En un artículo anterior hablamos de lo que es el Comité de Seguridad de la Información (CSI), por lo que se recomienda que si lea primero esa entrada antes de continuar con la presente. En esta ocasión exploraremos lo relacionado a quienes son los integrantes del CSI.En lo que respecta a las personas que conforman el CSI no existe un estándar formal de quienes deberían ser, además de, que la cantidad de miembros dependerá del tamaño y complejidad de la organización, sin embargo se recomienda que estén presentes los siguientes individuos:
- Oficial de Seguridad de la Información (obviamente)
- Director o Gerente de Tecnología (o como se refieran al encargado de la plataforma tecnológica)
- Los directores o gerentes de cada una de las unidades de negocio (las piezas más importantes)
Puedes ver el resto la serie publicadas, a continuación:
Es claro que debe asistir el Oficial de Seguridad de la Información, ya que el mismo es quien dará los lineamientos en seguridad de la información dentro de este grupo de trabajo y es, en teoría, quien más conoce sobre esta materia; además, de ser quien presidirá dicho comité. También, es importante que asista el líder del área de tecnología, ya que muchas de las decisiones y soluciones de Seguridad de la Información en la organización irán de la mano con esta área.
Por último, están los miembros más importantes del Comité de Seguridad de la Información y son los líderes de las áreas de negocio; y son los de mayor importancia porque muchas veces olvidamos que la función principal de una organización es el negocio, no la seguridad, y que todo lo que se haga en las empresas debe ir orientado a aumentar la rentabilidad y disminuir los costos, básicamente. Entonces, algunos se preguntarán ¿y es que la Seguridad de la Información no es importante para el negocio? la respuesta es: por supuesto que sí pero esto solo lo vemos, al menos en un principio, los que somos responsables por la Seguridad de la Información; y esta es la intención de que los líderes de las áreas de negocio formen parte del Comité de Seguridad de la Información, la cual es que entiendan la importancia de la Seguridad de la Información en cada uno de los procesos de sus áreas y pueda proponer y aceptar las medidas que se generen en cada sesión.
Como se dijo anteriormente, los planes de acción de las organizaciones siempre van orientados al negocio y ya estamos consientes de que las directrices emanadas por el Comité de Seguridad de la Información estarán alineadas con el negocio, esto nos servirá para recibir el soporte y cumplimiento de las medidas de Seguridad de la Información que genere el Comité de Seguridad de la Información, por parte de las áreas de apoyo (RRHH, Administración, finanzas, RRII), ¿por qué? porque las áreas que son la razón de ser de la organización comprenden, están consientes y desean aplicar Seguridad de la Información en cada uno de sus procesos, esto hace que las áreas de soporte se vean en la obligación de efectuar planes de acciones orientados a la Seguridad de la Información y de esta manera podremos obtener el apoyo de la dirección que estábamos buscando al forma el Comité de Seguridad de la Información.
¿Quien más crees que debe ser parte del Comité de Seguridad de la Información? Deja tus comentarios.
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.