El CISO, una figura imprescindible en las empresas

Ciberseguridad Global

Debido a la pandemia el aumento del teletrabajo ha sido más que notable, quedando implantado de manera habitual en muchas empresas. Esto ha supuesto un incremento exponencial de los ciberataques, ya que la rápida incorporación de esta metodología hizo que no se aplicase con las medidas de ciberseguridad suficientes.

Todo tipo de organizaciones, administraciones públicas, corporaciones, PYMES sufren constantemente ataques contra sus infraestructuras de datos y en especial contra la información que contienen pudiendo esto afectar gravemente a la sociedad.

Por este motivo, hoy más que nunca las empresas necesitan tener la figura de un responsable de seguridad que tenga las competencias suficientes en esta materia, aparece así la figura del CISO (Chief Information Security Officer) es el director de seguridad de la información. 

Importancia y funciones del CISO

Es el responsable de elaborar un programa de seguridad de la información donde se incluyan las políticas y procedimientos a seguir para proteger las comunicaciones y sistemas de la empresa ante amenazas tanto internas como externas. 

Dicho programa tiene que ir en sintonía con los objetivos del negocio y se debe notificar a las autoridades de cualquier ataque informático que reciba la empresa.

Su papel es tan fundamental que el Boletín Oficial del Estado ha publicado el Reglamento de las Redes y Sistemas de la Información (Reglamento NIS), donde se recoge la obligación de designar a un responsable de seguridad de la información en las empresas. “Los operadores de servicios esenciales tendrán que designar a una persona como responsable de la seguridad de la información”. 

Según la Directiva NIS: “Este reglamento afecta a operadores y proveedores de servicios esenciales, quedando excluidos de su ámbito de aplicación los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos. Tampoco estarán sujetos a esta norma los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas”.

Otro aspecto importante es el establecimiento de un sistema de cooperación y coordinación entre los CSIRT (equipos de respuesta a incidentes de seguridad) de referencia.

En cuanto a las funciones que desempeñará el CISO en este marco normativo según el Incibe son:

  • Generar e implantar políticas de seguridad de la información.
  • Garantizar la seguridad y privacidad de los datos.
  • Supervisar la administración del control de acceso a la información.
  • Supervisar el cumplimiento normativo de la seguridad de la información.
  • Responsable del equipo de respuesta ante incidentes de seguridad de la información de la organización.
  • Supervisar la arquitectura de seguridad de la información de la empresa.

Aunque las PYMES no están obligadas a nombrar a un CISO sería muy conveniente que lo hicieran, ya que son un objetivo vulnerable para los ciberdelincuentes.

Además, a raíz de la pandemia están recibiendo muchos ataques, por eso es importante que cuenten con un profesional que ofrezca soluciones flexibles y ágiles.

El debate de las empresas está en  si contratar un CISO interno o externalizar el servicio a un tercero.   

El auge de los últimos años de este perfil cualificado ha destapado en España el déficit de profesionales del sector de la seguridad. Su escasez y altos salarios llevan a las empresas a apoyarse en una externa para cubrir estos servicios.