👉¿Quiénes deben conformar el comité de seguridad?
R: Lo ideal es que este comité se conforme por miembros de la alta dirección y personas con cargos gerenciales o de liderazgo. Por ejemplo el CEO, CTO, COO, CFO, c-levels en general, el Gerente de Recursos Humanos, etcétera. Esto es para asegurar que el comité tenga el poder de decisión adecuado dentro de la empresa y que por ende, la implementación de la seguridad de la información sea fácil y eficiente.
👉¿El OSI también debe tener un suplente dentro del Comité?
R: Lo más recomendable es que sí, al igual que cualquier otro integrante del comité de seguridad y que preferentemente sea designado por el mismo OSI, teniendo en cuenta que debe tener las capacidades y conocimientos suficientes para poder tomar decisiones importantes, en caso de ser necesario.
👉¿Cualquier rol o persona de la empresa puede ser suplente del comité?
R: Sí, es correcto. Cualquier colaborador puede ser suplente de un integrante principal del comité de seguridad, siempre y cuando cuente con las capacidades y facultades suficientes para hacerse cargo de la responsabilidad que ello conlleva. Incluso es recomendable que los suplentes sean asignados por el integrante principal.
👉¿Cada cuánto se recomienda que sesione el comité?
R: La normativa no define una periodicidad específica, sin embargo se recomienda que durante la implementación del SGSI se sesione de manera mensual. Una vez pasada la certificación se puede sesionar de manera menos frecuente como cada 3 o 6 meses, y sobre todo siempre que existan temas urgentes o de suma importancia.
👉¿Los documentos del SGSI deben ser aprobados por todos los integrantes del comité?
R: No precisamente. La aprobación de documentos puede darse por cualquier integrante del comité, por uno o más integrantes, e incluso por cualquier colaborador de la empresa aunque no sea parte del comité, siempre y cuando esta persona se considere capacitada para realizar esta acción. Lo importante a cuidar es que la persona que realizó el documento no debe ser la misma persona, o por lo menos no la única, que lo apruebe.
👉Si mi empresa es un holding, ¿hay algún problema si el comité de seguridad se conforma de colaboradores de una de las empresas filiales?
R: No hay problema, para crear un comité no existen restricciones para su conformación, lo más importante para este caso será documentar muy bien las funciones y responsabilidades de los integrantes y recordar que, para toma de decisiones a nivel holding, se requerirá la participación de la alta dirección.
👉¿Debo generar una nueva versión del documento de esta política si existen cambios en los integrantes del comité?
R: Sí, y derivado de este caso se identifican dos escenarios:
Cambios en las personas como tal que son parte del comité.
Cambios en los nombres de los roles / puestos de los integrantes o suplentes.
En ambos escenarios es importante actualizar toda la documentación, por lo menos dentro de esta política de comité y en los siguientes documentos:
Organigrama de la empresa
Descriptivo de roles y responsabilidades
Esta actualización es muy importante ya que la información debe coincidir en todos los documentos donde se mencione para así evitar confusiones. Y sobre, se debe volver a comunicar para garantizar que los involucrados están enterados y puedan responder correctamente, en caso de que un auditor les consulte.