El CISO (Chief Information Security Officer) en castellano Oficial de Seguridad de la Información, o CSO (Chief Security Officer) se considera a la persona experta en protección de datos.
Es un profesional de cargo ejecutivo que se centra en, la protección de los datos personales y organizacionales, activos de información, infraestructura y seguridad de tecnología de la información TI.
Hoy en día el CISO cumple un papel muy importante en las empresas, se encarga de la evaluación de los riesgos de seguridad de la información y ciberseguridad, como de la mitigación de estos para disminuir las amenazas.
¿Dónde se ubica el CISO dentro de la empresa?, depende a veces del tipo de organización a la que pertenece, en la mayoría de casos depende directamente del CEO, teniendo como responsabilidad la detección temprana y la comunicación de posibles amenazas de seguridad, medidas preventivas y planes de trabajo de seguridad.
El CISO. ¿Qué es, y cuáles son sus funciones dentro de la empresa? Clic para tuitear
Funciones principales de un CISO
Las funciones de un CISO van más allá del enfoque de soluciones técnicas de seguridad como pueden ser: Firewalls, SIEMS, IDS, IPS, etc.
Debe tener liderazgo y estrategias para aplicar la seguridad adecuada aplicable en la industria determinada que se encuentre.
Proactividad, es una función crucial e importante. Los CISOS deben promover la preparación de todos los trabajadores y funciones afectados para escenarios anticipados de amenazas en ciberseguridad.
Organizar los recursos principales, personal de seguridad experto y la tecnología más efectiva para disminuir los riesgos de seguridad de la empresa, alineándose con los objetivos de seguridad que debe alcanzar la empresa.
Debe elaborar las estrategias de seguridad de una empresa. Estas estrategias deben tener en cuenta las operaciones de seguridad de datos de extremo a extremo, considerando:
- Evaluación de la infraestructura general de tecnología de la información y la gestión de riesgos.
- Creación de políticas de seguridad para minimizar las posibles amenazas y vulnerabilidades.
- Coordinar las auditorías de los requisitos de cumplimiento y certificación en seguridad.
El CISO también puede incorporar a varias partes interesadas de la organización, movilizar los recursos financieros necesarios, revisar los contratos con proveedores externos y profesionales de seguridad.
Concientización en materia de seguridad de la información y ciberseguridad, debe velar por dar cumplimiento a un plan que permita poder contar con empleados capacitados y concientizados en materia de seguridad.
El CISO y su relación con la continuidad del negocio
Debe ser capaz de emplear estrategias resilientes para contrarrestar los ataques cibernéticos que puedan afectar al negocio.
En este escenario, se centra en la recuperación acelerada de un impacto negativo a la empresa ocasionado por eventos de seguridad, para ello debe contar con una sólida gestión de crisis, estrategias de comunicación y recuperación ante desastres.
Debe analizar cada incidente de seguridad y proponer mejoras y controles adecuados de respuesta, para que no se vuelvan a presentar estos incidentes.
Gestión de la documentación
Otra de las funciones que tienen los CISOS en las empresas, es mantener actualizado toda la documentación del SGSI – Sistema de Gestión de Seguridad de la Información, y para ello debe elaborar políticas para los siguientes dominios:
- Gobernanza.
- Conformidad.
- Gestión de RRHH.
- Mitigación de riesgos de seguridad.
- Estrategias y gestión preventiva de incidentes.
- Metodología de riesgos.
- Política general de seguridad de la información.
- Gestión de accesos.
- Gestión de incidentes.
Toda esta documentación sirve para, poder contar con una bases solidas para poder implementar las mejores prácticas de seguridad de la información, y poder responder a incidentes relacionados con la seguridad.
Nunca es tarde
Como vimos las funciones y responsabilidades son amplias y complejas en algunos escenarios. Gestionarlos de manera experta y eficiente no es fácil, como lo demuestran las habilidades y los requisitos de experiencia en el puesto.
La guía para ser un profesional capacitado en materia de seguridad de la información, se enmarca en el uso de estándares y buenas prácticas, siendo la ISO 27001 el utilizado por todos los profesionales de la seguridad.
