DivisionCero
Políticas, Procesos y Procedimientos

Comité de Seguridad de la Información

Comité de seguridad de la información.

Quieres aprender más?

Descarga el Kit de Ciberseguridad.

📋 Información General

Documento: Comité de Seguridad de la Información
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Confidencial
Audiencia: Alta Dirección, Miembros del Comité, CISO

🎯 Propósito

Establecer la estructura, responsabilidades y funcionamiento del Comité de Seguridad de la Información de DivisionCero como órgano de gobierno responsable de supervisar, guiar y tomar decisiones estratégicas sobre la seguridad de la información y ciberseguridad organizacional.

🏢 Alcance

Esta política aplica a:

  • Estructura organizacional del Comité de Seguridad de la Información
  • Procesos de toma de decisiones relacionados con seguridad
  • Supervisión del Sistema de Gestión de Seguridad de la Información (SGSI)
  • Coordinación entre áreas de negocio y seguridad
  • Gestión de incidentes de seguridad de alto impacto

📚 Definiciones

  • Comité de Seguridad: Órgano colegiado responsable de la gobernanza de seguridad
  • Quórum: Número mínimo de miembros requerido para tomar decisiones válidas
  • Decisión Ejecutiva: Resolución que requiere implementación inmediata
  • Acta de Reunión: Registro formal de decisiones y acuerdos del comité

🛡️ Política

Estructura del Comité

Composición

Miembros Permanentes:

  • Presidente: Chief Executive Officer (CEO)
  • Coordinador: Chief Information Security Officer (CISO)
  • Miembros Ejecutivos:
    • Chief Technology Officer (CTO)
    • Chief Financial Officer (CFO)
    • Chief Operating Officer (COO)
    • Chief Legal Officer (CLO)

Miembros por Invitación:

  • Gerente de Infraestructura
  • Gerente de Desarrollo
  • Gerente de Operaciones
  • Líder SOC
  • Auditor Interno

Responsabilidades por Rol

Presidente (CEO):

  • Liderar las sesiones del comité
  • Tomar decisiones finales en casos de empate
  • Aprobar presupuestos de seguridad
  • Comunicar decisiones estratégicas al resto de la organización

Coordinador (CISO):

  • Preparar agenda y documentación de reuniones
  • Presentar estado actual de seguridad
  • Proponer políticas y procedimientos
  • Coordinar implementación de decisiones

Miembros Ejecutivos:

  • Participar activamente en discusiones estratégicas
  • Aportar perspectiva de sus áreas de responsabilidad
  • Aprobar recursos y cambios que afecten sus departamentos
  • Implementar decisiones en sus respectivas áreas

Funcionamiento del Comité

Reuniones Ordinarias

Frecuencia: Mensual (primer miércoles de cada mes) Duración: 2 horas máximo Modalidad: Presencial con opción virtual para miembros remotos Quórum: Mínimo 5 miembros incluyendo Presidente y Coordinador

Reuniones Extraordinarias

Convocatoria: 24 horas de anticipación mínima Motivos para convocatoria:

  • Incidentes de seguridad críticos
  • Amenazas emergentes de alto impacto
  • Decisiones urgentes sobre inversiones en seguridad
  • Situaciones de crisis que afecten la continuidad del negocio

Agenda Estándar

  1. Apertura y verificación de quórum (5 min)
  2. Revisión de acta anterior (10 min)
  3. Reporte de estado de seguridad (30 min)
    • Métricas de seguridad del mes
    • Incidentes reportados y su resolución
    • Estado de proyectos de seguridad
  4. Análisis de riesgos y amenazas (20 min)
    • Nuevas amenazas identificadas
    • Cambios en el panorama de riesgos
    • Evaluación de impacto en el negocio
  5. Temas estratégicos (30 min)
    • Políticas nuevas o actualizadas
    • Inversiones en tecnología de seguridad
    • Cumplimiento regulatorio
  6. Decisiones y acuerdos (20 min)
  7. Cierre y próximos pasos (5 min)

Proceso de Toma de Decisiones

Tipos de Decisiones

Decisiones Estratégicas:

  • Aprobación de políticas de seguridad
  • Inversiones superiores a $50,000 USD
  • Cambios en la estructura organizacional de seguridad
  • Respuesta a incidentes críticos

Decisiones Operativas:

  • Aprobación de procedimientos
  • Asignación de recursos
  • Priorización de proyectos
  • Tratamiento de riesgos

Proceso de Votación

  • Mayoría Simple: Para decisiones operativas (50% + 1)
  • Mayoría Calificada: Para decisiones estratégicas (2/3 de miembros presentes)
  • Unanimidad: Para cambios en la composición del comité
  • Voto de Calidad: El Presidente decide en caso de empate

Responsabilidades del Comité

Supervisión Estratégica

  • Revisar y aprobar la estrategia de ciberseguridad
  • Definir el apetito de riesgo organizacional
  • Supervisar el cumplimiento de objetivos de seguridad
  • Evaluar la efectividad del programa de seguridad

Gestión de Riesgos

  • Revisar la matriz de riesgos de ciberseguridad
  • Aprobar planes de tratamiento de riesgos
  • Monitorear indicadores clave de riesgo (KRIs)
  • Tomar decisiones sobre aceptación de riesgos

Gestión de Incidentes

  • Supervisar la respuesta a incidentes críticos
  • Aprobar comunicaciones externas sobre incidentes
  • Evaluar lecciones aprendidas de incidentes mayores
  • Autorizar recursos adicionales para respuesta

Cumplimiento y Auditoría

  • Supervisar cumplimiento regulatorio
  • Revisar hallazgos de auditorías internas y externas
  • Aprobar planes de acción correctiva
  • Monitorear progreso de implementación de controles

Comunicación y Reporte

Reportes del Comité

Reporte Ejecutivo Mensual:

  • Resumen de decisiones tomadas
  • Estado de proyectos estratégicos
  • Métricas clave de seguridad
  • Riesgos emergentes

Comunicación a la Organización:

  • Difusión de políticas aprobadas
  • Comunicados sobre cambios estratégicos
  • Actualizaciones sobre iniciativas de seguridad

Escalamiento

  • Incidentes críticos: Notificación inmediata
  • Riesgos altos: Reporte en siguiente reunión ordinaria
  • Cambios regulatorios: Evaluación en 30 días
  • Amenazas emergentes: Sesión extraordinaria si es necesario

👥 Roles y Responsabilidades

  • CEO: Liderar la gobernanza de seguridad y tomar decisiones finales
  • CISO: Coordinar actividades del comité y ejecutar decisiones
  • CTO: Implementar controles técnicos aprobados por el comité
  • CFO: Asegurar recursos financieros para iniciativas de seguridad
  • COO: Integrar seguridad en operaciones de negocio
  • CLO: Garantizar cumplimiento legal y regulatorio

📊 Cumplimiento y Medición

Indicadores de Efectividad del Comité:

  • Porcentaje de asistencia a reuniones por miembro
  • Tiempo promedio de implementación de decisiones
  • Número de decisiones estratégicas tomadas por trimestre
  • Satisfacción de miembros con funcionamiento del comité

Métricas de Impacto:

  • Reducción en tiempo de respuesta a incidentes críticos
  • Mejora en puntuaciones de auditorías de seguridad
  • Incremento en madurez del programa de seguridad
  • Cumplimiento de presupuesto asignado a seguridad

🚨 Incumplimiento

  • Ausencias injustificadas recurrentes pueden resultar en reemplazo
  • Decisiones no implementadas requieren justificación formal
  • Falta de quórum implica suspensión de toma de decisiones
  • Conflictos de interés deben ser declarados y gestionados

📖 Referencias

  • ISO 27001:2022 - Liderazgo y Compromiso
  • COBIT 2019 - Gobierno de Información y Tecnología
  • NIST Cybersecurity Framework - Govern Function
  • Política de Gobernanza de Seguridad de la Información
  • Estatutos Corporativos de DivisionCero

📝 Control de Versiones

VersiónFechaCambiosAutor
1.0.0Enero 2025Versión inicialEquipo GRC

¿Te ha resultado útil esta página?

Última modificación: 25 de agosto de 2025

Cláusulas de Seguridad en Contratos

Requisitos contractuales relacionados con la seguridad de la información.

Compromiso de la Alta Dirección

Compromiso de la alta dirección.