Esta es una web oficial del Gobierno de la República Dominicana Así es como puedes saberlo ▼

Objetivo general:

Asegurar la resiliencia organizacional y operacional de la Institución con la implementación de buenas prácticas de disciplinas relacionadas, como gestión de riesgos, continuidad del negocio, seguridad de la información, entre otros.

Funciones principales:

• Monitorear de forma independiente el cumplimiento de las políticas aprobadas para la administración de riesgo en sentido general.

• Informar, con la frecuencia que decida el Comité de Riesgos, los casos en que se ha excedido el nivel de tolerancia, para que este Comité conozca y apruebe las acciones a tomar para corregir la desviación.

• Asegurar que la Gestión de la Continuidad del Negocio sea desarrollada internamente por sus áreas y sea considerada como un proceso más de negocio.

• Garantizar la implementación y mantenimiento del SGSI de acuerdo a las políticas y normas establecidas.

• Gestionar que todos los recursos necesarios para los sistemas bajo la dirección estén disponibles.

• Garantizar el desarrollo del Sistema de Gestión de la Continuidad del Negocio (SGCN).

• Tener conocimiento sobre los niveles de riesgos asumidos y asegurarse que sean reportados al Comité de Riesgos con la frecuencia que este establezca.

• Conformar la estructura especializada de gestión de riesgos, asegurando su carácter e independencia.

Norma que le asigna:

Resolución 03-2023, que establece la modificación de la estructura organizativa para la Tesorería de la Seguridad Social (TSS).

La Dirección de Gestión de Normas, Cumplimiento y Ciberseguridad cuenta con una estructura jerárquica a través de la cual realiza sus funciones, compuesta por:

Departamento de Gestión de Seguridad de la Información

Objetivo general:

Dirigir, coordinar y supervisar las actividades relacionadas con la definición de las políticas de seguridad informática de acuerdo con la estrategia de la institución, así como, su aplicación, operación, monitoreo, supervisión y desarrollo de los controles de seguridad de la información de la TSS.

Funciones principales:

Garantizar que el SGSI sea implementado y mantenido de acuerdo a las políticas y normas establecidas, y garantizar que todos los recursos necesarios estén disponibles.

Coordinar la operatividad del SGSI.

Implementar programas de capacitación y concienciación de empleados sobre seguridad de la información.

Velar por la protección de la integridad, disponibilidad y confidencialidad de los activos de información de la institución.

Garantizar la adecuada gestión de los incidentes o debilidades de seguridad detectados.

Definir la información relacionada con la seguridad de la información que será comunicada; a qué parte interesada (tanto interna como externa), por quién y cuándo.

Diseñar un plan de concienciación, que corresponde a todas las personas que cumplen una función en la gestión de la seguridad de la información.

Coordinar el levantamiento y gestión de los activos de información.

División de Monitoreo del Sistema de Información

Objetivo general:

Planificar, dirigir y controlar la implementación de políticas de seguridad que garanticen la integridad, control, disponibilidad, confidencialidad y el resguardo tanto de los equipos informáticos, como de las informaciones existentes en la institución.

Funciones principales:

Diseñar e implementar políticas de seguridad para el resguardo de los equipos informáticos y bases de datos, así como que asegurar la confidencialidad de las informaciones generadas a través de los mismos y la recuperación de informaciones en el caso de alguna eventualidad.

Establecer controles para la identificación, autenticación y acceso de los usuarios a los sistemas informáticos.

Velar por el adecuado control y seguridad del acceso a los diferentes sistemas informáticos, con la finalidad de que no se sature la red interna.

Velar porque las personas con acceso a los diferentes sistemas tengan asignados sus usuarios y supervisar que los usuarios solo tengan acceso a las informaciones internas y externas que les correspondan dentro de los sistemas de información.

Coordinar y supervisar la gestión de riesgos de seguridad de la información, que incluye la identificación de vulnerabilidades y amenazas, evaluación, análisis de riesgos e impactos, monitoreo y estrategias de desarrollo para manejarlos y mitigarlos utilizando recursos gerenciales y tecnológicos.

Diseñar, desarrollar e implementar controles de seguridad informática (controles de software, bases de datos, redes y servidores) definidos por las políticas de seguridad de la información establecidas.

Diseñar y programar los controles de seguridad (control de acceso, funciones criptográficas, filtros, bitácoras de seguridad de aplicativos, etc.).

Monitorear la seguridad de los componentes de tecnología de la información, tales como: Redes de Datos, Servidores, Switches, Firewalls, IPS/IDS, Antimalware, entre otros.

Definir e implementar los sistemas de detección y respuestas correctivas a incidentes relacionados con los controles de seguridad que operan.

Coordinar y supervisar el soporte a usuarios de TI en materia de capacitación y orientación en el uso de los sistemas y sus controles de seguridad (alta, baja y modificación de accesos a sistemas y aplicaciones).

Supervisar el registro de evidencias de no cumplimiento con las normas e incidentes de seguridad de la información y presentar informes a la Dirección de TI.

Departamento de Gestión Integral de Riesgos

Objetivo general:

Planificar, dirigir y controlar la gestión integral de riesgos basada en los estándares internacionales y las buenas prácticas de la industria y contemplando temas relacionados como Resiliencia Organizacional o Continuidad del Negocio, entre otros.

Funciones principales:

Coordinar la implementación de modelos y sistemas de medición de riesgos congruentes con el grado de complejidad y volumen de las operaciones que reflejen el valor de las posiciones y la sensibilidad a diversos factores de riesgos.

Establecer programas de capacitación y actualización, tanto para sus empleados directos como para los involucrados en operaciones que implican riesgos significativos.

Establecer procedimientos que aseguren un apropiado flujo, calidad y oportunidad de la información entre su personal de gestión de riesgos y todos los involucrados en operaciones que implican riesgos para la institución.

Garantizar que los equipos de Gestión de Riesgos le proporcionen de manera oportuna las informaciones para evaluar el apetito y la exposición al riesgo de la entidad.

Coordinar en conjunto con otras áreas planes de continuidad de negocios y programas de ejercicios y pruebas, así como participar del monitoreo y cumplimiento de los mismos.

Asegurar la debida documentación de las estrategias, políticas, procedimientos y sistemas desarrollados para la gestión de riesgos, para que sean conocidos por todo el personal, y establecer programas de divulgación continua que promueva una cultura organizacional del riesgo en la entidad.

Departamento de Cumplimiento Normativo

Objetivo general:

Prevenir, detectar y tratar cualquier desviación en el cumplimiento de las normas básicas de control interno y gestionar el sistema antisoborno de la institución.

Funciones principales:

Supervisar el diseño e implementación del sistema de gestión de cumplimiento NOBACI y antisoborno por parte de la organización.

Proporcionar asesoramiento y orientación al personal sobre el sistema de gestión de cumplimiento NOBACI y antisoborno y las cuestiones relacionadas al soborno y al cumplimiento.

Asegurarse de que el sistema de gestión cumplimiento y antisoborno es conforme con los requisitos de las normas establecidas por los organismos rectores.

Informar sobre el desempeño del sistema de gestión de cumplimiento NOBACI y antisoborno al órgano de gobierno y a la alta dirección y a otras funciones de cumplimiento.

Velar que la función de cumplimiento antisoborno esté provista de recursos adecuados y asignada a las personas que tengan la competencia, la posición, la autoridad y la independencia apropiada.

Informar al órgano de gobierno y a la alta dirección cualquier cuestión o inquietud en relación con el soborno o el sistema de gestión antisoborno.

Integrar los requisitos del sistema en los procesos de la institución.

Promover una cultura de seguridad respecto a denuncias sobre incumplimientos y sobornos, sin represalias o consecuencias negativas para el denunciante, o para aquellos que se rehúsen a participar de un soborno.

Departamento de Ciberseguridad

Objetivo general:

Dirigir, coordinar y supervisar las labores relacionadas con el diseño, desarrollo de proyectos, planes e implementación de herramientas de ciberseguridad que den soporte al Sistema de Gestión de Seguridad de la Información (SGSI) de la institución.

Funciones principales:

Velar por la privacidad y protección de los datos de la institución, además de implementar el esquema de resolución de incidentes de seguridad de la información.

Analizar y detectar amenazas de seguridad de la información y desarrollar técnicas de prevención.

Realizar análisis forense y análisis de malware a evidencias levantadas en incidentes de seguridad de la información.

Implementar protocolos criptográficos y herramientas de seguridad basadas en estos protocolos.

Realizar seguimiento de los informes sobre virus y vulnerabilidades informáticas, generados por las diferentes herramientas y centros de respuesta a incidentes de seguridad de la información.

Atender las emergencias en materia de proceso de datos.

Formular planes para salvaguardar archivos informáticos.

Diseñar estrategias y sistemas defensivos en contra de intrusos.

Determinar las medidas de seguridad adecuadas para la protección de la información.

Identificar riesgos potenciales a la seguridad de la información.

Reportar incidentes de Seguridad de la Información.

Simular violaciones de accesos no autorizados para identificar debilidades potenciales, planificadas y autorizadas por el director de Tecnologías de la Información y Comunicación.

Realizar pruebas de vulnerabilidad a los sistemas de defensa, acción planificada y autorizada por el director de Tecnologías de la Información y Comunicación.

Crear nuevas capas de protección.

Desarrollar e implementar protocolos capaces de contrarrestar potenciales amenazas.

Analizar nuevos métodos de intrusión implementados por cibercriminales.

Elaborar informes de manera periódica sobre el estado de los sistemas.

Ejecutar protocolos y programas de defensa ante cualquier traspaso o violación.

Concientizar la institución ante las últimas tendencias de ataques y debilidades informáticas.

Gestionar las detecciones de los centros de respuesta a incidentes de seguridad.

Alimentar la base de datos de ataques de los centros de respuesta a incidentes de seguridad a los que pertenece la institución.