domingo, 11 de marzo de 2012

¿Quienes participan en un Comité de Seguridad de la Información?

En un artículo anterior hablamos de lo que es el Comité de Seguridad de la Información (CSI), por lo que se recomienda que si lea primero esa entrada antes de continuar con la presente. En esta ocasión exploraremos lo relacionado a quienes son los integrantes del CSI.

En lo que respecta a las personas que conforman el CSI no existe un estándar formal de quienes deberían ser, además de, que la cantidad de miembros dependerá del tamaño y complejidad de la organización, sin embargo se recomienda que estén presentes los siguientes individuos:

Oficial de Seguridad de la Información (obviamente)

Director o Gerente de Tecnología (o como se refieran al encargado de la plataforma tecnológica)

Los directores o gerentes de cada una de las unidades de negocio (las piezas más importantes)

Es claro que debe asistir el Oficial de Seguridad de la Información, ya que el mismo es quien dará los lineamientos en seguridad de la información (SI) dentro de este grupo de trabajo y es, en teoría, quien más conoce sobre esta materia; además, de ser quien presidirá dicho comité. También, es importante que asista el líder del área de tecnología, ya que muchas de las decisiones y soluciones de SI en la organización irán de la mano con esta área.

Por último, están los miembros más importantes del CSI y son los líderes de las áreas de negocio; y son los de mayor importancia porque muchas veces olvidamos que la función principal de una organización es el negocio, no la seguridad, y que todo lo que se haga en las empresas debe ir orientado a aumentar la rentabilidad y disminuir los costos, básicamente. Entonces, algunos se preguntarán ¿y es que la SI no es importante para el negocio? la respuesta es: por supuesto que sí pero esto solo lo vemos, al menos en un principio, los que somos responsables por la SI; y esta es la intención de que los líderes de las áreas de negocio formen parte del CSI, la cual es que entiendan la importancia de la SI en cada uno de los procesos de sus áreas y pueda proponer y aceptar las medidas que se generen en cada sesión.

Como se dijo anteriormente, los planes de acción de las organizaciones siempre van orientados al negocio y ya estamos consientes de que las directrices emanadas por el CSI estarán alineadas con el negocio, esto nos servirá para recibir el soporte y cumplimiento de las medidas de SI que genere el CSI, por parte de las áreas de apoyo (RRHH, Administración, finanzas, RRII), ¿por qué? porque las áreas que son la razón de ser de la organización comprenden, están consientes y desean aplicar SI en cada uno de sus procesos, esto hace que las áreas de soporte se vean en la obligación de efectuar planes de acciones orientados a la SI y de esta manera podremos obtener el apoyo de la dirección que estábamos buscando al forma el CSI.

¿Quien más crees que debe ser parte del CSI? Dejen sus comentarios.

No hay comentarios:

Publicar un comentario

Has tus comentarios