Principales funciones de un Comité de Seguridad

1. Definir las responsabilidades de los usuarios en las tareas de seguridad

• Identificar los activos y los procesos de seguridad asociados a los mismos
• Nombrar al responsable de cada activo o proceso de seguridad documentando
los detalles de esta responsabilidad
• Definir y documentar los niveles de autorización
2. Autorización para la utilización de nuevos recursos para el tratamiento de la
información
• Comprobar que el nuevo hardware/software sea compatible con el resto de
dispositivos
• Autorizar el uso de medios informáticos personales definiendo los controles
necesarios
• Evaluar el riesgo y posibles vulnerabilidades por el uso de medios informáticos
personales
3. Decisión sobre la necesidad del asesoramiento por una empresa externa especialista
en seguridad
• Garantizar que el asesor externo tenga acceso directo a los órganos de
Dirección de la Organización
• Consultar al asesor externo en cuanto se produzca alguna incidencia
sospechosa de fallo de seguridad.
• Si no fuera posible contar con un asesor externo, designará una persona interna
que coordine el conocimiento y las experiencias internas y ayude a la toma de
decisiones y su desarrollo.
4. Cooperación entre organizaciones
• Mantener contacto con organismos reguladores, proveedores de servicios y
operadores de telecomunicaciones para asegurar el asesoramiento y respuesta
ante cualquier incidente de seguridad
• Asegurar la confidencialidad en la comunicación de los incidentes de seguridad
5 Revisión y auditoria externa independiente de la política de seguridad establecida

6 Controlar el acceso por parte de personal externo

• Evaluar el riesgo del acceso por personal externo tanto a las instalaciones
(acceso físico) como a la información (acceso lógico) y establecer las medidas
de control oportunas.
• Elaborar un contrato con las condiciones a cumplir por el personal externo.
7. Establecer los requisitos de seguridad en contratos con terceros incluyendo al menos:
• La política general sobre la seguridad de la información
• Procedimientos y controles para la protección de los activos a los que tendrán
acceso
• Procedimientos para garantizar la integridad y disponibilidad de la información
así como la confidencialidad cuando sea necesario.
• La descripción de los servicios a utilizar y el nivel de acceso que se requiera
• El obligado cumplimiento de la legislación en materia de protección de datos,
propiedad intelectual, etc.
• Procedimiento para el acceso del personal externo (contraseñas, tarjetas de
acceso, ...)
• Procedimientos para la protección contra software malicioso.
• Protocolo a utilizar en el caso de una incidencia de seguridad
• Responsabilidades en la instalación y mantenimiento de hardware y software.