WE WORK

AS ONE

Contamos con los mejores

La figura del CISO y el RD 43/2021

La figura del CISO y el RD 43/2021

Uno de los mayores retos que afrontan las  empresas es mantener suinformación de manera segura, disponible y confiable, dentro de un contexto en el que proliferan las amenazas cibernéticas a todos los niveles.

El Real Decreto 43/2021 otorga un papel central al CISO como responsable de velar por la ciberseguridad de las organizaciones. Así, se establece un marco legislativo definido que regula las atribuciones que tiene una figura como la del Chief Information Security Officer cuyos orígenes se retrotraen a los años 90, cuando emergió como referente para la dirección, orientación y coordinación de la estrategia de seguridad cibernética en los organismos en los que operaba.

Con todo,  en las empresas y organizaciones que han contado a lo largo de los años con este tipo de especialistas sus funciones han tendido a fusionare y entremezclarse con las del CSO (Chief Segurity Officer) o las del DPO (Data Protection Officer). Una confusión que la nueva normativa aludida (alineada con las disposiciones europeas) tenderá a disipar, al clarificar sus ‘competencias’ concretas, al menos en las organizaciones concernidas por el novedoso marco regulatorio, que explicaremos con más detalle un poco más adelante.

El Libro Blanco del CISO

Con anterioridad al Real Decreto, el Libro Blanco del CISO, que fue impulsado en 2018 por la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum Spain) con el respaldo de Instituto Nacional de Ciberseguridad (INCIBE), trató de definir y delimitar la figura del responsable de seguridad de la información, centrándose en tres aspectos concretos:

La posición que ocupa dentro de la empresa u organización

Uno de los principales cometidos del CISO de acuerdo al Libro Blanco es el de alinear la estrategia de ciberseguridad con las características y objetivos de la organización, desarrollando las actuaciones a aplicar de acuerdo a la actividad de la empresa (algo que desde enero de este año tiene un marco legal claramente definido).

Asimismo, ha de informar y reportar a los órganos de dirección de la compañía sobre cualquier aspecto concerniente a la seguridad cibernética. Al tiempo, que  tiene un importante papel no solo en la formación sobre ciberseguridad de los integrantes de la organización, sino también a la hora de impulsar su concienciación y sensibilización en la materia.

Las funciones de las que se encarga y las responsabilidades atribuibles

El Libro Blanco del CISO quiso establecer asimismo el rol esencial que habría de tener el CISO a la hora de analizar, prevenir y detectar vulnerabilidades, debiendo de ser capaz además de articular una respuesta rápida ante cualquier incidente que atañe a la ciberseguridad.

Formación y experiencia previa deseables

Idealmente, el Chief Information Security Officer contaría con una formación en

ingeniería de telecomunicaciones, informática o similar, así como con un amplio bagaje en seguridad de TI y habría de estar en disposición de las certificaciones internacionales CISA, CRISC y CISM.

Con todo, en ausencia del marco legislativo que vendría más tarde y que veremos seguidamente, el Libro Blanco no dejaba de ser una especie de manual de buenas prácticas en materia de ciberseguridad, ya que carecía de refrendo legal, aunque estuviese respaldado por una entidad pública como el INCIBE.

Principales novedades que introduce el RD 43/2021 en el ámbito de la ciberseguridad

El Real Decreto 43/2021 que entró en vigor el pasado 28 de enero desarrolla varios de los elementos del  RD 12/2018 sobre seguridad de redes y sistemas de información, suponiendo además la alineación de la normativa española sobre ciberseguridad con la Directiva NIS europea, que tenía como objetivo que todo el espacio comunitario tuviese un marco legislativo unificado sobre la materia.

El RD 43/2021 establece una serie de criterios de asunción obligatoria para las empresas y operadores de sectores que desarrollen su actividad en el ámbito de lo que se cataloga como infraestructura crítica, entrando dentro de esta categoría: administraciones públicas, sistema financiero y tributario, transporte, alimentación, agua, sistemas de salud, tecnologías de la información y comunicaciones, centros de investigación, industria nuclear, química, espacial, etc.

Además, el nuevo marco legislativo también concierne a operadores de servicios digitales que incluyan mercados online, motores de búsqueda y soluciones en la nube, lo que es bastante relevante si tenemos en cuenta el peso creciente de todos estos elementos dentro de un contexto de acentuada transformación digital y auge de la venta online, que afecta empresas y negocios de todos los sectores económicos.

Medidas a aplicar por las organizaciones concernidas por la regulación de ciberseguridad

Todos los operadores aludidos por el RD 43/2021 han de implementar una serie de medidas organizativas y técnicas para una óptima gestión de los riesgos de ciberseguridad, debiendo de ir todo ello en línea de lo que el decreto denomina como Declaración de Aplicabilidad de Medidas de Seguridad, que abarca:

  • Políticas de seguridad integral
  • Gestión de riesgos
  • Prevención
  • Segregación de tareas
  • Líneas de defensa
  • Respuesta y recuperación

Además, la nueva normativa prescribe que se incluya a los proveedores en las políticas de análisis y gestión de riesgos, así como la necesidad de que los planes de seguridad garanticen siempre la continuidad de las operaciones.

Designación de un responsable de seguridad

De acuerdo a lo que establece el RD 43/2021 la figura del Chief Information Security Officer o CISO puede ser encarnada por una persona, departamento u órgano colegiado que ejercerá como responsable y coordinador de la seguridad de la información, respondiendo como tal ante las autoridades oficiales con competencias en la materia.

Igualmente, los operadores concernidos por el nuevo RD tenían la obligación de notificar la identidad de su responsable de seguridad en los tres meses siguientes a la entrada en vigor de la nueva legislación, debiendo también informar de cualquier cambio que se produzca en esta área.

Asimismo, el nuevo marco normativo indica que las funciones del CISO serían:

  • Elaborar las políticas de seguridad y la Declaración de Aplicabilidad.
  • Desarrollar y supervisar la aplicación de las medidas técnicas y organizativas de acuerdo a la política de seguridad trazada.
  • Remitir a las autoridades competentes las notificaciones de incidentes perturbadores de ciberseguridad que se produzcan, así como supervisar la aplicación de las instrucciones que de ellas emanen en tales casos.

El Real Decreto también establece que la posición de CISO ha de ser ocupada por personal que cuente con formación especializada y una amplia experiencia en materia de ciberseguridad, desde una triple vertiente: organizativa, técnica y jurídica.

De igual modo, el CISO habrá de contar con los recursos necesarios para llevar a cabo sus funciones, y  tener una posición en la organización o con respecto a ella que permita el óptimo desarrollo de sus atribuciones, manteniendo la independencia requerida de los responsables de redes y sistemas de información, lo que a efectos legales da un contorno bastante definido a la figura del CISO.

En ITRES ofrecemos servicios CISO (CISOaaS)

En ITRES estamos especializados en soluciones de ciberseguridad, aportando a nuestros clientes sistemas de protección y respaldo de información, servicios de auditoría y también por supuesto cobertura CISO as a Service, orientada a alinear los objetivos de las organizaciones con los requisitos internos y externos en el ámbito de la ciberseguridad, adecuándonos siempre estrictamente a lo que establece la legislación actual sobre la materia.

Asimismo, impulsamos los procedimientos precisos y nos servimos de los recursos necesarios para proteger los activos digitales de la empresas, manteniéndolos seguros, disponibles  y confidenciales.

¡Escríbenos o llámanos al 868 300 513!  y te informaremos con más detalle sobre todo lo que podemos ofrecer a tu negocio en materia de ciberseguridad!

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest
Share on whatsapp
WhatsApp