Tras la publicación a principios de año de la Directiva NIS, la figura del CISO se convierte en obligatoria para aquellas entidades que sean operadores y proveedores de servicios esenciales.
La Directiva NIS establece la necesidad de adoptar medidas técnicas y organizativas en función de la gestión de los riesgos que afecten a la seguridad de las redes y los sistemas de información.
Entre ellas se encuentra la de nombrar un Responsable de Seguridad (CISO), como punto de contacto único y de coordinación con las autoridades competentes, tanto para la evaluación de las medidas de seguridad implantadas como para la notificación de posibles incidentes. Se le presuponen labores de supervisión de la aplicación y revisión de políticas y medidas de seguridad y la elaboración del documento de Declaración de Aplicabilidad con las medidas de seguridad, abriéndose la posibilidad de que este Responsable sea asesorado y reciba soporte por parte de un tercero experto.
Como ya comentamos en una entrada anterior, el CISO es la figura que en una compañía lidera la seguridad de la información, siendo su principal función la de garantizar la protección del activo más importante de cualquier entidad, la información.
Para poder realizar eficazmente sus funciones, el CISO debe trabajar de forma transversal alineando la seguridad de la información con los objetivos de negocio, y por ello dentro del organigrama estructural de los recursos humanos, debe pertenecer a la alta dirección, dentro de los departamentos de riesgos, seguridad o IT, aunque no siempre es así y puede apoyarse en un tercero externo y experto.
Equipo GRC
Áudea Seguridad de la Información