El aumento de los ciberataques a las empresas ha hecho que la figura del CISO cobre especial relevancia para estas, cada vez más preocupadas por la seguridad de la información y su vulnerabilidad, puesto que las brechas de seguridad pueden conllevar serias pérdidas económicas y de reputación para las compañías.
En este artículo explicaremos qué es un CISO, cuáles son sus funciones y qué beneficios puede aportar a las empresas que decidan contratar este profesional.
En este artículo hablamos de:
¿Qué es un CISO?
La definición de CISO (Chief Information Security Officer por sus siglas en inglés) nos dice que es el director de seguridad de la información de una compañía. Se trata de un ejecutivo de alto nivel cuya responsabilidad consiste en desarrollar, implementar y gestionar un programa o sistema de seguridad de la información, que debe incluir el diseño de los protocolos, procedimientos y políticas para proteger las comunicaciones y los sistemas informáticos de la empresa de amenazas tanto internas como externas.
Por lo tanto, dentro de las empresas el CISO es el máximo responsable en cuanto ciberseguridad se refiere y de él depende la protección de uno de los activos más importantes de esta: la información.
¿Cuáles son las funciones de un CISO?
Las funciones del CISO pueden variar de una compañía a otra, en función de su tamaño, su actividad, su sector y la información que maneje, pero todas ellas tienen como objetivo garantizar la protección de la información y de los sistemas de información. Para ello, el CISO tiene como principal tarea anticiparse a las amenazas y tratar de evitar que se materialicen.
Con carácter general, estas son las principales funciones de un CISO:
- Diseñar e implementar políticas y protocolos de seguridad informática y de la información, así como de la seguridad en Internet.
- Analizar vulnerabilidades, para prevenir y detectar posibles riesgos de seguridad.
- Garantizar la seguridad y privacidad de los datos.
- Supervisión y gestión de la arquitectura de seguridad, de las auditorías de seguridad y del control de acceso a la información.
- Es el responsable del equipo de respuesta ante cualquier incidente de seguridad.
- Formar y concienciar a todos los miembros de la compañía de la importancia de la seguridad de la información y supervisar el cumplimiento normativo en esta materia.
- Labores de perito informático para investigar el origen de incidentes de seguridad.
Perfil y características del CISO
El perfil del CISO es, como hemos dicho, el de un alto ejecutivo, con formación en sistemas informáticos y de seguridad de la información, pero también con conocimientos empresariales, puesto que debe alinear las políticas de seguridad con los objetivos de la empresa, así como habilidades comunicativas, de liderazgo y capacidad analítica.
El trabajo del CISO es transversal, puesto que todas sus funciones deben ir en línea con los objetivos de negocio de la empresa. Además, el CISO debe ser proactivo, ya que no se debe limitar a responder ante incidentes de seguridad, sino adelantarse a ellos para evitar que ocurran.
Por lo tanto, el CISO no es una más de las herramientas para la seguridad en Internet y de la información de la empresa, sino que su papel, como hemos visto, es mucho más importante, ya que de él depende todo el sistema de ciberseguridad de la compañía, todo ello sin perder de vista los objetivos empresariales.
Si echáis un vistazo a los organigramas de algunas grandes empresas, veréis que muchas de ellas incluyen el puesto de CISO, como, por ejemplo, el CISO de Telefónica (Alejandro Ramos) o el CISO del Banco Santander España (Carles Solé).
En cualquier caso, el perfil de CISO de cumplir con las siguientes características:
- Perfil de ejecutivo: El CISO no solo conoce los riesgos y vulnerabilidades de la seguridad de la información que enfrenta la empresa, sino que es capaz de «traducirlos» a un lenguaje que el resto de directivos sean capaces de comprender. Así mismo, debe tener capacidad para influir en la toma de decisiones en materia de ciberseguridad.
- Conocimiento comercial: EL CISO debe conocer los objetivos de negocio de la empresa, sus operaciones comerciales y los datos confidenciales derivados de las mismas, para poder evaluar los riesgos que representan para la ciberseguridad, así como el impacto que un incidente de ciberseguridad podría tener sobre ellos.
- Conocimientos sobre la arquitectura de seguridad e informática de la empresa: El CISO debe poseer una visión global sobre la infraestructura informática de la empresa (dispositivos, redes, servidores, software, medidas y soluciones de seguridad, etc.). Además, debe ser capaz de comunicar la información relevante sobre los riesgos y vulnerabilidades de los sistemas al resto de miembros de la empresa de manera compresible.
¿Es obligatorio tener un CISO en la empresa?
Tras la aprobación del Reglamento de Seguridad de las Redes y Sistemas de la Información (conocido como Reglamento NIS), el CISO es obligatorio para los operadores de servicios esenciales o proveedores de servicios digitales, es decir, para empresas de telecomunicaciones y aquellas de los siguientes sectores: transporte, energía, TIC, sistemas financieros, industria química, instalaciones de investigación, salud, agua, alimentación e industria nuclear.
En estas empresas, el CISO tendrá la responsabilidad de elaborar las políticas de seguridad, diseñar protocolos y normas derivados, elaborar el denominado Documento de Aplicabilidad, fomentar las buenas prácticas en materia de seguridad de la información y notificar los incidentes de ciberseguridad a la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (CSIRT).
Beneficios del CISO para la empresa
Contar con la figura del CISO en la empresa aporta una mejor gestión de la ciberseguridad en ella, puesto que su proactividad puede evitar en muchos casos que se produzcan graves incidentes de seguridad.
Gracias al CISO, la empresa contará con un plan de ciberseguridad completamente adaptado a sus necesidades y a su actividad, además de poder formar y sensibilizar a toda la plantilla respecto a esta materia, algo que cada día se vuelve más importante, si tenemos en cuenta que el eslabón más débil en la cadena de la ciberseguridad suele ser el usuario.
Asimismo, la presencia del CISO facilitará, en caso de que se produzcan brechas de seguridad, su análisis e investigación, así como su reporte rápido a las autoridades competentes cuando exista la obligación de hacerlo, lo que evitará recibir posibles sanciones. Además, del análisis de incidentes surgirán nuevas medidas para mejorar la seguridad de equipos, redes y sistemas.
Contar con un CISO ayudará a la empresa a estar al día ante nuevas amenazas y a protegerse mejor de eventos potencialmente catastróficos, como pueden ser los ataques de ransomware o el robo de información. Esto repercutirá en evitar posibles pérdidas económicas y de reputación, por ello, entre los consejos de seguridad que actualmente se dan en empresas, la contratación de un CISO suele figurar entre ellos (si la empresa puede permitirse el salario del CISO, que de media suele rondar los 65.000 – 70.000 euros).
¿Qué formación debe tener un CISO?
La formación de un CISO habitualmente suele estar relacionada con ingeniería informática, telecomunicaciones o similar, además de formación adicional en ciberseguridad, nuevas tecnologías y tecnología de la información.
Además, completan esta formación con certificaciones oficiales dentro del campo de la ciberseguridad, como el Certificado en seguridad de sistemas informáticos (CISSP), Auditor de sistemas de información (CISA), Gerente de seguridad de la información (CISM), Profesional certificado en seguridad en la nube (CCSP), Investigador forense de piratería informática (CHFI), especialista certificado en cifrado (ECES) e incluso certificaciones de Hacking ético (CEH), entre otros tipos de certificación para CISO.
Junto a esta formación técnica, como ya hemos dicho, también se valora formación y conocimientos empresariales, de comunicación, liderazgo y dirección.
Para formarse como CISO existe más de un máster universitario en ciberseguridad para adquirir los conocimientos necesarios para desempeñar este rol, aunque estamos ante un perfil profesional que debe continuar actualizándose, puesto que la informática y la seguridad de la información son campos en los que prácticamente cada día se producen avances y novedades y en lo que a ciberseguridad se refiere, es necesario conocer el mayor número de amenazas existentes, para poder anticiparse a ellas.
CISO vs. CSO ¿Son lo mismo?
Es fácil confundir al CISO con CSO, puesto que en empresas más pequeñas, ambos puestos suelen coincidir en la misma persona, sin embargo, son puestos distintos, con diferentes funciones cuando ambos roles están presentes en una compañía.
Como ya hemos visto cuál es el papel y las funciones del CISO, veamos cuáles son las del CSO para ver sus diferencias.
El CSO (Chief Security Officer) es el responsable de la seguridad de una compañía y sus principales funciones son:
- Dirigir las operaciones de control de riesgos empresariales que puedan afectar a la continuidad del negocio y a la imagen de la empresa.
- Crear protocolos y procedimientos que garanticen la continuidad del negocio ante incidentes de seguridad.
- Supervisar el cumplimiento normativo de toda la compañía en materia de seguridad.
- Estar pendiente de los cambios normativos, para poder adaptar a la compañía a los nuevos marcos regulatorios de manera adecuada.
- Entender la misión y objetivos de la empresa, para que todas las acciones, mecanismos y planes de seguridad estén alineados con los mismos.
Cuando en la empresa hay CSO y CISO, el segundo depende y reporta al primero.