Conoce Atico34 - Solicita presupuesto
CiberseguridadEmpresa

Funciones del Responsable de Seguridad de la Información

Desde el 27 de abril de 2021, es obligatorio que empresas de determinados sectores considerados esenciales, hayan designado a su Responsable de Seguridad de la Información, una figura cuyas funciones están estrechamente relacionadas con garantizar la ciberseguridad de la organización. En este artículo abordaremos las principales funciones del Responsable de Seguridad la Información (RSI).

¿Quién es el Responsable de Seguridad de la Información?

El Responsable de Seguridad de la Información es la persona responsable de la seguridad, la integridad y la disponibilidad de la información de una entidad, así como de las medidas implementadas para garantizar dicha seguridad en la infraestructura informática y las redes de la compañía. Es decir, es el encargado de gestionar y coordinar todo lo referente a la ciberseguridad de una organización, sea esta pública o privada.

Este rol de responsable de seguridad, al que también se le denomina CISO (Chief Information Security Officer), está desempeñado (o debería estarlo) por un alto ejecutivo dentro del organigrama de la entidad, dadas las funciones y responsabilidades que entraña.

Y aunque la figura del CISO ya está presente en grandes compañías desde hace unos años, no ha sido hasta la publicación del Real Decreto 43/2021 que su figura se ha hecho obligatoria para organizaciones de determinados sectores clave (y que indicaremos más adelante). Cabe señalar que este Real Decreto atribuye al CISO o Responsable de Seguridad de la Información más responsabilidades de las que hasta ahora venía desempeñando este perfil profesional.

Por ese motivo, la ley permite que el «puesto» de RSI pueda desempeñarlo una única persona o un órgano colegiado, aunque en este segundo caso, es necesario designar a una persona física como RSI, que será quien firme documentos y actúe como intermediario entre la autoridad competente o el CSIRT (o CERT en castellano, centro de respuesta a incidentes de seguridad).

funciones del RSI

Funciones del Responsable de Seguridad de la Información

Ahora que ya sabemos quién es el responsable de la seguridad de la información, veamos cuáles son sus principales funciones.

  • Redacción de la Declaración de Aplicabilidad de las medidas de seguridad de la empresa

Una de las principales funciones del RSI es llevar a cabo un análisis del estado de la ciberseguridad de la organización y con la información obtenida, determinar qué medidas de seguridad existen, cuáles son necesario mejorar, cuáles hay que implantar, etc. Con esta información elaborará la Declaración de Aplicabilidad de las medidas de seguridad de la empresa y, además, se asegurará de velar por su cumplimiento.

La Declaración de Aplicabilidad debe incluir los siguientes apartados:

  • Análisis y gestión de riesgos
  • Gestión de riesgos de terceros o proveedores
  • Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas
  • Gestión de personal y profesionalidad
  • Adquisición de productos o servicios de seguridad
  • Detección y gestión de incidentes
  • Planes para la recuperación y aseguramiento de la continuidad de las operaciones
  • Mejora continua
  • Interconexión de sistemas
  • Registro de la actividad de los usuarios

En cierto sentido, el RSI es el responsable de comprobar, mejorar y mantener la ciberresilencia de la organización.

  • Elaborar el Plan de Ciberseguridad

Será función del Responsable de Seguridad de la Información elaborar y proponer el Plan de Ciberseguridad de la organización, para que sea aprobado por la dirección.

El Plan de Ciberseguridad debe incluir las medidas destinadas a mejorar la seguridad del hardware y software que emplea la organización, es decir, diseñar las medidas técnicas y organizativas que sea necesario implementar para gestionar los riesgos detectados en materia de seguridad de los sistemas de información y de las redes de la empresa.

  • Supervisar y desarrollar soluciones de seguridad de la información

El RSI se ocupará también de supervisar y desarrollar las soluciones de seguridad, normativas y procedimientos derivados de la organización, así como supervisar su efectividad y realizar controles periódicos de seguridad.

Es decir, es función del RSI comprobar el estado de seguridad de toda la infraestructura informática de la empresa, para poder identificar vulnerabilidades en software o hardware, así como evaluar la efectividad de las medidas de seguridad ya implementadas, como firewalls, políticas de contraseñas y de acceso remoto seguro, política de copias de seguridad o la seguridad de la VPN de la compañía.

También es su responsabilidad seleccionar e instalar las soluciones de seguridad adecuadas para los sistemas de la empresa, como sistemas EDR, seguridad Endpoint, software antivirus o elegir un SOC.

Así mismo, el RSI también debe desempeñar funciones de análisis forense informático tras sufrir un ciberataque, para averiguar el origen del ataque (si es interno externo), determinar qué ha fallado y qué medidas son necesarias implementar o reforzar para evitar que los incidentes de seguridad se repitan.

  • Formar a los empleados en materia de ciberseguridad

El Responsable de Seguridad de la Información también debe desempeñar funciones de formación y capacitación de los empleados de la empresa en materia de buenas prácticas de seguridad de la información.

  • Ser el punto de contacto entre la autoridad competente en materia de supervisión de seguridad de redes y sistemas de información

El RSI es también el punto de contacto entre la autoridad competente en materia de supervisión de redes y sistemas de información. La autoridad competente es diferente según el tipo de operador, así:

  • Para operadores críticos, la autoridad es el Ministerio del Interior.
  • Para operadores esenciales no críticos, las autoridades competentes según sector y actividad están listadas en el artículo 3 del Real Decreto 43/2021.
  • Para prestadores de servicios digitales, la autoridad competente es el Ministerio de Economía.

El RSI recibirá, interpretará y supervisará la aplicación de las instrucciones y guías que emanen de estas autoridades competentes, ya sea para el funcionamiento habitual de los sistemas de la organización, como para la subsanación de las deficiencias que pudieran detectarse.

  • Ser el punto de contacto para coordinar la gestión de incidentes con el CSIRT de referencia

El Responsable de Seguridad de la Información también debe ser el punto de contacto con el CSIRT de referencia, para comunicar y notificar brechas de seguridad o incidentes que afecten al normal funcionamiento de los servicios esenciales y coordinarse con este para solucionarlos.

Así mismo, reunirá y preparará la información y documentación que el CSIRT (o la autoridad competente) pueda solicitarle.

¿Es obligatorio designar un RSI en la empresa?

Como decíamos en el primer punto, designar un RSI es obligatorio, para operadores de infraestructuras críticas, operadores que proporcionan servicios esenciales (incluidas empresas proveedoras de estos) y los prestadores de servicios digitales.

El Real Decreto 43/2021 establece como empresas u operadores de servicios esenciales las que gestionan los suministros energéticos y el agua, las entidades financieras, las administraciones públicas, la alimentación y la salud, así como los operadores implicados en la Defensa Nacional, los mercados en línea y los motores de búsqueda.

En definitiva, todas aquellas organizaciones cuyos servicios garantizan el funcionamiento normal de la sociedad y que cuando se ven interrumpidos por un ciberataque, pueden ocasionar graves trastornos en el día a día de los ciudadanos, dada la gran dependencia de la tecnología que tenemos actualmente.

Las empresas dentro de estos sectores deben tener ya designado un Responsable de Seguridad de la Información (el plazo para hacerlo finalizó el 27 de julio de 2021).