👉Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Los siguientes Principios del Marco COSO, Principio 2, 14 15 y 17.
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para formalizar el rol y las responsabilidades de la Junta Directiva en la supervisión del programa de seguridad y cumplimiento de SOC 2. Esta política es la máxima expresión, demostrando a los auditores, clientes e inversores que la seguridad y la gestión de riesgos son una prioridad al más alto nivel de la organización.
Establecer esta política es fundamental para:
Demostrar una gobernanza robusta: Define claramente el papel de supervisión de la Junta, su independencia de la gestión diaria y su responsabilidad final sobre el entorno de control.
Establecer líneas de reporte claras: Clarifica cómo fluye la información de seguridad desde los equipos operativos hasta la Junta Directiva, y cómo las directrices de la Junta se comunican a la organización.
Asegurar la rendición de cuentas: Establece a la Junta como el punto de escalamiento final para las deficiencias de control significativas, asegurando que los problemas importantes reciban la atención que merecen.
¿Qué tengo que hacer? 🚀
El objetivo es crear un documento que defina el compromiso y las responsabilidades de la Junta Directiva. Tu política debería incluir los siguientes puntos clave para abordar los Principios COSO:
Definir la misión y responsabilidad de supervisión de la junta
La política debe comenzar con una declaración clara del compromiso de la Junta Directiva con la supervisión del sistema de controles internos. Debe establecer que la Junta es responsable de supervisar el desarrollo y el rendimiento de dicho sistema para asegurar que la organización cumpla sus objetivos de seguridad, disponibilidad, confidencialidad, etc.
Establecer las líneas de comunicación y reporte
Esta es una sección crítica. La política debe definir cómo se gestiona la información:
Comunicación interna ascendente: Especifica qué información debe recibir la Junta y con qué frecuencia. Por ejemplo, "La Junta revisará trimestralmente un informe del Comité de Seguridad que incluye el estado de los riesgos principales, los resultados de las auditorías y el desempeño de los indicadores clave".
Escalamiento de deficiencias: Define el umbral para que las deficiencias de control se comuniquen directamente a la Junta. Por ejemplo, "Cualquier deficiencia de control calificada como 'Crítica' o que resulte en un incidente de seguridad mayor, debe ser comunicada a la Junta en un plazo de 48 horas".
Comunicación externa: Describe el rol de la Junta en la supervisión de las comunicaciones a partes externas clave (inversores, reguladores) sobre la postura de seguridad y el funcionamiento de los controles.
Formalizar las actividades de supervisión
La política debe listar las actividades concretas que la Junta realizará para ejercer su supervisión. Esto puede incluir, entre otros:
Revisar y aprobar la estrategia general de seguridad de la información.
Aprobar el apetito de riesgo de la organización.
Revisar y aprobar el presupuesto asignado a seguridad.
Revisar los resultados de las auditorías internas y externas y los planes de remediación para los hallazgos significativos.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Las actas de reunión son tu mejor evidencia: La forma más efectiva de demostrar que la Junta está cumpliendo con esta política es a través de las actas de sus reuniones. Asegúrate de que en las actas se reflejen las discusiones, decisiones y aprobaciones relacionadas con el sistema de control.
La experiencia en la Junta es un plus: Es una buena práctica que la Junta Directiva cuente entre sus miembros con experiencia en ciberseguridad y gestión de riesgos tecnológicos, o que demuestre que busca asesoramiento externo experto cuando es necesario.
Clarifica la relación con el Comité de Seguridad: La Junta supervisa, no gestiona el día a día. La política debe dejar clara la distinción y la relación jerárquica entre la Junta Directiva y el “Política de Comité de Seguridad de la Información”.
Revisión anual: Esta política debe ser revisada y aprobada formalmente por la propia Junta Directiva al menos una vez al año.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.