En este artículo vamos a explicar cuál es el propósito, las actividades y la configuración de un Comité de Seguridad IT.
Este comité proporciona un espacio para comunicarse, discutir y debatir sobre los Requisitos de Seguridad. Sus miembros representan una variedad de líneas de negocio o departamentos, incluyendo cumplimiento, auditoría, recursos humanos, riesgos, etc. Además de brindar consejo y orientación, su misión es compartir los requisitos de seguridad con sus colegas y socios comerciales.
Objetivos del Comité de Seguridad IT
Los principales objetivos del Comité de Seguridad son:
- Asesorar en la implementación, soporte y gestión de la Política de Seguridad de la Información.
- Proporcionar un espacio para discutir iniciativas comerciales y requisitos de seguridad.
- Supervisar las iniciativas de seguridad relacionadas con el área de IT.
- Monitorizar los problemas derivados de auditorías de seguridad externas.
Como se describió, el Comité de Seguridad IT no es solo una reunión, es una estructura de gobierno que permite tener un espacio en el que los diferentes miembros puedan encontrarse. Esta reunión debe ser periódica (mensual, trimestral…), pero no se recomienda que sea muy distante.
Asistentes al Comité de Seguridad IT
En relación a la configuración del comité, los perfiles involucrados en éste deben ser:
- Dueño del comité (Presidente).
- Miembros de las diferentes áreas: una variedad de líneas de negocio o departamentos, incluyendo operaciones, riesgos, cumplimiento, marketing, auditoría, ventas, recursos humanos, legal, etc.
- Facilitador. Aquella persona encargada de la comunicación de memorandos, mantenimiento del seguimiento, etc.
Desarrollo del Comité de Seguridad IT
Las principales actividades de este comité son:
1- Preparación y cierre de la agenda:
Algunos días antes de la reunión, se deben revisar y compartir los puntos principales y propuestas con cada responsable. Una vez confirmados todos los puntos y nuevas propuestas, la agenda de la reunión está lista. Esta parte es importante porque todos los miembros que asistirán a la reunión están informados sobre los temas a tratar y pueden preparar la información relacionada en caso de que sea necesaria.
Durante la reunión, se revisan todas las propuestas incluidas en la agenda junto con los responsables correspondientes, y todos los miembros pueden dar su opinión, sugerencia o apoyo. Todos los problemas identificados deben estar vinculados a una propuesta de mejora, dependiendo del departamento. No todas las propuestas de mejora deben tener un problema vinculado, por lo tanto, las mejoras pueden proponerse sin haber detectado un problema. Por ejemplo, si hay un problema, debe haber una solución; sin embargo, podría tratarse de un riesgo o una actualización de una aplicación que no requiera un riesgo asociado.
2- Mantenimiento del seguimiento:
Se recomienda tener un seguimiento con todos los problemas y propuestas, en el cual sea obligatorio indicar el estado (nuevo, en progreso, en espera o completado), la prioridad (crítico, alto, medio o bajo; también es posible usar un rango de números), quién reportó el problema, quién lo está gestionando o las acciones realizadas al respecto. Con este seguimiento, cualquier persona puede ver el estado y todas las propuestas/problemas disponibles.
3- Finalización de la reunión y envío de resultados (memorando):
Una vez que se completa la reunión, es necesario enviar un documento final con todas las propuestas comentadas, las actualizaciones realizadas y las acciones aprobadas. Con este documento, todos los miembros pueden tener un resumen de los detalles de la reunión y las acciones que deben llevarse a cabo.
Conclusiones
En resumen, contar con un comité de seguridad:
1- Aumenta el control y la organización de la estrategia en torno a la seguridad de la empresa.
2- Proporciona visibilidad entre los departamentos al permitir un espacio para discutir problemas y mejoras relacionadas con puntos de seguridad que afectan a diferentes áreas.
3- La configuración del comité de seguridad ofrece claridad sobre cómo es el cuerpo de gobierno, su estructura, funcionamiento, frecuencia, etc.