👉Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 3 del Marco COSO.
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para generar o actualizar un organigrama organizacional que demuestre una estructura de gobierno clara, incluyendo a los responsables de la implementación, seguimiento y mantenimiento de tu sistema de controles y del programa de cumplimiento de SOC 2.
Establecer una estructura formal es un pilar fundamental del entorno de control que exige SOC 2.
💡La alta dirección debe participar activamente dentro del programa de seguridad para asegurar su buen desempeño y la operación efectiva de los controles. Esto es un requisito clave del Principio 3 de COSO.
¿Qué tengo que hacer? 🚀
Lo primero que debes hacer es armar un Comité de Seguridad, el cual debe incluir a los encargados de asegurar que el programa de seguridad y cumplimiento funcione correctamente, y de mantener informada a la organización sobre cualquier asunto relacionado.
💡Recuerda que alguien debe controlar, gestionar y tomar decisiones importantes para asegurar que tanto el negocio como la estrategia de seguridad operen según lo esperado y los controles sean efectivos.
Y tal vez te estés preguntando: ¿quiénes deben conformar este comité? Lo ideal es que sea conformado por la alta dirección y los C-levels de la organización, como por ejemplo el CEO, CTO, COO, etc. Además, contratar o asignar a un CISO (Chief Information Security Officer) u OSI (Oficial de Seguridad de la Información) te ayudará mucho a garantizar que se cumplan los objetivos definidos.
Si bien lo más recomendable es contratar a alguien especializado, este rol puede ser adoptado por una persona que ya se encuentre laborando dentro de la empresa.
Solo debes asegurarte de que cuente con el conocimiento y la capacidad necesarios para asumir estas funciones. En este caso, debes declarar formalmente (tanto en el organigrama como en tus políticas) que el rol de CISO/OSI será representado por la persona que hayas seleccionado.
💡Contar con un CISO/OSI tiene varias ventajas, como definir directrices de seguridad adecuadas, tener una asignación de actividades más centralizada y enfocada al cumplimiento, y tener menos dependencia de las áreas de tecnología u operaciones.
Una vez que ya sabes quiénes formarán parte del comité, debes crear o actualizar tu organigrama con esta información, indicando quiénes son los integrantes del comité.
Ejemplos 📝
A continuación, te mostramos dos ejemplos de cómo puedes agrupar visualmente a los integrantes del comité dentro del organigrama de una empresa:
Recuerda que debes colocar la imagen de tu organigrama final dentro de tus políticas principales de seguridad o en la documentación de tu sistema de control, ya que es allí donde apruebas y formalizas esta estructura con todo tu equipo.
Una vez que tengas tu estructura de seguridad definida y documentada, ¡ya tendrás al mejor equipo para comenzar a trabajar! 💪🏼
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes: Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Recomendaciones ✅
Al estar definiendo tu estructura de seguridad, ten presente que es muy importante contar con una adecuada segregación de funciones. Este es un principio clave del control interno.
Las responsabilidades de seguridad y las funciones asignadas al comité no sólo deben llevarse a cabo durante el proyecto de obtención del reporte SOC 2, sino que se deben seguir realizando para mantener un entorno de control efectivo.
Contar con un rol responsable de la gestión de riesgos puede darte mucho valor a tu estructura de seguridad, ya que es un tema central para SOC 2 y conlleva tareas periódicas y dinámicas.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti!
Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.