Uno de los mayores retos que afrontan las empresas es mantener su información de manera segura, disponible y confiable, dentro de un contexto en el que proliferan las amenazas cibernéticas a todos los niveles.
El Real Decreto 43/2021 otorga un papel central al CISO como responsable de velar por la ciberseguridad de las organizaciones. Así, se establece un marco legislativo definido que regula las atribuciones que tiene una figura como la del Chief Information Security Officer cuyos orígenes se retrotraen a los años 90, cuando emergió como referente para la dirección, orientación y coordinación de la estrategia de seguridad cibernética en los organismos en los que operaba.
Con todo, en las empresas y organizaciones que han contado a lo largo de los años con este tipo de especialistas sus funciones han tendido a fusionare y entremezclarse con las del CSO (Chief Segurity Officer) o las del DPO (Data Protection Officer). Una confusión que la normativa aludida (alineada con las disposiciones europeas) disipaba completamente, al clarificar sus ‘competencias’ concretas, al menos en las organizaciones concernidas por el novedoso marco regulatorio, que explicaremos con más detalle un poco más adelante.
El Libro Blanco del CISO
Con anterioridad al Real Decreto, el Libro Blanco del CISO, que fue impulsado en 2018 por la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum Spain) con el respaldo del Instituto Nacional de Ciberseguridad (INCIBE), trató de definir y delimitar la figura del responsable de seguridad de la información, centrándose en tres aspectos concretos:
1-La posición que ocupa dentro de la empresa u organización
Uno de los principales cometidos del CISO de acuerdo al Libro Blanco es el de alinear la estrategia de ciberseguridad con las características y objetivos de la organización, desarrollando las actuaciones a aplicar de acuerdo a la actividad de la empresa (algo que desde enero de 2021 tiene un marco legal claramente definido).
Asimismo, ha de informar y reportar a los órganos de dirección de la compañía sobre cualquier aspecto concerniente a la seguridad cibernética. Al tiempo, que tiene un importante papel no solo en la formación sobre ciberseguridad de los integrantes de la organización, sino también a la hora de impulsar su concienciación y sensibilización en la materia.
2-Las funciones de las que se encarga y las responsabilidades atribuibles
El Libro Blanco del CISO quiso establecer asimismo el rol esencial que habría de tener el CISO a la hora de analizar, prevenir y detectar vulnerabilidades, así como para ser capaz además de articular una respuesta rápida ante cualquier incidente que atañe a la ciberseguridad.
3-Formación y experiencia previa deseables
Idealmente, el Chief Information Security Officer contaría con una formación en ingeniería de telecomunicaciones, informática o similar; dispondría de un amplio bagaje en seguridad de TI y habría de estar en disposición de las certificaciones internacionales CISA, CRISC y CISM.
Con todo, en ausencia del marco legislativo que vendría más tarde y que veremos seguidamente, el Libro Blanco no dejaba de ser una especie de manual de buenas prácticas en materia de ciberseguridad, ya que carecía de refrendo legal, aunque estuviese respaldado por una entidad pública como el INCIBE.
Principales novedades que introdujo el RD 43/2021 en el ámbito de la ciberseguridad
El Real Decreto 43/2021 desarrolla varios de los elementos del RD 12/2018 sobre seguridad de redes y sistemas de información, suponiendo además la alineación de la normativa española sobre ciberseguridad con la Directiva NIS europea, que tenía como objetivo que todo el espacio comunitario tuviese un marco legislativo unificado sobre la materia.
Así, el RD 43/2021 estableció una serie de criterios de asunción obligatoria para las empresas y operadores de sectores que desarrollen su actividad en el ámbito de lo que se cataloga como infraestructura crítica, entrando dentro de esta categoría: administraciones públicas, sistema financiero y tributario, transporte, alimentación, agua, sistemas de salud, tecnologías de la información y comunicaciones, centros de investigación, industria nuclear, química, espacial, etc.
Además, el nuevo marco legislativo también concierne a operadores de servicios digitales que incluyan mercados online, motores de búsqueda y soluciones en la nube, lo que es bastante relevante si tenemos en cuenta el peso creciente de todos estos elementos dentro de un contexto de acentuada transformación digital y auge de la venta online, que afecta empresas y negocios de todos los sectores económicos.
Medidas a aplicar por las organizaciones concernidas por la regulación de ciberseguridad
Todos los operadores aludidos por el RD 43/2021 han de implementar una serie de medidas organizativas y técnicas para una óptima gestión de los riesgos de ciberseguridad, debiendo de ir todo ello en línea de lo que el decreto denomina como Declaración de Aplicabilidad de Medidas de Seguridad, que abarca:
- Políticas de seguridad integral
- Gestión de riesgos
- Prevención
- Segregación de tareas
- Líneas de defensa
- Respuesta y recuperación
Además, la nueva normativa prescribe que se incluya a los proveedores en las políticas de análisis y gestión de riesgos, así como la necesidad de que los planes de seguridad garanticen siempre la continuidad de las operaciones.
Designación de un responsable de seguridad
De acuerdo a lo que establece el RD 43/2021 la figura del Chief Information Security Officer o CISO puede ser encarnada por una persona, departamento u órgano colegiado que ejercerá como responsable y coordinador de la seguridad de la información, respondiendo como tal ante las autoridades oficiales con competencias en la materia.
Igualmente, los operadores concernidos por el RD tenían la obligación de notificar la identidad de su responsable de seguridad en los tres meses siguientes a la entrada en vigor de la nueva legislación, debiendo también a partir de entonces informar de cualquier cambio que se produzca en esta área.
Asimismo, el nuevo marco normativo indicaba que las funciones del CISO serían:
- Elaborar las políticas de seguridad y la Declaración de Aplicabilidad.
- Desarrollar y supervisar la aplicación de las medidas técnicas y organizativas de acuerdo a la política de seguridad trazada.
- Remitir a las autoridades competentes las notificaciones de incidentes perturbadores de ciberseguridad que se produzcan, así como supervisar la aplicación de las instrucciones que de ellas emanen en tales casos.
El Real Decreto también establecía que la posición de CISO ha de ser ocupada por personal que cuente con formación especializada y una amplia experiencia en materia de ciberseguridad, desde una triple vertiente: organizativa, técnica y jurídica.
De igual modo, el CISO habrá de contar con los recursos necesarios para llevar a cabo sus funciones, y tener una posición en la organización o con respecto a ella que permita el óptimo desarrollo de sus atribuciones, manteniendo la independencia requerida de los responsables de redes y sistemas de información, lo que a efectos legales da un contorno bastante definido a la figura del CISO.
Beneficios que aporta a las empresas un CISO
Pese a que el RD 43/2021 solo prescribiese la obligatoriedad de la figura del responsable de seguridad a empresas u operadores de infraestructura crítica, y a proveedores de servicios digitales o soluciones en la nube; lo cierto es que contar con cobertura CISO es muy beneficioso para cualquier tipo de organización o negocio con independencia de su actividad y tamaño. Por los siguientes motivos:
1-Permite desplegar un enfoque proactivo en materia de ciberseguridad
Ante la proliferación de ciberamenazas cada vez más complejas, que se ceban especialmente con pymes que no están adecuadamente protegidas, la tutela de un CISO asegura una mejor gestión de la ciberseguridad, mediante el despliegue de medidas proactivas de remediación de incidentes, con lo que se impide la materialización de unos siniestros cuyos costes a efectos económicos y reputacionales serían altísimos, hasta el punto de poder llegar a comprometer la viabilidad futura de la organización.
2-Oportunidad de obtener un plan de ciberseguridad totalmente a medida
Dado que las empresas nunca son idénticas aunque se puedan dedicar a la misma actividad, disponer de un plan de ciberseguridad particularizado siempre va a suponer el mejor blindaje preventivo, con la vista puesta en que las especificidades concretas de la organización y sus vulnerabilidades inherentes sean tenidas en cuenta a la hora de trazar la estrategia global de detección, remediación y respuesta a amenazas.
3-Facilita la sensibilización y formación de la plantilla
De los tres vectores básicos existentes en materia de ciberseguridad: tecnología, procesos de trabajo y personal, este último es sin duda el eslabón más débil de la cadena, como bien saben los ciberdelincuentes que tratan de aprovecharlo mediante la aplicación de todo tipo de técnicas de ingeniería social, que buscan sencillamente explotar esa vulnerabilidad humana para sus fines.
En este contexto, la figura del CISO puede hacer una gran contribución, primero a que el personal de la empresa se conciencie sobre el problema, que no es algo exótico ni inhabitual, después para que se forme sobre las medidas de protección recomendables, y ya por último para que pueda estar puntualmente informado sobre las nuevas amenazas que van surgiendo.
4-Permite mejorar continuamente la ciberseguridad
La óptima remediación y respuesta a incidentes es esencial, pero también resulta muy importante su análisis, evaluar por qué se han producido las brechas de seguridad, por si urge la adopción de nuevas medidas para proteger mejor redes, sistemas y equipos. Además, el responsable, departamento u órgano encargado de la ciberseguridad también tiene entre sus funciones primordiales la monitorización continua de las nuevas amenazas emergentes.
5- El CISO Supone siempre una inversión no un gasto
Existe cierta predisposición todavía a considerar únicamente la ciberseguridad en su vertiente de coste, como un desembolso inevitable que hay que hacer para evitar amenazas que en muchos casos tienden a valorarse como remotas. Sin embargo, si nos atenemos a lo que supondría a efectos económicos y reputacionales por ejemplo un ataque de ransomware, una ciberamenaza a la que cada vez se enfrentan más pymes españolas, apostar porque un negocio cuente con protección CISO es ante todo una inversión, que además confiere un valor añadido a la marca, que se preocupa de proteger los datos e información sensible de sus clientes, proveedores y partners frente a cualquier intento de intrusión o accidente catastrófico.
En ITRES ofrecemos servicios CISO (CISOaaS)
En ITRES estamos especializados en soluciones de ciberseguridad, aportando a nuestros clientes sistemas de protección y respaldo de información, servicios de auditoría y también por supuesto cobertura CISO as a Service, orientada a alinear los objetivos de las organizaciones con los requisitos internos y externos en el ámbito de la ciberseguridad, adecuándonos siempre estrictamente a lo que establece la legislación actual sobre la materia.
Asimismo, impulsamos los procedimientos precisos y nos servimos de los recursos necesarios para proteger los activos digitales de la empresas, manteniéndolos seguros, disponibles y confidenciales.
¡Escríbenos o llámanos al 868 300 513! y te informaremos con más detalle sobre todo lo que podemos ofrecer a tu negocio en materia de ciberseguridad!
