Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

'El Libro Blanco del CISO', piedra angular para el reconocimiento de esta figura

Gianluca D'Antonio, Presidente de ISMS Forum Spain

Gonzalo Asensio, Miembro de la junta directiva de ISMS Forum Spain

20/11/2018
La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, como principal organización nacional representante de la figura del responsable de Seguridad de la Información, ha llevado a cabo un estudio denominado El Libro Blanco del CISO.

Una primera aproximación para la definición de las responsabilidades y funciones inherentes a dicha figura, modelos organizativos y soft skills que ha contado con la colaboración de una veintena de responsables de Seguridad de la Información con el objetivo de poner en el mercado una guía de referencia para los directores de esta materia y que, a su vez, constituye una primera referencia para las propias organizaciones en su definición organizativa.

La función del responsable de Seguridad de la Información tal y como se concibe hoy en día se traslada en sus inicios a los años noventa bajo el departamento de Seguridad de Control de Acceso, en referencia al CPD (centro de procesamiento de datos), y posteriormente a los conceptos de seguridad lógica y seguridad perimetral. No fue hasta principios del siglo XXI cuando las empresas empezaron a tomar una mayor conciencia de este departamento y comenzó la era de los departamentos de Seguridad Informática. Más adelante entraron en juego procesos, servicios, datos, etc., y comenzó a denominarse departamento de Seguridad de la Información, quedando definida con ello la figura del responsable de Seguridad de la Información (en adelante CISO, en referencia a sus siglas en inglés).

En la actualidad, fenómenos como la digitalización, el cloud computing, la transformación digital o la incorporación masiva de dispositivos bajo la denominación IoT (Internet of Things), entre otros, han supuesto una explosión exponencial de datos, deslocalizados y globalizados, que trascienden los límites del tradicional data center y, por tanto, han incrementado sustancialmente las responsabilidades tradicionalmente enmarcadas bajo el paraguas del departamento de Seguridad de la Información y la figura del CISO.

Marco regulatorio

No menos importante, y en paralelo a lo anterior, encontramos un marco regulatorio cada vez más complejo donde las empresas deben adaptarse al Reglamento General de Protección de Datos, a la Directiva PSD-2 (Payment Services Directive 2), a la Directiva NIS (Network and Information Security), al PCI-DSS (Payment Card Industry Data Security Standard), a la Ley de Protección de Infraestructuras Críticas, etc., y donde el CISO tiene un papel fundamental y privilegiado para cohesionar los requerimientos en materia de Seguridad de la Información.

La propia sociedad aumenta el conocimiento en habilidades digitales más rápidamente que la propia concienciación en los riesgos derivados del uso de estas tecnologías digitales, y la función del CISO trasciende el marco puramente empresarial para convertirse en un elemento concienciador y formador en el uso seguro de las nuevas tecnologías, tanto dentro de las compañías como en la misma sociedad.

La definición de responsable de Seguridad de la Información se configura,consecuentemente, como una función cada vez más cross en la medida en la que todos los procesos de negocio se van digitalizando, las organizaciones evolucionan hacia una visión holística de la tecnología y el CISO se convierte en un elemento estratégico de la toma de decisiones. De esta manera, la figura del CISO se configura como un manager y, al mismo tiempo, advisor de la dirección general, siendo capaz de organizarlos recursos necesarios para asegurar la resiliencia de la organización frente a las ciberamenazas.

Derivado de todo lo anterior, el rol del CISO ha experimentado en los últimos años una evolución singular y disruptiva, producto, asimismo, del crecimiento de su relevancia en las organizaciones. Sin embargo, su figura como rol profesional no mantiene una coherencia y homogeneidad, atendiendo sus funciones exclusivamente a la naturaleza, sector o tamaño,entre otras, de las empresas. Al principio, como hemos visto en los nombres de los departamentos, el CISO (no llamado así antes) se ubicaba en áreas muy dispares, por lo que se atribuye a ese hecho la variedad existente en la actualidad.

En consecuencia, no existe un modelo organizativo único o un modelo perfecto, sino que todos son imperfectos y, por tanto, contarán con ventajas y desventajas. Esto no trata de decir cuál de estos debe existir, sino que es un posible análisis de la mayoría de los modelos que existen y que son igualmente de válidos para cada organización. No debemos olvidar que al final las empresas las forman trabajadores, es decir, personas que se relacionan entre ellos bajo un mismo objetivo.

Así, podemos diferenciar entre:

Modelo 1: El CISO dentro de una subárea de tecnología.

Modelo 2: El CISO en un área específica de seguridad.

Modelo 3: Seguridad de la información fuera de Tecnología.

Modelo 4: El CISO dentro de la alta dirección.

Pero lo importante en una organización no es tanto dónde esté el CISO o qué tipo de reporte tenga, sino que esté claro qué es un CISO y qué debe poder desarrollar dentro de una empresa o institución.

Responsabilidad global

El CISO es una posición a nivel ejecutivo cuya misión es proporcionar al órgano de gobierno de una compañía (normalmente comité de dirección) apoyo y asesoramiento experto en materia de seguridad de la información y protección de activos. A diferencia de un director de Seguridad, el CISO tiene responsabilidad global sobre la gestión de la seguridad de la información y, además, es la voz que representa esta materia en el comité ejecutivo de la compañía.

Para cumplir con los objetivos de mantener y desarrollar el sistema de gestión de seguridad de la información y tener capacidad táctica para desarrollar dicho programa con éxito, el CISO necesita ser parte del equipo de gestión senior de la corporación, no simplemente un gestor técnico.

En esa línea hay tres claves que distinguen a un CISO de éxito: la independencia, el empoderamiento y su posición organizativa. Esta figura debe ser independiente de toda aquella influencia o presión; debe tener el poder dentro de la organización,con el apoyo y supervisión del órgano ejecutivo (por ejemplo, del Comité de Seguridad) para recomendar,implementar procesos, salvaguardas y medidas de formación y concienciación relacionadas con la seguridad de la información; y tiene que mantener una posición organizativa que facilite su rol como capacitador de buenas prácticas en seguridad, no limitado al entorno TI, sino también a problemáticas de seguridad de la información y de negocio.

Por último, cabe mencionar que el 20 de septiembre la Asociación presentó las principales claves del estudio con motivo de la celebración del VII Foro de Ciberseguridad en el Círculo de Bellas Artes de Madrid, en el que se citaron más de 300 profesionales para analizar y debatir sobre el futuro ya presente de la ciberseguridad en las organizaciones, los modelos de madurez y el gobierno de la ciberseguridad.

Palabras clave:

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual