Funciones y Responsabilidades del CISO

Cuando me toca presentar los resultados de una auditoría de seguridad, o instalar y configurar algún elemento de seguridad, como un cortafuegos o un SIEM, es cuando uno realmente se da cuenta del grado de concienciación en seguridad que tiene una organización. Aunque todas son conscientes de la importancia de implantar controles de seguridad, a veces me he encontrado con que no saben quién debería administrador un SIEM o quién sería el responsable de subsanar las debilidades de seguridad encontradas durante la auditoría. Sin embargo dependiendo del tamaño de la organización y de la adopción de las TIC dentro de esta, deberían ayudarse de un CISO para que éste vele por la seguridad de la información en la organización. El problema muchas veces viene por el desconocimiento de las funciones de un CISO o Director de la Seguridad de la Información, que podemos resumir brevemente a continuación:

• Desarrollar la estrategia de seguridad, supervisar las iniciativas y los programas de seguridad, y servir de enlace con la alineación de los procesos de negocio. Es decir, definirá la política de seguridad y las normativas internas, interactuará constantemente con otros gerentes y defenderá, controlará y justificará el presupuesto asignado a la protección de la seguridad de la información. Además se encargará de desarrollar el plan de continuidad del negocio (BCP) y el plan de recuperación ante desastres (DRP). 
   
• Asegurar que se realiza una evaluación de riesgo e impacto del negocio, analizando los riesgos del negocio, de la tecnología utilizada y de la adopción de nuevas tecnologías. Además desarrollará estrategias para mitigar el riesgo como por ejemplo incentivando la capacitación y actualización permanente en materia de seguridad para usuarios internos y externos, o estableciendo un sistema disciplinario junto a RRHH. También se encargará de la seguridad física de los centros de cómputo y velará por el cumplimiento y contingencia de las políticas y normativas legales.
  
  
• Monitorizar la utilización y la eficacia de los recursos de seguridad para conocer si se están utilizando de manera óptima y si están cumpliendo con el propósito por el que fueron obtenidos.
  
  
• Desarrollar e implantar métricas, controles y herramientas de monitorización que supervisen la seguridad de las actividades de la organización, para ello además de monitorizar deberá analizar y revisar los informes de monitorización de la seguridad para controlar de manera pro-activa las amenazas y vulnerabilidades de la organización.
  
  
• Desarrollar métodos para conocer la eficiencia y eficacia de las métricas y controles adoptados para comprobar si las métricas y controles establecidos cumplen con el objetivo por el que fueron implantados.
  
  
• Servir de enlace con otros proveedores de seguridad, además de dar soporte a terceros. Analizar, medir, controlar y hacer cumplir el Gap. Ayudar a certificar que la organización cumple con las políticas, procedimientos y estándares.

Al igual que me he encontrado con organizaciones que no pueden o no necesitan un CISO en su plantilla, por lo que cuando necesitan una determinada tarea subcontratan la consultoría, también me he encontrado con organizaciones que tienen definida claramente las funciones y responsabilidades de cada persona teniendo en plantilla a un CISO e incluso pensando en añadir un Chief Data Officer o Chief Digital Officer, obviamente estamos hablando de organizaciones que se lo pueden permitir y que incluso puedes encontrarte con hasta siete capas o niveles de cortafuegos.