redseguridad 082

78 red seguridad tercer trimestre 2018 gestión opinión Information Security), al PCI-DSS (Payment Card Industry Data Security Standard), a la Ley de Protección de Infraestructuras Críticas, etc., y donde el CISO tiene un papel funda- mental y privilegiado para cohesionar los requerimientos en materia de Seguridad de la Información. La propia sociedad aumenta el conocimiento en habilidades digitales más rápidamente que la propia con- cienciación en los riesgos derivados del uso de estas tecnologías digita- les, y la función del CISO trasciende el marco puramente empresarial para convertirse en un elemento concien- ciador y formador en el uso segu- ro de las nuevas tecnologías, tanto dentro de las compañías como en la misma sociedad. La definición de responsable de Seguridad de la Información se con- figura, consecuentemente, como una función cada vez más cross en la medida en la que todos los proce- sos de negocio se van digitalizando, las organizaciones evolucionan hacia una visión holística de la tecnología y el CISO se convierte en un elemento estratégico de la toma de decisiones. De esta manera, la figura del CISO se configura como un manager y, al mismo tiempo, advisor de la direc- ción general, siendo capaz de orga- nizar los recursos necesarios para de los departamentos de Seguridad Informática. Más adelante entra- ron en juego procesos, servicios, datos, etc., y comenzó a denomi- narse departamento de Seguridad de la Información, quedando definida con ello la figura del responsable de Seguridad de la Información (en ade- lante CISO, en referencia a sus siglas en inglés). En la actualidad, fenómenos como la digitalización, el cloud compu- ting , la transformación digital o la incorporación masiva de dispositivos bajo la denominación IoT ( Internet of Things ), entre otros, han supuesto una explosión exponencial de datos, deslocalizados y globalizados, que trascienden los límites del tradicio- nal data center y, por tanto, han incrementado sustancialmente las responsabilidades tradicionalmente enmarcadas bajo el paraguas del departamento de Seguridad de la Información y la figura del CISO. Marco regulatorio No menos importante, y en paralelo a lo anterior, encontramos un marco regulatorio cada vez más complejo donde las empresas deben adap- tarse al Reglamento General de Protección de Datos, a la Directiva PSD-2 (Payment Services Directive 2), a la Directiva NIS (Network and L a A sociación E spañola para el Fomento de la Seguridad de la Información, ISMS Forum Spain, como principal organización nacio- nal representante de la figura del responsable de Seguridad de la Información, ha llevado a cabo un estudio denominado El Libro Blanco del CISO . Una primera aproximación para la definición de las responsa- bilidades y funciones inherentes a dicha figura, modelos organizativos y soft skills que ha contado con la colaboración de una veintena de responsables de Seguridad de la Información con el objetivo de poner en el mercado una guía de referencia para los directores de esta materia y que, a su vez, constituye una primera referencia para las propias organiza- ciones en su definición organizativa. La función del responsable de Seguridad de la Información tal y como se concibe hoy en día se traslada en sus inicios a los años noventa bajo el departamento de Seguridad de Control de Acceso, en referencia al CPD (centro de pro- cesamiento de datos), y posterior- mente a los conceptos de seguridad lógica y seguridad perimetral. No fue hasta principios del siglo XXI cuando las empresas empezaron a tomar una mayor conciencia de este departamento y comenzó la era Gianluca D’Antonio Presidente de ISMS Forum Spain 'El Libro Blanco del CISO', piedra angular para el reconocimiento de esta figura Gonzalo Asensio Miembro de la junta directiva de ISMS Forum Spain