Mientras que la responsabilidad final a menudo recae en el gerente de la unidad (o equivalente, como un jefe o director del departamento), con frecuencia delegan las tareas diarias y los aspectos técnicos a un oficial de seguridad de la información dedicado (ISO) . o un miembro de un equipo de seguridad dedicado. El ISO informaría al gerente de la unidad y garantizaría que el programa se alinee con las políticas generales de seguridad organizacional.
Aquí hay un desglose:
* Gerente de la unidad/Jefe/Director: Posee la responsabilidad general de la seguridad de la información dentro de su unidad. Son responsables de garantizar que el programa sea efectivo y cumpla con los requisitos de la organización. Esto incluye la asignación de presupuesto, la priorización de recursos y la supervisión del equipo de seguridad.
* Oficial de seguridad de la información (ISO) o equipo de seguridad: Responsable de la gestión cotidiana del programa, incluida la implementación de políticas, la evaluación de riesgos, la capacitación de conciencia de seguridad, la respuesta de incidentes y la gestión de vulnerabilidades. Por lo general, tienen la experiencia técnica para implementar y mantener controles de seguridad.
En unidades más pequeñas, el gerente de la unidad podría manejar directamente muchas de las responsabilidades del ISO, potencialmente con el apoyo del personal de TI. En organizaciones más grandes, puede haber múltiples capas de responsabilidad de seguridad, con un equipo de seguridad central que brinda orientación y apoyo a las unidades individuales.