Si eres una startup o pequeña empresa tech, esto debes considerar
Estás implementando tu primer programa de seguridad y ya te han pedido crear un comité de seguridad. Pensarás “¿de qué se trata? ¿los miembros deben ser especialistas en seguridad?”.
Cuando una empresa está creando su propio sistema para proteger su información (o SGSI en el caso de ISO 27001), no solo hay que asegurarse de tener medidas de seguridad: alguien debe controlar que todo vaya según los objetivos planteados y tomar decisiones para que, tanto el negocio como la estrategia de seguridad, funcionen correctamente.
En esta tarea crearemos un comité de seguridad de la información, para impulsar la estrategia y velar por todas las actividades que protegerán los datos de la empresa.
En esta guía rápida veremos quiénes pueden formar parte de tu comité, cómo crearlo si eres pequeña empresa y algunos tips que te ayudarán a organizar tus primeras sesiones.
¿Qué es un comité de seguridad de la información?
El comité de seguridad de la información es el grupo de personas responsable de impulsar, velar y responder por la seguridad de la información de una empresa.
Por lo general, suele crearse cuando una compañía decide implementar una estrategia de seguridad o un sistema integral para proteger la información (lo que la ISO 27001 llama un SGSI).
El comité de seguridad es prácticamente un espacio para debatir la gestión de la seguridad, asignar responsabilidades, aprobar políticas (y organizar su implementación), y asegurar todos los recursos necesarios para lograrlo.
La función principal del comité es tomar las decisiones sobre la estrategia general de seguridad y controlar que se implemente adecuadamente.
¿Es obligatorio crear un comité de seguridad de la información?
Algunas regulaciones de seguridad de la información como la Ley Fintech y RAN 20-10 lo exigen de forma obligatoria ya que necesitan asegurarse de que tienes una estructura organizacional que apoya activamente a la seguridad de la información.
Si en tu caso estás cumpliendo con la ISO 27001, esta norma no pide expresamente un comité, pero sí que puedas demostrar y asegurar el liderazgo y compromiso de la Alta Gerencia para con el programa de seguridad. Por otro lado, te recomendamos fuertemente el crearlo porque, aunque suene a algo que solo compete a las corporaciones, ayuda a optimizar el tiempo de todos, sobre todo en las pequeñas empresas donde la falta de tiempo es una constante ¿Te suena familiar?.
Tener un comité hará que el poco tiempo que le puedas dedicar sea fructífero, y así sean 1 o 2 horas mensuales podrán asegurarse de:
1. Implementar las iniciativas de seguridad de forma ágil y eficiente.
2. Concentrar la atención de los temas importantes y decisiones estratégicas de seguridad en poco tiempo.
3. Reunir a todos los actores que realmente tienen poder en la toma de decisión.
4. Generar evidencias contundentes de que tu empresa está comprometida con la seguridad (las minutas de sesiones de comité serán tu principal evidencia).
5. Un comité de seguridad resiste auditorías. Es decir, permite a cualquier auditor realizar una mejor evaluación de las iniciativas ya que cuenta con el orden y las estrategias generadas por el comité.
¿Quiénes forman parte del comité de seguridad?
Los comités de seguridad varían en tamaño y composición dependiendo de la empresa. Sin embargo, en la mayoría de los casos se compone de aquellos con poder en la toma de decisiones.
Por ejemplo, en el caso de las empresas más pequeñas, se suele componer por la Alta Dirección ya existente (o cuerpo de C-levels): CEO, CTO, COO, CFO, CISO, Oficial de Seguridad, etc.
En las empresas grandes y corporativas, en cambio, puede componerse de líderes de área especializados en seguridad de la información, ciberseguridad y riesgo: Director de Cumplimiento, Gerente de ciberseguridad, etc.
9 funciones principales del comité de seguridad de la información
A todo esto, te preguntarás ¿cuáles son las funciones concretas?, ¿cuáles serán las responsabilidades del día a día? Al ser el máximo responsable de la seguridad de la información de la empresa, las funciones del comité recaen en todo lo relacionado a garantizar la correcta implementación del programa o estrategia de seguridad que protegerá la información. Esto implica entre otras tareas:
- Evaluar y crear estrategias y planes para disminuir los riesgos: por ejemplo, definir una estrategia para mantener los ambientes de desarrollo seguros.
- Definir las prioridades y asignar responsabilidades: por ejemplo, fijar fecha para segmentar los ambientes y designar a los responsables.
- Facilitar los recursos humanos, tecnológicos y financieros para las estrategia de seguridad: por ejemplo, contratar una VPN y un WAF para la protección de ambientes de desarrollo.
- Crear, aprobar y revisar la política de seguridad de la información: este es el documento “madre” del que se desprenden todos los demás documentos como, por ejemplo, la política de desarrollo seguro, que hablará de la seguridad de los ambientes.
- Aprobar y promover las políticas y procesos de seguridad y velar por su cumplimiento: las iniciativas deben ser aprobadas en las sesiones de comité.
- Orientar y tomar decisiones ante amenazas al programa de seguridad: si alguna parte de la estrategia es débil, el comité debe tomar decisiones para fortalecerla.
- Monitorear los incidentes críticos y recibir informes: por ejemplo, deben revisar cada nuevo reporte de Ethical Hacking, de procesos internos, informes de auditorías externas, informes de medición y métricas de seguridad, entre otros.
- Comunicar el estado del programa al CEO: el estado del programa o estrategia se puede mostrar por medio de los reportes mensuales o semestrales con sus métricas.
- Recomendar iniciativas que mejoren la seguridad: ya que el comité cuenta con una visión estratégica, podrá recomendar mejorar para optimizar por ejemplo, procesos de seguridad TI, etc.
¿Cómo crear el comité de seguridad de la información?
1. Elaborar una política de comité de seguridad
La política de comité de seguridad es un documento en el que una empresa expresa su deseo de crear y mantener un comité de seguridad.
Aquí debes detallar qué roles o puestos de trabajo conformarán el comité, cuáles serán sus responsabilidades, quiénes serán sus suplentes y con qué frecuencia sesionarán.
2. Definir los miembros
La Alta Dirección de tu empresa debe definir quiénes serán los miembros de este órgano responsable del programa de seguridad (o SGSI). Recuerda que ellos deberán ser partidarios y defensores del programa de seguridad. Generalmente, dentro del comité se contemplan tres tipos de roles:
- Presidente del comité: Gerente General o CEO.
- Miembros tomadores de decisión: CTO, COO, CFO, CCO, Oficial de Seguridad de la Información, etc.
- Asesores externos o internos: si los tienes también pueden integrar el comité, pero no son obligatorios.
3. Comunicar los roles a cada miembro
Envía la política del comité a cada integrante para informarles del rol que le han asignado. Es importante que esto se haga antes de la primera sesión porque cada rol debe saber su responsabilidad y participación activa dentro del comité.
Cada miembro debe dar su conformidad recibido, por ejemplo, respondiendo el correo en el que le envías el documento.
4. Agendar fechas de sesión del comité
Puedes plasmar estas fechas en la misma política de comité para que quede formalizado. Si tu empresa tiene mucho dinamismo o está en pleno crecimiento, se recomienda que se reúnan mensualmente, al menos en el primer año de implementación.
Una vez que el programa de seguridad esté implementado (o hayas obtenido la certificación de alguna normativa) ya podrías reunirte cada 3 meses.
Durante estas sesiones deberán revisar diferentes aspectos de la seguridad como métricas, planes, estrategias y procedimientos para garantizar que todo vaya por el camino correcto, de acuerdo a los objetivos del negocio y los planteados en el programa de seguridad.
5. Incorporar el comité al organigrama
El organigrama general de una empresa representa visualmente la totalidad de la estructura departamental, funciones y jerarquías entre los puestos de una empresa (inclusive las áreas que no están involucradas en la seguridad de la información).
Por este motivo, si tu empresa tiene uno, debes incluir allí al comité de seguridad. De esta forma la empresa podrá identificar fácilmente los roles y responsabilidades específicas que lo conforman y evitar cualquier solapamiento en las tareas de seguridad.
Tips para ordenar tus sesiones de comité
Agenda los temas
Prepara una agenda de temas a tratar antes de cada reunión. Pueden ser documentos o un listado de asuntos a conversar y debatir, como por ejemplo:
- Hacer seguimiento de proyectos (ej. incorporación de un IDS/IPS).
- Revisión de métricas de seguridad (ej: % incidentes ocurridos en x tiempo, % de riesgos mitigados).
- Revisión de resultados de auditorías internas y externas.
Aprueba la política madre
Recuerda revisar y aprobar la política de seguridad de la información durante la primera sesión del comité (es el documento madre que delimitará todos los lineamientos para proteger la información). Si estás implementando ISO 27001, te recomendamos también aprobar la política de SGSI en esta primera sesión.
Envía la minuta de sesión
Al finalizar la sesión, el presidente del comité debe designar a alguien para que redacte la minuta de sesión detallando los temas vistos y decisiones tomadas. Debe enviarse a todos los miembros y servirá como evidencia para demostrar a los auditores que el comité se reúne periódicamente y aprueba las políticas. Startup Tip: puedes enviar esta minuta en un simple e-mail.
Asegúrate de recibir respuesta
Cada miembro del comité debe dar conforme de haber recibido la minuta de sesión. Esto puede ser mediante la respuesta por e-mail.
Organiza todo en carpetas
Crea una carpeta de Comité de seguridad de la información en Drive para guardar las minutas de sesión. Dentro de esta carpeta puede añadir otra por cada sesión (donde irán la minuta, agenda y PPT). El acceso debe estar restringido únicamente al comité.
Conclusión
El comité de seguridad de la información es responsable de impulsar, velar y responder por la seguridad de la información de una empresa.
Por lo general, es un órgano que debe crearse al momento de implementar una estrategia o programa de seguridad.
En las empresas pequeñas, el comité de seguridad de la información suele estar compuesto por la Alta Dirección ya existente (C-levels): CEO, CTO, COO, CFO, CISO, Oficial de Seguridad, etc.
Al ser el máximo responsable de la seguridad en una empresa, las funciones del comité están relacionadas a poder garantizar que el programa o estrategia de seguridad se implemente adecuadamente según los objetivos de seguridad y del negocio.
Ten en cuenta los tips que te dejamos para ordenar las primeras sesiones y sigue los pasos que te dejamos arriba para no olvidarte de nada.
Si tienes dudas sobre cómo elaborar los documentos y procedimientos que te piden las normativas o regulaciones, contáctanos para que te guiemos paso a paso.