comite-seguridad-informacion

Lineamientos para la conformación del Comité de Seguridad de la Información

La Información hoy por hoy es considerada como un activo invaluable para organizaciones que manejan información confidencial y privada.

La definición de Información es que es la agrupación o conjunto de datos ordenados que sirven para una determinada finalidad. Es fuente también de conocimiento y el conocimiento generalmente da poder. Este poder permite diferenciar a una organización exitosa frente a su competencia directa. 

La Información hoy por hoy es considerada como un activo invaluable para organizaciones que manejan información confidencial y privada (marcas, patentes y secretos comerciales) los cuales son registrados ante entidades encargadas de velar por la propiedad intelectual. 

Como ejemplo tenemos a una conocida franquicia de comida rápida cuya receta para esos pollos crujientes y sabrosos es guardada y resguardada celosamente ante un eventual ataque de robo de información. 

Sin embargo, queda claro que no hay sistema seguro ¿Entonces qué pasaría si su competencia directa obtiene tal receta mediante un ataque cibernético? En la práctica, afectaría gravemente a esta compañía con altas probabilidades de quiebra. En términos claros su información confidencial o clasificada ya no lo, es más.

La organización afectada como acción inmediata probablemente haría lo siguiente: 

  1. Aplicar control de daños (damage control) despidiendo a su Director de seguridad de la información (CISO), responsable de velar justamente por la seguridad de la información 
  2. Realización de un análisis forense para determinar brechas y vulnerabilidades que permitieron el robo de la información. 

Este segundo procedimiento probablemente ya está tipificado en el Sistema de Gestión de Seguridad de la información (conocido también como políticas de seguridad de la información) y definido por el Comité de Seguridad de la Información 

Este Comité es el responsable de elaborar estrategias y mejoras dentro del ámbito de la seguridad de la información. Está conformado por personal de alta dirección y las principales jefaturas o direcciones entre ellas:

  • Gerente General (CEO)
  • Director de Seguridad de la información (CISO)
  • Director de Tecnologías de información (CIO)
  • Director de Finanzas (CFO)
  • Director de Recursos Humanos (CHRO)

El Comité como tal toma acciones y define directrices que deben ser aplicadas por el personal de la Organización. Entonces es importante recalcar que ninguna buena intención se logrará sin el apoyo de la alta dirección, es por ello la importancia en su involucramiento y sobre todo que pueda tener conocimiento de los planes para la continuidad del negocio, aplicando la triada de la seguridad de la información que es la confidencialidad, integridad y disponibilidad.

Asumiendo que las organizaciones grandes ya cuentan con un Comité de Seguridad de la información (indispensable), las organizaciones medianas probablemente estén en un 50% y en el caso de las pequeñas organizaciones es muy probable que no tengan ninguna conformación e inclusive desconozcan de que se trata dicho comité. 

En el informe del 2018 de la Organización Internacional del Trabajo (OIT) titulado “Las MIPYMES en América Latina y el Caribe: Una agenda integrada para promover la productividad y la formalización” se menciona que “América Latina y el Caribe es una región que se caracteriza por la fuerte presencia de empresas muy pequeñas”. 

Estas micro y pequeñas empresas en muchos países representan casi el 90% del total de empresas y son el principal motor de empleos. También son un importante nicho donde se debe trabajar concientizando y fomentando la conformación de un Comité de Seguridad de la información el cual entre sus principales funciones realiza lo siguiente:

  • Definir las políticas (Sistema de Gestión de Seguridad de la información – SGSI) de seguridad de la información y objetivos alineados con el Plan Estratégico Organizacional
  • Mantenimiento regular del Sistema de Gestión de Seguridad de la información
  • Identificación de riesgos en seguridad de la información  
  • Promoción de adecuada implantación del Sistema de Gestión de Seguridad de la Información
  • Proporcionar recursos necesarios (económicos y personal) para la implementación del Sistema de Gestión de Seguridad de la Información.
  • Revisión conjunta de nuevas vulnerabilidades que podrían afectar lo implementado 
  • Monitorear desempeño del Sistema de Gestión de Seguridad de la Información.
  • Concientización sobre la adopción y buenas prácticas en Seguridad de la Información dentro de la Organización, así como también 

La conformación de un Comité de Seguridad de la información es un buen inicio en cualquier organización en la ardua tarea de proteger nuestro activo más importante que es la información. Dependerá mucho del interés que pongamos a esta iniciativa en definir la frecuencia de reuniones a tener y siempre contando con la presencia e involucramiento de todos los actores que conforman este grupo de trabajo, apuntando a un solo objetivo que es la protección de la información mediante políticas, procedimientos y mejores practicas alineadas dentro del marco de la ISO 27001 y sus derivados. También conocer los controles que brinda la norma y adecuarlos a la realidad de la organización.

Fotografía por Sincerely Media/Unsplash.com

Le podría interesar