👉¿El rol de Oficial de Protección de Datos (o DPO, Data Protection Officer) es necesario para el cumplimiento del SGSI?
R: No necesariamente, si deseas o necesitas cumplir con regulaciones sobre protección de datos personales o estás implementando la ISO 27701, ahí sí es requerido contar con un responsable que cubra las funciones de un DPO.
👉¿Un CRO (Chief Revenue Officer) puede estar dentro de la estructura de SI?
R: Sí puede ser incluido si ésto agrega valor en la estructura. Sin embargo es importante recordar que no hay problema si no lo integran. Lo más importante es que haya, por lo menos, una persona de la alta dirección dentro del comité. Además considera que mientras más liviana la estructura de seguridad, es más fácil de mantener y de organizarse.
👉¿Hay un mínimo o máximo de miembros para formar el comité?
R: No. Sin embargo, se recomienda que esté integrado, por lo menos, por tres integrantes principales referentes dentro de la organización, como lo son el CEO, CTO, C-levels, OSI, etcétera. Si esto no es posible por el tamaño de tu empresa o algún otro motivo, ¡no te preocupes! Solo es cuestión de poder justificarlo y explicar el contexto, tanto a nuestro equipo de revisores para darle las recomendaciones más adecuadas, como a un auditor en caso de que les consulten.
👉¿Es necesario contratar a un OSI (Oficial de Seguridad de la Información)?
R: No necesariamente. Cualquier empleado existente dentro de la organización puede asumir el rol, pero es muy importante que el colaborador cuente con el conocimiento y capacidades necesarias para llevar a cabo las responsabilidades que conlleva ser el OSI de la empresa, así como las de su rol actual.
Además, lo ideal es que cuente con un poder de decisión adecuado dentro de la empresa para poder aplicar acciones y trabajar de manera fluida sin requerir la ayuda o autorización de otros.
👉Si un perfil de la empresa tomará el rol de OSI, ¿cómo se representa esto dentro del organigrama?
R: Puedes plasmarlo de la manera que te parezca mejor, pero podemos recomendarte lo siguiente:
Si tu organigrama está representado solo por perfiles, dentro del elemento que representa este perfil, coloca además el título de OSI. Por ejemplo:
Si tu organigrama está representado por perfiles y nombres de los colaboradores, coloca un elemento para cada perfil y coloca el nombre del colaborador en ambos.
👉¿Debe haber un solo responsable del proyecto de implementación / certificación?
R: La normativa no define una regla para esto, pero para una correcta y fácil implementación recomendamos que sí exista un referente principal del proyecto, recordando que la alta dirección debe participar activamente en la toma de decisiones y fungir como facilitador, así como también asegurar el trabajo en equipo y el apoyo de todas las áreas involucradas para lograr los objetivos esperados dentro del programa de seguridad.