red seguridad 074

especial red seguridad tercer trimestre 2015 61 seguridad corporativa monográfico opinión El virtual CISO puede desempeñar diversas actividades como el análisis de riesgos, diseño de planes, cumplimiento normativo, soporte a la gestión de vulnerabilidades... En este último caso, el servicio sería prestado a través de un equipo mul- tidisciplinar con diferentes perfiles profesionales de seguridad de la información, que aglutinen las dife- rentes vertientes de la seguridad, es decir, la lógica, la física, la legal y la organizativa. Actividades A modo de ejemplo, y sin que sea limitante, como parte de las activida- des a llevar a cabo por un servicio de virtual CISO se pueden mencionar las siguientes: la realización de análisis de riesgos de seguridad, diseño de planes de seguridad, control y segui- miento de proyectos de seguridad, análisis y diagnósticos de cumpli- miento normativo, soporte a la gestión de vulnerabilidades, realización de auditorías técnicas y hacking ético, formación, soporte a la certificación de estándares, etc. El servicio de virtual CISO podría, por ejemplo, estar focalizado en el cumplimiento de la diferente norma- tiva legal y estándares de seguridad aplicables en la organización, tales como: Œ Normativa de protección de datos personales (soporte al DPO). Œ Esquema Nacional de Seguridad (ENS). Œ Sistema de Gestión de la Seguridad SGSI (ISO 27001). Œ Continuidad del Negocio y Sistema de Gestión de la continuidad SGCN (ISO 22301). Œ Normativa sectorial de seguridad (PCI-DSS, solvencia II…). De esta forma, con un único ser- vicio, y aprovechando las sinergias y similitudes entre la distinta normativa, se podría abarcar el cumplimiento normativo de seguridad de la infor- mación de una forma homogénea e integral. En cualquier caso, el alcance con- creto del servicio de virtual CISO debería ser configurado en base a los recursos internos disponibles y a las necesidades en materia de seguridad. Obviamente, y como cual- quier decisión de externalizar ser- vicios, ésta deberá estar avalada por un previo análisis que evidencie que, efectivamente, se optimizan los esfuerzos y los presupuestos desti- nados a garantizar el cumplimiento legal y normativo de seguridad de la información. Como una inversión más en seguridad de la información, ésta debe adoptarse tomando en consideración los mismos aspectos que para otras inversiones en segu- ridad, a saber: debe estar orientada a gestionar riesgos reales, alineada con los objetivos de seguridad de la organización y dentro de los rangos presupuestarios establecidos. En definitiva, una alternativa que, ahora más que nunca, puede ser de mucha utilidad por la creciente impor- tancia que la seguridad de la informa- ción y el compliance asociado están cobrando, y la necesidad de abordar- los de forma global, rentable y con garantías. No estaríamos hablando de una externalización de responsabilidades, sino más bien de un cambio de concepto: gestión de la seguridad como servicio (CISO as a Service)