👉¿Qué información debe tener la minuta de sesión de comité?
R: Una minuta adecuada debe tener siempre la fecha de sesión y los integrantes /colaboradores que estuvieron presentes. Además, los temas que recomendamos conversar en la sesión, y por ende, registrar en la minuta son los siguientes:
Avances de cumplimiento, es decir el progreso que se haya logrado en la completitud de las actividades de la plataforma, la documentación generada y el cumplimiento en la implementación de controles.
Seguimiento al comité anterior, indicando si se cumplieron los compromisos acordados, si hay temas a los cuales dar seguimiento, etcétera.
Revisión de asuntos internos y externos. Por ejemplo, si se tiene un nuevo competidor en el mercado, si existe alguna nueva regulación, si se hicieron cambios organizacionales, si existen innovaciones tecnológicas, etcétera.
Esto debe verse reflejado en el análisis externo y el análisis FODA de su Política de SGSI.
Comportamiento del SGSI, considerando los resultados de la evaluación de riesgos, los escaneos de vulnerabilidades, los hallazgos de auditorías y revisiones periódicas, incidentes de seguridad reportados, listado de métricas e indicadores, etcétera.
💡 Puedes ajustar estos temas o añadir todos los que consideres pertinentes para que el comité esté enterado del desempeño que lleva el SGSI.
Retroalimentación de las partes interesadas, recordando que estas partes se encuentran definidas en su Política de SGSI.
Esta retroalimentación puede venir de clientes por medio de encuestas de satisfacción, entrevistas, etcétera.
Puede venir de colaboradores, también por medio de encuestas o evaluaciones provistas por el área de Recursos Humanos para conocer su experiencia dentro de la organización.
Puede venir de cualquier parte externa por medio de reportes de incidentes de seguridad, fallas en sistemas, anomalías en el servicio, etcétera.
Seguimiento a la gestión de riesgos. Conversar sobre los riesgos de seguridad con todo el comité y/o la alta dirección es una tarea de suma importancia.
Los temas a revisar dependerán de lo que estén trabajando al momento de tener la sesión, pero deben considerar su evaluación (cantidad de riesgos altos, bajos, medios, etcétera), definición de su tratamiento (acciones de mitigación, de aceptación, etcétera), aplicación del tratamiento, evaluación del riesgo residual, etcétera.
Oportunidades de mejora continua para seguir elevando el nivel de seguridad dentro de tu organización.
Estas oportunidades se pueden obtener mediante el análisis FODA definido en la Política de SGSI, de las iniciativas dentro del plan de seguridad de la información y de los hallazgos de auditoría interna y/o externa.
Los siguientes pasos corresponden a los compromisos que se acuerden durante la sesión, los responsables correspondientes, fechas límite de entrega, documentos que se deben generar, revisar, aprobar y/o comunicar, seguimientos por hacer, etcétera.
Aquí puedes añadir cualquier tipo de tarea 🙌🏼.
Estos temas son los que proponemos dentro de nuestro template, pero recuerda que:
La minuta debe proyectar lo que realmente se revisó durante la sesión de comité, por lo que pueden ajustar e incluso añadir otras secciones, si lo consideran necesario, para documentar toda la información relevante.
💡 Si no tienes información para completar todas las secciones, puedes omitirlas o indicar directamente en el documento que no tienen data en ese momento.
Las minutas que solicitamos dentro del plan de acción corresponden a momentos clave de la implementación de un SGSI, pero puedes coordinar todas las sesiones que necesiten.
¡Estas minutas fungen como evidencia de cumplimiento!