El Foro Económico Mundial en su Informe Global de Riesgos del 2018 identifica dentro de los riesgos más preocupantes a nivel mundial por su probabilidad de ocurrencia e impacto a los ciberataques y al robo o uso fraudulento de los datos. Siendo por ello, una de las grandes preocupaciones a nivel global tanto en el entorno público como privado. La dependencia de las redes y de los sistemas de información para el bienestar, la estabilidad y el crecimiento de las Naciones es un hecho. Como también lo es la interdependencia de tecnologías e infraestructuras.
Para las empresas, los nuevos paradigmas como son la Transformación Digital, el uso de soluciones basadas en la Nube o Cloud Computing, la incorporación de dispositivos IoT, el Big Data, suponen un cambio en la forma de entender cómo la tecnología facilita el negocio.
Por otro lado, la tendencia Fast, Cheap & Easy en la gestión de Sistemas de Información para reducir el tiempo y coste de la provisión de nuevas soluciones y que se apoya en metodologías ágiles (Lean, DevOps, Agile) supone tanto un reto en la elaboración de los Análisis de Riesgos, como en el control del desarrollo y hace más importante la necesidad de tener en cuenta la Seguridad de la Información desde el diseño y durante todo el ciclo de vida de cualquier Producto o Servicio.
Todos los actores están preparándose a este nuevo escenario. La Administración está centrando sus esfuerzos en la definición de distintos marcos regulatorios: La Estrategia de Ciberseguridad, el Reglamento General de Protección de Datos Personales, el Real Decreto-Ley de Seguridad de las Redes y los Sistemas de información, el Esquema Nacional de Seguridad, la normativa sobre protección de infraestructuras críticas y la normativa de seguridad privada. Todas ellas con un factor común, establecer un conjunto de criterios o medidas de seguridad a aplicar.
Es por todo ello, por lo que el papel del Responsable de Seguridad de la Información (CISO por sus siglas en inglés de Chief Information Security Officer) cobra un papel trascendental en las organizaciones del siglo XXI. La seguridad por defecto, desde el diseño y la debida gestión de los riesgos de seguridad son elementos clave para garantizar la supervivencia de las organizaciones del futuro, y en general de la sociedad. Debe ser capaz de poder cohesionar la estrategia en materia de Seguridad de la Información de las organizaciones.
No obstante, dependiendo de cada entidad estas funciones del CISO pueden ser asignadas a otros roles (o junto con otros roles) dentro de la estructura organizativa. Algunos de estos roles son: el del CRO (Chief Risk Officer), el COO (Chief Operating Officer), CIO (Chief Information Officer) DPO (Data Protection
Officer), CDO (Chief Data Officer), CTSO (Chief Technology Security Officer) o CSO (Chief Security Officer). En todo caso, será cada entidad quien deba definir el modelo organizativo y de relación en materia de seguridad dentro de su organización prevaleciendo el principio de segregación de funciones. En función de la madurez de las entidades y su sensibilidad ante la seguridad de la información el rol del CISO se encontrará jerárquicamente enmarcado: en la alta dirección (formando parte de los comités de dirección), en la Dirección de IT – Tecnologías de la Información, en la Dirección de Riesgos o en Seguridad Corporativa.
Esté donde esté, sin lugar a dudas el CISO es una figura clave dentro de las organizaciones debiendo definirse claramente sus atribuciones y su perfil, como ya se hizo anteriormente con otros roles como el del CIO, el CFO (Chief Financial Officer) o Auditoría Interna.
Este libro blanco recoge el rol y funciones del CISO del siglo XXI, como facilitador del negocio para alcanzar sus objetivos y aumentar su resiliencia.
Views: 0
