinación con CSIRTs, auditores, autoridades regulatorias, proveedores de seguridad.
Contexto Adicional#
Este rol es crítico para:
- Proteger los activos de información de 23people y sus clientes.
- Garantizar la continuidad del negocio ante amenazas de seguridad.
- Cumplir con obligaciones legales y contractuales.
- Construir confianza con clientes, socios y stakeholders.
- Habilitar la certificación ISO 27001 de la organización.
El Encargado de Seguridad de la Información debe balancear la seguridad con la usabilidad, trabajando colaborativamente con todos los equipos para implementar controles efectivos sin impactar negativamente la productividad del negocio.