redseguridad 082

red seguridad tercer trimestre 2018 79 Lo importante en una organización no es tanto dónde esté el CISO o qué tipo de reporte tenga, sino que esté claro qué es un CISO y qué debe poder desarrollar dentro de esta empresa o institución gestión opinión esta materia en el comité ejecutivo de la compañía. Para cumplir con los objetivos de mantener y desarrollar el sistema de gestión de seguridad de la informa- ción y tener capacidad táctica para desarrollar dicho programa con éxito, el CISO necesita ser parte del equipo de gestión senior de la corporación, no simplemente un gestor técnico. En esa línea hay tres claves que distinguen a un CISO de éxito: la independencia, el empoderamiento y su posición organizativa. Esta figu- ra debe ser independiente de toda aquella influencia o presión; debe tener el poder dentro de la organi- zación, con el apoyo y supervisión del órgano ejecutivo (por ejemplo, del Comité de Seguridad) para reco- mendar, implementar procesos, sal- vaguardas y medidas de formación y concienciación relacionadas con la seguridad de la información; y tiene que mantener una posición organizativa que facilite su rol como capacitador de buenas prácticas en seguridad, no limitado al entorno TI, sino también a problemáticas de seguridad de la información y de negocio. Por último, cabe mencionar que el 20 de septiembre la Asociación pre- sentó las principales claves del estu- dio con motivo de la celebración del VII Foro de Ciberseguridad en el Círculo de Bellas Artes de Madrid, en el que se citaron más de 300 profe- sionales para analizar y debatir sobre el futuro ya presente de la cibersegu- ridad en las organizaciones, los modelos de madurez y el gobierno de la ciberseguridad. La función del CISO trasciende el marco puramente empresarial para convertirse en un elemento concienciador y formador en el uso seguro de las nuevas tecnologías. es decir, personas que se relacionan entre ellos bajo un mismo objetivo. Así, podemos diferenciar entre: Modelo 1: El CISO dentro de una subárea de tecnología. Modelo 2: El CISO en un área específica de seguridad. Modelo 3: Seguridad de la informa- ción fuera de Tecnología. Modelo 4: El CISO dentro de la alta dirección. Pero lo importante en una orga- nización no es tanto dónde esté el CISO o qué tipo de reporte tenga, sino que esté claro qué es un CISO y qué debe poder desarrollar dentro de una empresa o institución. Responsabilidad global El CISO es una posición a nivel ejecutivo cuya misión es proporcio- nar al órgano de gobierno de una compañía (normalmente comité de dirección) apoyo y asesoramiento experto en materia de seguridad de la información y protección de activos. A diferencia de un director de Seguridad, el CISO tiene res- ponsabilidad global sobre la gestión de la seguridad de la información y, además, es la voz que representa asegurar la resiliencia de la organiza- ción frente a las ciberamenazas. Derivado de todo lo anterior, el rol del CISO ha experimentado en los últimos años una evolución singu- lar y disruptiva, producto, asimismo, del crecimiento de su relevancia en las organizaciones. Sin embargo, su figura como rol profesional no mantie- ne una coherencia y homogeneidad, atendiendo sus funciones exclusiva- mente a la naturaleza, sector o tama- ño, entre otras, de las empresas. Al principio, como hemos visto en los nombres de los departamentos, el CISO (no llamado así antes) se ubica- ba en áreas muy dispares, por lo que se atribuye a ese hecho la variedad existente en la actualidad. En consecuencia, no existe un modelo organizativo único o un modelo perfecto, sino que todos son imperfectos y, por tanto, contarán con ventajas y desventajas. Esto no trata de decir cuál de estos debe existir, sino que es un posible aná- lisis de la mayoría de los modelos que existen y que son igualmente de válidos para cada organización. No debemos olvidar que al final las empresas las forman trabajadores,