¡Pide presupuesto en 2 min! ✓
Ciberseguridad

Qué es un CISO y por qué se ha vuelto una figura importante para las empresas

6 Mins read

El aumento de los ciberataques a las empresas ha hecho que la figura del CISO cobre especial relevancia para estas, cada vez más preocupadas por la seguridad de la información y su vulnerabilidad, puesto que las brechas de seguridad pueden conllevar serias pérdidas económicas y de reputación para las compañías.

En este artículo explicaremos qué es un CISO, cuáles son sus funciones y qué beneficios puede aportar a las empresas que decidan contratar este profesional.

¿Qué es un CISO?

La definición de CISO (Chief Information Security Officer por sus siglas en inglés) nos dice que es el director de seguridad de la información de una compañía. Se trata de un ejecutivo de alto nivel cuya responsabilidad consiste en desarrollar, implementar y gestionar un programa o sistema de seguridad de la información, que debe incluir el diseño de los protocolos, procedimientos y políticas para proteger las comunicaciones y los sistemas informáticos de la empresa de amenazas tanto internas como externas.

Por lo tanto, dentro de las empresas el CISO es el máximo responsable en cuanto ciberseguridad se refiere y de él depende la protección de uno de los activos más importantes de esta: la información.

Beneficios que aporta a la empresa un CISO

Contar con la figura del CISO en la empresa aporta una mejor gestión de la ciberseguridad en ella, puesto que su proactividad puede evitar en muchos casos que se produzcan graves incidentes de seguridad.

Gracias al CISO, la empresa contará con un plan de ciberseguridad completamente adaptado a sus necesidades y a su actividad, además de poder formar y sensibilizar a toda la plantilla respecto a esta materia, algo que cada día se vuelve más importante, si tenemos en cuenta que el eslabón más débil en la cadena de la ciberseguridad suele ser el usuario.

Asimismo, la presencia del CISO facilitará, en caso de que se produzcan brechas de seguridad, su análisis e investigación, así como su reporte rápido a las autoridades competentes cuando exista la obligación de hacerlo, lo que evitará recibir posibles sanciones. Además, del análisis de incidentes surgirán nuevas medidas para mejorar la seguridad de equipos, redes y sistemas.

Contar con un CISO ayudará a la empresa a estar al día ante nuevas amenazas y a protegerse mejor de eventos potencialmente catastróficos, como pueden ser los ataques de ransomware o el robo de información. Esto repercutirá en evitar posibles pérdidas económicas y de reputación, por ello, entre los consejos de seguridad que actualmente se dan en empresas, la contratación de un CISO suele figurar entre ellos (si la empresa puede permitirse el salario del CISO, que de media suele rondar los 65.000 – 70.000 euros).

¿Qué funciones tiene un CISO?

Las funciones del CISO pueden variar de una compañía a otra, en función de su tamaño, su actividad, su sector y la información que maneje, pero todas ellas tienen como objetivo garantizar la protección de la información y de los sistemas de información. Para ello, el CISO tiene como principal tarea anticiparse a las amenazas y tratar de evitar que se materialicen.

Con carácter general, estas son las principales funciones de un CISO:

  • Diseñar e implementar políticas y protocolos de seguridad informática y de la información, así como de la seguridad en Internet.
  • Analizar vulnerabilidades, para prevenir y detectar posibles riesgos de seguridad.
  • Garantizar la seguridad y privacidad de los datos.
  • Supervisión y gestión de la arquitectura de seguridad, de las auditorías de seguridad y del control de acceso a la información.
  • Es el responsable del equipo de respuesta ante cualquier incidente de seguridad.
  • Formar y concienciar a todos los miembros de la compañía de la importancia de la seguridad de la información y supervisar el cumplimiento normativo en esta materia.
  • Labores de perito informático para investigar el origen de incidentes de seguridad.

¿Es obligatorio tener un CISO en la empresa?

Tras la aprobación del Reglamento de Seguridad de las Redes y Sistemas de la Información (conocido como Reglamento NIS), el CISO es obligatorio para los operadores de servicios esenciales o proveedores de servicios digitales, es decir, para empresas de telecomunicaciones y aquellas de los siguientes sectores: transporte, energía, TIC, sistemas financieros, industria química, instalaciones de investigación, salud, agua, alimentación e industria nuclear.

En estas empresas, el CISO tendrá la responsabilidad de elaborar las políticas de seguridad, diseñar protocolos y normas derivados, elaborar el denominado Documento de Aplicabilidad, fomentar las buenas prácticas en materia de seguridad de la información y notificar los incidentes de ciberseguridad a la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (CSIRT).

Ciso empresas obligatorio

Perfil y características esenciales para un CISO

El perfil del CISO es, como hemos dicho, el de un alto ejecutivo, con formación en sistemas informáticos y de seguridad de la información, pero también con conocimientos empresariales, puesto que debe alinear las políticas de seguridad con los objetivos de la empresa, así como habilidades comunicativas, de liderazgo y capacidad analítica.

El trabajo del CISO es transversal, puesto que todas sus funciones deben ir en línea con los objetivos de negocio de la empresa. Además, el CISO debe ser proactivo, ya que no se debe limitar a responder ante incidentes de seguridad, sino adelantarse a ellos para evitar que ocurran.

Por lo tanto, el CISO no es una más de las herramientas para la seguridad en Internet y de la información de la empresa, sino que su papel, como hemos visto, es mucho más importante, ya que de él depende todo el sistema de ciberseguridad de la compañía, todo ello sin perder de vista los objetivos empresariales.

Si echáis un vistazo a los organigramas de algunas grandes empresas, veréis que muchas de ellas incluyen el puesto de CISO, como, por ejemplo, el CISO de Telefónica (Alejandro Ramos) o el CISO del Banco Santander España (Carles Solé).

¿Qué formación debe tener un CISO?

La formación de un CISO habitualmente suele estar relacionada con ingeniería informática, telecomunicaciones o similar, además de formación adicional en ciberseguridad, nuevas tecnologías y tecnología de la información.

Además, completan esta formación con certificaciones oficiales dentro del campo de la ciberseguridad, como el Certificado en seguridad de sistemas informáticos (CISSP), Auditor de sistemas de información (CISA), Gerente de seguridad de la información (CISM), Profesional certificado en seguridad en la nube (CCSP), Investigador forense de piratería informática (CHFI), especialista certificado en cifrado (ECES) e incluso certificaciones de Hacking ético (CEH), entre otros tipos de certificación para CISO.

Junto a esta formación técnica, como ya hemos dicho, también se valora formación y conocimientos empresariales, de comunicación, liderazgo y dirección.

Para formarse como CISO existe más de un máster universitario en ciberseguridad para adquirir los conocimientos necesarios para desempeñar este rol, aunque estamos ante un perfil profesional que debe continuar actualizándose, puesto que la informática y la seguridad de la información son campos en los que prácticamente cada día se producen avances y novedades y en lo que a ciberseguridad se refiere, es necesario conocer el mayor número de amenazas existentes, para poder anticiparse a ellas.

CISO vs. CSO ¿Son lo mismo?

Es fácil confundir al CISO con CSO, puesto que en empresas más pequeñas, ambos puestos suelen coincidir en la misma persona, sin embargo, son puestos distintos, con diferentes funciones cuando ambos roles están presentes en una compañía.

Como ya hemos visto cuál es el papel y las funciones del CISO, veamos cuáles son las del CSO para ver sus diferencias.

El CSO (Chief Security Officer) es el responsable de la seguridad de una compañía y sus principales funciones son:

  • Dirigir las operaciones de control de riesgos empresariales que puedan afectar a la continuidad del negocio y a la imagen de la empresa.
  • Crear protocolos y procedimientos que garanticen la continuidad del negocio ante incidentes de seguridad.
  • Supervisar el cumplimiento normativo de toda la compañía en materia de seguridad.
  • Estar pendiente de los cambios normativos, para poder adaptar a la compañía a los nuevos marcos regulatorios de manera adecuada.
  • Entender la misión y objetivos de la empresa, para que todas las acciones, mecanismos y planes de seguridad estén alineados con los mismos.

Cuando en la empresa hay CSO y CISO, el segundo depende y reporta al primero.

About author
Licenciada en Periodismo por la Universidad Complutense de Madrid. Redactora de contenidos informativos, jurídicos y empresariales, Internet, nuevas tecnologías, entorno digital, ciberseguridad y protección de datos.
Articles
Related posts
Ciberseguridad

El centro de operaciones de seguridad (SOC) ¿Cómo puede ayudar a tu empresa?

5 Mins read
Las amenazas de ciberseguridad que enfrentan las empresas son cada vez más sofisticadas y complejas, lo que provoca que la prevención de…
CiberseguridadTeletrabajo

Cómo mejorar la ciberseguridad en entornos de trabajo híbridos

7 Mins read
Los entornos de trabajos híbridos son prácticamente ya una realidad, en la que el trabajo remoto y presencial se combinan en la…
Ciberseguridad

El fraude de soporte técnico ¿Cómo detectarlo y evitarlo?

9 Mins read
El fraude del soporte técnico es una práctica muy extendida y usada para engañar a las posibles víctimas, haciéndoles creer que hay…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.