Las funciones que puede efectuar el Comité de Seguridad de la Información son muy amplias, no existe un estándar de las actividades que debe o no hacer el Comité de Seguridad de la Información (CSI). Así que las las funciones que desarrollaremos a continuación solo son un conjunto de recomendaciones siguiendo las buenas practicas, pero como dije anteriormente, las actividades del CSI deben ser adaptadas a cada tipo de organización.
Puedes ver el resto la serie publicadas, a continuación:
Entre las funciones que podemos destacar, serían las siguiente:
- Dentro del flujo de aprobación de las Políticas de Seguridad de la Información, el Comité de Seguridad de la Información es el primer nivel de aprobación, revisión, rechazo, modificación o eliminación de éstas;
- El Comité de Seguridad de la Información aprueba normas y procedimientos de seguridad de la Información.
- Revisa y valida normas y procedimientos en general, a fin de verificar que se estén cumpliendo los aspectos de seguridad dentro de los procesos.
- Por medio del Comité de Seguridad de la Información se supervisa y controla el Plan de Seguridad de la Información para analizar temas tales como:
- Revisar el avance del plan y dar directrices en caso de atrasos;
- Establecer recursos para administrar los incidentes de seguridad u otras vulnerabilidades;
- Velar por el cumplimiento de las políticas, normas, procedimientos y demás documentos relacionados en Seguridad de la Información dentro de la organización;
- Definir proyectos de tecnología que impliquen la aplicación de Seguridad de la Información en el contexto del negocio (Servicio, Producto e Información);
- Generar resúmenes de actividades englobadas en el marco de la Seguridad de la Información para ser presentadas ante las máximas autoridades de la organización.
- Monitorear cambios significativos en los riesgos que afectan a los recursos de la información de la Organización frente a posibles amenazas, sean internas o externas.
- Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes, relativos a la seguridad, que se produzcan en el ámbito de la Organización.
- Por medio del Comité de Seguridad de la Información se instruirá al Oficial de Seguridad de la Información el inicio del proceso de revisión anual de las políticas vigentes. Dicha instrucción se dará en la sesión de Diciembre de cada año.
- Aprobar las principales iniciativas para incrementar la Seguridad de la Información de acuerdo a las competencias y responsabilidades asignadas a cada gerencia, así como acordar y aprobar metodologías y procesos específicos relativos a la Seguridad de la Información.
- Evaluar y coordinar la implementación de controles específicos de Seguridad de la Información para los sistemas o servicios de la Organización, sean preexistente o nuevos.
- Promover la difusión y apoyo a la Seguridad de la Información dentro de la Organización, así como también, coordinar el proceso de administración de la continuidad de las actividades.
Como mencioné anteriormente, estas son un conjunto de actividades en las que podría estar enmarcado el Comité de Seguridad de la Información, sin embargo, al final dependerá del tamaño, estructura y tipo de organización donde funcionará este equipo de trabajo.
¿Qué otras funciones crees que puede efectuar el Comité de Seguridad de la Información? Deja tus comentarios.
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.