En el mundo digital, la seguridad de la información es vital para proteger los activos empresariales contra amenazas cibernéticas. En LISA News, exploramos el papel del Chief Information Security Officer (CISO) en esta tarea. Desde definir estrategias hasta implementar medidas de seguridad, el CISO desempeña un papel fundamental en la protección de datos y la actividad económica de las empresas. En este artículo, analizaremos las funciones, actividades y diferencias entre el CISO y el Chief Security Officer (CSO), así como la importancia de contar con ellos en las organizaciones modernas.
La seguridad de la información o de los datos consiste en proteger la información digital contra el acceso no autorizado, la corrupción o el robo durante todo su ciclo de vida, según indica la IBM (International Business Machines), cuyo significado en español se traduce como Máquina de Negocios Internacionales.
Actualmente, el valor empresarial de los datos es más alto que nunca, debido a que se producen una gran cantidad a diario y el análisis correcto puede llevar a las empresas a tomar decisiones estratégicas que lleven a mejorar la eficiencia operativa y la productividad, según indican desde SAP España.
Cualquier pérdida o robo de secretos comerciales o de propiedad industrial puede ser fatal para la innovación de la empresa y su rentabilidad. Además de afectar a su reputación, dado que los consumidores no tienden a comprar en una empresa que no protege sus datos.
➡️ Te puede interesar: Masterclass | Ciberinteligencia al servicio de empresas e instituciones | LISA Institute
Por todo ello, el CISO cada vez está siendo una figura más relevante en las empresas, no solo a la hora de proteger datos, sino también de proteger la actividad económica de la misma.
La probabilidad de que una empresa española reciba un ataque informático es muy alta, dado que en 2022 el INCIBE gestionó 118.820 incidentes de ciberseguridad en los que estaban implicados ciudadanos y empresas. El tener en plantilla este rol, puede ayudar a estar protegido. Además de saber reaccionar y paliar el ataque.
¿Qué es el CISO?
El CISO es uno de los roles de seguridad dentro de las empresas. Las siglas quieren decir «Chief Information Security officer». INCIBE lo define como «el responsable de la seguridad de la información de la empresa».
Uno de sus objetivos principales es alinear la gestión empresarial con la ciberseguridad.
Es importante tener en cuenta que el Real Decreto 43/2021 otorga al CISO una posición de eje central de la ciberseguridad de las empresas. El decreto subraya el valor como figura reguladora de la ciberseguridad dentro de las organizaciones. Esto se refleja en el requisito que impone a los operadores de servicios esenciales de designar a una persona responsable de la seguridad de la información, lo que convierte al CISO en una figura legalmente reconocida.
➡️ Te puede interesar: Gestión de parches: la piedra angular de la ciberseguridad
Por lo general, es una persona que cuenta con estudios técnicos como ingeniería informática, telecomunicaciones y que tiene amplios conocimientos en ciberseguridad.
Pero también, al haber crecido su papel en la empresa, se requieren habilidades estratégicas como el liderazgo, confianza, tener visión empresarial, conocer las últimas tendencias tecnológicas, capacidad de oratoria y persuasión.
Además, sería muy interesante que la persona que tiene este papel dentro de la empresa tuviera también una amplia experiencia en incidentes informáticos, dado que de esta forma va a poder anteponerse y saber reaccionar de forma rápida.
Funciones del CISO
Las funciones principales del CISO podrían dividirse en tres bloques:
- Desarrollo e implantación de la estrategia de seguridad de la información de la empresa.
- Garantizar la privacidad de los datos creando e implantando políticas de seguridad de la información, siempre alineadas con la misión y visión de la empresa.
- Supervisión del control de acceso a la información y la arquitectura de seguridad.
Así, pues, el CISO también puede coordinar el equipo de ciberseguridad, concienciar a los empleados y liderar la respuesta ante cualquier amenaza digital.
Actividades del CISO
Para poder llevar a cabo las funciones descritas en el apartado anterior, el CISO tiene que llevar a cabo unas concretas, las cuales, según el Libro Blanco del CISO son:
- Identificar. El responsable de la seguridad de la información debe tener un profundo conocimiento del contexto empresarial. Esto implica definir estrategias de seguridad alineadas con los objetivos organizacionales y aprobadas por la alta dirección. Además, debe estar familiarizado con los activos de la empresa y los requisitos normativos, legales y contractuales pertinentes.
➡️ Te puede interesar: Máster Profesional de Analista de Inteligencia
Es responsable de identificar los recursos necesarios, establecer un mapa de riesgos y definir el nivel de riesgo aceptable para la organización. También debe desarrollar un plan estratégico de seguridad y un marco de control normativo. Además, es fundamental establecer comités, establecer relaciones con partes interesadas relevantes y establecer canales de reporte efectivos.
- Proteger. El CISO debe diseñar la implantación de la arquitectura de seguridad del dato, de la infraestructura IT, del dispositivo de usuario, de entornos Cloud, seguridad por defecto y en el diseño en aplicaciones, gestión proactiva de vulnerabilidades y asegurar el cumplimiento normativo. También debe definir los planes de seguridad y concienciación de la organización.
- Detectar. Supervisión de las actividades de actualización permanente y corrección de errores en los sistemas de información de la organización, monitorización y alertas sobre la actividad de personas, sistemas, aplicaciones y sobre amenazas avanzadas. También incluye detectar activos no controlados y no corporativos, detección de anomalías, desviaciones y ataques a la infraestructura. En el caso de que hubiera algún incidente, la elaboración de informes forenses y la participación de ciberejercicios. Se recomienda además la defensa activa.
- Responder y recuperar. Definir y encabezar la respuesta ante el incidente, bloquear y gestionar la posible crisis derivada de un ciberataque. En el caso de recibir uno, denunciar a las autoridades y realizar los informes periciales. Esto también conlleva diseñar los playbooks y la respuesta automatizada ante casos de uso conocidos.
Aparte, debe llevar a cabo la notificación de incidentes conforme a las distintas leyes y normativas, sin olvidarse de la supervisión de la continuidad de negocio de la organización.
➡️ Te puede interesar: Masterclass | Autoprotección digital para ciberinvestigar de forma segura | LISA Institute
- Informar y coordinarse. Ha de informar a la alta dirección y a otros departamentos con los que pueda estar relacionado. Es conveniente también que se coordine con otros centros de respuesta y que colabore en grupos interesados en esta materia.
Es importante destacar que el CISO no debe participar en las operaciones de IT diarias.
CISO vs CSO
El «Chief Security Officer» o CSO es el responsable de la seguridad corporativa de la empresa, según Andalucía Open Future, y su tarea principal consiste en garantizar la seguridad física y tecnológica de la compañía.
Ambos perfiles deben trabajar juntos para conseguir que la empresa esté plenamente protegida, por lo que el CISO responderá ante el CSO y este ante la dirección de la empresa. El CISO se centra más en la seguridad de la información, en cambio, el CSO debería tener una visión del negocio y tomar decisiones orientadas a los objetivos de la empresa.
En empresas pequeñas los roles de CISO y CSO recaen en la misma persona.
¿Por qué las empresas deberían contar con un CISO?
El INCIBE detalla los beneficios que tiene el tener un CISO entre la plantilla de una empresa, los cuales son:
- Planificación de ciberseguridad acorde a las necesidades y labores de la organización.
- Mejor sensibilización y formación laboral acerca de temas de seguridad digital.
- Capacidad de investigación y análisis de amenazas como brechas de seguridad.
- Mayor conocimiento de las tendencias en riesgos y mayor protección ante estos.
- Mejoría de la imagen de la empresa por contar con especialistas que dotan de confianza a los clientes y accionistas.
- Aseguramiento del cumplimiento normativo y de los estándares y regulaciones de seguridad de la información.
Todas estas premisas van a permitir una ventaja competitiva frente a otras empresas, dado que proyecta una imagen de avance y de ir al día en todo lo que respecta a la seguridad de la información, lo cual hoy en día significa diferenciarse debido al valor que tienen los datos.
