¿Qué es el Comité de Seguridad de la Información?
Para los que tenemos suerte, a veces nos encontramos en una organización donde de un momento para otro surge la necesidad (o deseo) de aplicar seguridad de la información (SI) dentro de esta. Entonces, designan a alguien (en la organización que pertenezco fui yo el elegido) para que coordine y gestione tal hazaña.
A partir de ese momento comenzamos a idear las estrategias más certeras para comenzar esta tarea, desde mi punto de vista (y de muchos especialistas) una de las estrategias más significativa es obtener el apoyo de la alta gerencia, debido a que la intención de implantar la SI dentro de la organización proviene de uno o más directivos pero no es la de todos; esto hace más difícil nuestra labor como Oficiales de Seguridad de la Información (OSI) de implantar nuestro mundo utópico de SI, ya que sin este soporte resulta casi imposible llevar a cabo esta función.
Probablemente existen muchas formas para logra el apoyo de la alta gerencia, sin embargo yo considero que el más efectivo es el de la creación de un Comité de Seguridad de la Información (CSI), por su puesto que la formación de un “Comité” aplicaría en organizaciones medianas y/o grandes; ya que esto no tendría sentido en una que solo posee dos o tres gerentes (empresa pequeña), no obstante, las actividades que emplea estés grupo de trabajo es de interés para todo tipo de organización.
Podemos definir el CSI como un cuerpo integrado por representantes de todas las áreas sustantivas de la organización, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad para lograr un trabajo eficaz y seguro.
Es decir, que la estrategia que estaríamos aplicando como OSI es crear un grupo de trabajo donde estamos comprometiendo directamente a las áreas que sustentan la razón de ser de la organización (áreas/gerencias de negocios); y esto traería como consecuencias que las áreas de apoyo deberán ajustarse a los lineamientos generados por el CSI.
En el mismo orden de ideas, como OSI muchas veces no tenemos la autoridad para dar directrices a toda la organización, y no me estoy refiriendo a nuestra posición en el organigrama de la organización, sino a aquella autoridad que se va ganando por los años de experiencia dentro de la misma; es aquí donde podemos sacar otro beneficio del CSI, ya que al generarse las decisiones en este grupo, venderemos nuestras intenciones de SI como si fueran del equipo o incluso como si fueran idea de alguien más.
Debemos recordar que nuestro fin no es buscar estatus o fama dentro de la organización, sino crear un ambiente de SI. Con la creación y operación del CSI, nos resta protagonismo individualmente y se le da más importancia al equipo de trabajo, hago esta aclaratoria porque he visto casos donde rechazan esta idea por miedo a perder sus trabajos o sus estatus dentro de las organizaciones, sin embargo, estoy seguro que las organizaciones que empleen esto verán un beneficio mayor para la misma en el corto plazo.
¿Se les ocurre algún otro beneficio del CSI?¿qué otras estrategias podríamos aplicar? dejen sus comentarios.
Fuente: Carlos Solis
A partir de ese momento comenzamos a idear las estrategias más certeras para comenzar esta tarea, desde mi punto de vista (y de muchos especialistas) una de las estrategias más significativa es obtener el apoyo de la alta gerencia, debido a que la intención de implantar la SI dentro de la organización proviene de uno o más directivos pero no es la de todos; esto hace más difícil nuestra labor como Oficiales de Seguridad de la Información (OSI) de implantar nuestro mundo utópico de SI, ya que sin este soporte resulta casi imposible llevar a cabo esta función.
Probablemente existen muchas formas para logra el apoyo de la alta gerencia, sin embargo yo considero que el más efectivo es el de la creación de un Comité de Seguridad de la Información (CSI), por su puesto que la formación de un “Comité” aplicaría en organizaciones medianas y/o grandes; ya que esto no tendría sentido en una que solo posee dos o tres gerentes (empresa pequeña), no obstante, las actividades que emplea estés grupo de trabajo es de interés para todo tipo de organización.
Podemos definir el CSI como un cuerpo integrado por representantes de todas las áreas sustantivas de la organización, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad para lograr un trabajo eficaz y seguro.
Es decir, que la estrategia que estaríamos aplicando como OSI es crear un grupo de trabajo donde estamos comprometiendo directamente a las áreas que sustentan la razón de ser de la organización (áreas/gerencias de negocios); y esto traería como consecuencias que las áreas de apoyo deberán ajustarse a los lineamientos generados por el CSI.
En el mismo orden de ideas, como OSI muchas veces no tenemos la autoridad para dar directrices a toda la organización, y no me estoy refiriendo a nuestra posición en el organigrama de la organización, sino a aquella autoridad que se va ganando por los años de experiencia dentro de la misma; es aquí donde podemos sacar otro beneficio del CSI, ya que al generarse las decisiones en este grupo, venderemos nuestras intenciones de SI como si fueran del equipo o incluso como si fueran idea de alguien más.
Debemos recordar que nuestro fin no es buscar estatus o fama dentro de la organización, sino crear un ambiente de SI. Con la creación y operación del CSI, nos resta protagonismo individualmente y se le da más importancia al equipo de trabajo, hago esta aclaratoria porque he visto casos donde rechazan esta idea por miedo a perder sus trabajos o sus estatus dentro de las organizaciones, sin embargo, estoy seguro que las organizaciones que empleen esto verán un beneficio mayor para la misma en el corto plazo.
¿Se les ocurre algún otro beneficio del CSI?¿qué otras estrategias podríamos aplicar? dejen sus comentarios.
Fuente: Carlos Solis
Cristian
ResponderBorrarme parece que muchas veces es una perdida de tiempo el CSI, tendría que formarlo gente idonea y no necesariamente los altos cargos, que generalmente tienen mas de alto que de cargo y que este grupo de "gente idonea" le reporte al Presidente o al nivel mayor posible.
Saludos y muy bueno el blog
Damián Ienco
el CSI es de gran utilidad en las empresas, debido a que se toman decisiones que afectan positivamente el rol de la tecnologia en las empresas.
ResponderBorrarDesde mi punto de vista el CSI es muy importante en una institución, ya que desde el área de seguridad se siente el interés y el apoyo de los directivos por este tema y sobre todo para que las demás áreas vean que la seguridad no solo es de una área sino de interés de muchos.
ResponderBorrarSaludos,
Julia-Ecuador