María Elena Ramírez
Gerente General y Representante Legal — OmniControl S.A.S
Buenas tardes, gracias por recibirnos. ¿Nos puede contar brevemente cómo OmniControl aborda la seguridad de la información a nivel directivo?
Buenas tardes. Sí, claro. Mire, nosotros somos una empresa pequeña, llevamos cinco años. La seguridad la maneja Carlos, el desarrollador líder. Yo confío plenamente en su criterio técnico.
→ La Gerente delega completamente la seguridad en un rol técnico, lo que es incompatible con Cl. 5.1 y 5.2 de ISO 27001 — la responsabilidad última recae en la Alta Dirección.
¿Existe una Política de Seguridad de la Información formal aprobada por la Gerencia?
Hay un borrador. Carlos lo está trabajando. Pero la verdad, con el ritmo de proyectos no hemos tenido tiempo de sentarnos a revisarlo y firmarlo. Es algo que tenemos pendiente.
→ Confirma verbalmente la ausencia de aprobación formal. Cl. 5.2 ISO 27001 exige aprobación de la Alta Dirección como condición de existencia del SGSI.
¿Han designado un Oficial de Protección de Datos (DPO) según lo exige la Ley 1581?
Honestamente, no. Nosotros entendemos lo de habeas data, pero no hemos tenido un caso que nos haga preocuparnos. Cuando un cliente nos pide eliminar datos, Carlos lo hace en la base de datos directamente. Es algo que pasa una o dos veces al año.
→ Confirma incumplimiento del Art. 26 Ley 1581 (Accountability) y del Decreto 1377/2013. La eliminación manual también incumple Art. 23 (derechos ARCO).
¿Qué significa para usted el principio de Accountability de la Ley 1581?
Mmm, sinceramente no estoy familiarizada con ese término. Sé que tenemos que cuidar los datos de los clientes, pero no hemos hecho un análisis legal detallado.
→ Falta de comprensión del marco legal por parte de la Alta Dirección. Esto es relevante porque el Art. 26 hace responsable al representante legal.
¿Existe un Comité SGSI que se reúna regularmente para revisar temas de seguridad?
No formalmente. Hablamos de seguridad en las reuniones de planeación de cada quincena, junto con todo lo demás del producto. No hay actas dedicadas a seguridad.
→ No hay Comité SGSI ni revisión por la dirección documentada. Incumple Cl. 9.3 de ISO 27001.
Si mañana ocurriera una brecha de seguridad que afecte datos de los 60 clientes, ¿cuál sería el procedimiento de la organización?
Carlos contendría el incidente técnicamente, y yo me encargaría de hablar con cada cliente. No tenemos un protocolo escrito, pero confiamos en nuestra capacidad de reacción. Así lo hemos manejado siempre.
→ Sin IRP formal ni protocolo de notificación. La Ley 1581 Art. 17 exige notificar a la SIC y a los titulares cuando hay brechas.
¿Han considerado contratar un asesor externo de protección de datos?
Lo hemos hablado, pero hay restricción de presupuesto. Estamos evaluando una propuesta para el próximo trimestre, pero aún no es prioridad.
Por último, ¿cuál es el riesgo más grande que percibe en OmniControl hoy?
Pues honestamente, mi mayor preocupación es la velocidad: que los proyectos no se atrasen y mantener a los clientes contentos. La seguridad la asumo como algo que Carlos tiene controlado.
→ Time-to-Market priorizado sobre Security by Design — riesgo identificado en el análisis DOFA y en la justificación contextual del checklist.