CISO, una figura imprescindible en las grandes empresas y también en pymes
El CISO, Chief Information Security Officer, es la figura que lidera la seguridad de la información en una compañía y que tiene la función principal de garantizar la protección del activo más importante de cualquier entidad: la información.
Para realizar eficazmente sus funciones, el CISO debe trabajar de forma transversal alineando la seguridad de la información con los objetivos de negocio, y por ello dentro del organigrama estructural de los recursos humanos, debe pertenecer a la alta dirección, bien en dependencia directa del CEO, o dentro de los departamentos de riesgos, seguridad, o en último caso en IT.
La tarea de liderar la seguridad de la información implica que el CISO tenga muchas responsabilidades pero también algunas autoridades, aunque pueden variar dependiendo de la entidad y de la posición que ocupe dentro de la estructura de esta. Todas esas responsabilidades estarán alineadas para lograr el objetivo de garantizar la protección de la información, y por tanto relacionadas, entre otras, con la definición de la política, normativa de seguridad y su cumplimiento, la evaluación de los riesgos y su tratamiento, la prevención, detección y análisis de vulnerabilidades, la respuesta ante incidentes de seguridad, las auditorias de seguridad, el control de acceso a la información, la formación o la clasificación de la información.
Tras esta larga lista de funciones, no cabe duda de la importancia del CISO, pero además, tras la publicación de la Directiva NIS (Norma de la Unión Europea que busca mejorar la seguridad de las redes y los sistemas información) a principios de año, en ciertos sectores el rol se convierte en obligatorio.
Este reglamento afecta a operadores y proveedores de servicios esenciales, quedando excluidos de su ámbito de aplicación los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos. Tampoco estarán sujetos a esta norma los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas.
Establece la necesidad de adoptar medidas técnicas y organizativas en función de la gestión de los riesgos que afecten a la seguridad de las redes y los sistemas de información. Entre ellas la de designar un CISO como punto de contacto y coordinación con las autoridades competentes y CSIRT (organización responsable de recibir, revisar y responder a informes y actividades sobre incidentes de seguridad) de referencia.
En cuanto a las funciones que desempeñará el CISO en este nuevo marco normativo, se responsabiliza de elaborar políticas de seguridad, desarrollar la normativa y procedimientos derivados, capacitador de buenas prácticas, notificación de ciberincidentes, así como cualesquiera otras funciones que se determinen reglamentariamente.
Aunque la pyme no está obligada a designar un CISO, sería muy beneficioso que contará con él o con un servicio que cubriera sus funciones, ya que se ha convertido en un rol proactivo y estratégico en la gobernanza de la seguridad de la información.
Y es que hay que tener en cuenta que la descontrolada transformación digital sufrida en estos últimos tiempos sumada a la falta de cultura de ciberseguridad que existe está provocando un gran aumento de ciberataques, convirtiendo a la pyme en objetivo vulnerable para los ciberdelincuentes. De hecho, estas pequeñas y medianas empresas son las que más ciberataques reciben. Además, en la actualidad se ha elevado la presión en la toma de decisiones que, agravadas por la presión a la que nos enfrentamos con el Covid, deben ser más ágiles y flexibles.
Cabe destacar que la efectividad de este rol también se encuentra determinada por su propia capacidad para alinear la gestión de la seguridad, el negocio y lograr generar cultura de seguridad en la compañía. Y encontrar profesionales que cumplan con todos los requerimientos de este rol no es tarea sencilla y, por ello, muchas empresas están en pleno debate sobre la contratación de un CISO interno o externalizarlo a un tercero.
El incremento de demanda de perfiles con alta cualificación está provocando que las empresas tengan problemas para cubrir sus necesidades, tanto por la complejidad de encontrar profesionales disponibles que tengan formación, habilidades y especialización, como por la falta de recursos internos especializados en este tipo de procesos de reclutamiento. Por ello también está en auge desde unos años atrás, que empresas especializadas en el sector de la ciberseguridad presten apoyo en los procesos de búsqueda y selección del talento IT.
En España, existe un déficit de profesionales del sector seguridad, ya que la velocidad a la que ha evolucionado la tecnología no ha ido en paralelo con la formación de una generación de expertos en seguridad digital. La falta de profesionales cualificados para ejercer la función del CISO y los rangos salariales que manejan este tipo de perfil tan cualificado, hace que muchas empresas no puedan asumirlo internamente y necesiten apoyarse en una empresa externa para cubrir las necesidades y que de cobertura a este tema.
Desde hace muchos los clientes de Áudea se benefician de todas las ventajas de contar con un servicio de CISO externo o CISO as service como son contar con un perfil experto y con el respaldo de un equipo de profesionales en ciberseguridad, cumplimiento normativo, riesgos y privacidad, que puedan cubrir todas las necesidades y tareas relacionadas con las funciones propias de un CISO totalmente a medida. Además al contratar un servicio, ahorras en costes ya que pagas solo el tiempo requerido, otorgando con esto el balance perfecto entre su nivel de seguridad, riesgos y gastos.