Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Elisa I. García Martín, CISA, CISM. Consultora de Seguridad de la Información en Ingenia

La gestión de la seguridad como un servicio: el ‘virtual CISO’

La situación actual de las organizaciones es de una fuerte y progresiva dependencia de los sistemas informáticos, dentro de un entorno de crecientes amenazas de seguridad y un marco legal y normativo cada vez mayor, a la par que más exigente: normativa de protección de datos personales, Esquema Nacional de Seguridad, requisitos de continuidad y recuperación, estándares (ISO 27001, 20000, 22301), requisitos sectoriales (solvencia, PCI-DSS, ley SOX)...

Sin duda, la seguridad de la información y el cumplimiento normativo (compliance) asociado requieren de una gestión, teniendo el responsable de seguridad (el CISO: Chief Information Security Officer) un papel clave en la misma. 

Esta labor de gestión está orientada, entre otras cosas, a velar por que se implanten los mecanismos de seguridad que estén definidos en los diferentes planes y estrategias. Además, la seguridad de la información y el cumplimiento normativo asociado no son algo estático, sino que una vez implantados dichos mecanismos de seguridad o completado un proceso de adecuación legal/normativo se hace preciso un mantenimiento. Por lo tanto, las responsabilidades del CISO se extienden a velar por el mantenimiento.

Para poder ejercer sus responsabilidades, se hace preciso que el CISO tenga un conocimiento amplio y variado, algo que no siempre es posible, sobre todo en organizaciones pequeñas donde su papel podría estar compartido con otras funciones (o simplemente no existir porque no sea rentable ni operativo contar de forma permanente con personal de estas características). Incluso en aquellas organizaciones que dispongan de un CISO a tiempo completo, no es descartable que, a veces, pueda necesitar asesoramiento y soporte específico.

En este escenario, el poder contar con una Oficina Técnica de seguridad (virtual CISO) que preste asistencia especializada alternativa o complementaria a la del CISO, puede ser una opción rentable y eficiente. No estaríamos hablando de una externalización de responsabilidades, sino más bien de un cambio de concepto: gestión de la seguridad como servicio (CISO as a Service).

El cambio de filosofía sería que, en lugar de contar con recursos internos que puedan tener el conocimiento o el tiempo suficiente para velar por garantizar la seguridad y el cumplimiento, se contrate un servicio especializado.

Dicho esto, se podría plantear una amplia paleta de alternativas para el virtual CISO, desde una modalidad “reactiva”, en la que simplemente se cuente con un soporte bajo demanda, a veces meramente de carácter consultivo –es decir, lo que podría asimilarse a una especie de pago por uso–, hasta un servicio integral y proactivo que, bajo la forma de un contrato “tarifa plana”, englobe tanto actuaciones de implantación como de mantenimiento de los requisitos normativos y legales de seguridad. En este último caso, el servicio sería prestado a través de un equipo multidisciplinar con diferentes perfiles profesionales de seguridad de la información, que aglutinen las diferentes vertientes de la seguridad, es decir, la lógica, la física, la legal y la organizativa.

Virtual CISO

Actividades

A modo de ejemplo, y sin que sea limitante, como parte de las actividades a llevar a cabo por un servicio de virtual CISO se pueden mencionar las siguientes: la realización de análisis de riesgos de seguridad, diseño de planes de seguridad, control y seguimiento de proyectos de seguridad, análisis y diagnósticos de cumplimiento normativo, soporte a la gestión de vulnerabilidades, realización de auditorías técnicas y hacking ético, formación, soporte a la certificación de estándares, etc.

El servicio de virtual CISO podría, por ejemplo, estar focalizado en el cumplimiento de la diferente normativa legal y estándares de seguridad aplicables en la organización, tales como:

  • Normativa de protección de datos personales (soporte al DPO).
  • Esquema Nacional de Seguridad (ENS).
  • Sistema de Gestión de la Seguridad SGSI (ISO 27001).
  • Continuidad del Negocio y Sistema de Gestión de la continuidad SGCN (ISO 22301).
  • Normativa sectorial de seguridad (PCI-DSS, solvencia II…).

De esta forma, con un único servicio, y aprovechando las sinergias y similitudes entre la distinta normativa, se podría abarcar el cumplimiento normativo de seguridad de la información de una forma homogénea e integral. 

En cualquier caso, el alcance concreto del servicio de virtual CISO debería ser configurado en base a los recursos internos disponibles y a las necesidades en materia de seguridad. Obviamente, y como cualquier decisión de externalizar servicios, ésta deberá estar avalada por un previo análisis que evidencie que, efectivamente, se optimizan los esfuerzos y los presupuestos destinados a garantizar el cumplimiento legal y normativo de seguridad de la información. Como una inversión más en seguridad de la información, ésta debe adoptarse tomando en consideración los mismos aspectos que para otras inversiones en seguridad, a saber: debe estar orientada a gestionar riesgos reales, alineada con los objetivos de seguridad de la organización y dentro de los rangos presupuestarios establecidos.

En definitiva, una alternativa que, ahora más que nunca, puede ser de mucha utilidad por la creciente importancia que la seguridad de la información y el compliance asociado están cobrando, y la necesidad de abordarlos de forma global, rentable y con garantías.  

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual