Responsabilidades que todo CISO debería estar cumpliendo

Juan José López Torres

Conozca cuáles son las principales características y responsabilidades de los directores de seguridad de la información (CISO) en una organización.

En los últimos años, un tema de gran valor está relacionado con los datos al ser un activo valioso para cualquier organización. Debido a esto, y al aumento exponencial de los volúmenes de información a manejar, nuevos roles han aparecido y uno de los principales es el Chief Information Security Officer (CISO), es decir, el director de seguridad de la información.

Los directores de seguridad son ejecutivos de alto nivel en la jerarquía organizacional y, de forma general, son los encargados de definir, planificar, desarrollar y administrar todos los procesos y acciones que minimicen cualquier riesgo asociado con la seguridad de los datos, teniendo en cuenta los objetivos de negocio, el capital humano y la infraestructura tecnológica de la organización.

Inicialmente, este rol fue creado para monitorear y analizar los posibles riesgos de seguridad en una organización, enfocándose en el área técnica y sin relacionarse directamente con los procesos o estrategias de negocio. Actualmente, un CISO debe entender y conocer cada uno de los niveles de la empresa ya que debe mantener la continuidad de todos los procesos que involucren información.

Asimismo, debe contar con habilidades de comunicación y liderazgo, ya que además de tener un equipo de apoyo a su cargo, deberá transmitir los desafíos de seguridad de la información a los altos niveles gerenciales, incluso cuando estos no estén directamente asociados con tecnología. En este nivel, el CISO deberá “vender” a los altos mandos, la importancia de la seguridad de la información como base de los procesos de negocio para apalancar la obtención de recursos, tanto humanos como financieros, que le permitan ejecutar correctamente las funciones de su cargo.

Responsabilidades diferentes

Las responsabilidades de un director de seguridad de la información pueden variar debido a diferentes aspectos como el tamaño de la organización, el tipo de información que maneja, e incluso, si es de naturaleza pública o privada. Sin embargo, dentro de dichas responsabilidades, se pueden incluir:

  • Generar e implementar políticas relacionadas con la seguridad de los datos y la información.
  • Supervisar el cumplimiento normativo vigente, asociado a la seguridad y privacidad de la información.
  • Realizar la identificación de brechas en materia de seguridad de la información, y la implementación de proyectos a fin de reducir estas brechas.
  • Definir los niveles y mecanismos de control para el acceso a la información.
  • Definir y supervisar el equipo de respuesta ante incidentes de seguridad de la información.
  • Definir los planes y protocolos para la restauración de la información y la recuperación ante desastres.
  • Definir los protocolos a seguir en la realización de investigaciones asociadas a irregularidades en el manejo de la información. También, deberá liderar dichas investigaciones.

Cabe mencionar que los directores de seguridad de la información deben estar permanentemente actualizados en cuanto a la normatividad, los procesos de innovación y mejora tecnológicos, y de las amenazas informáticas que puedan atacar o vulnerar los sistemas de información.

Casos específicos

En Colombia, y por lo menos para las entidades del sector público, el Ministerio de Tecnologías de la Información y Comunicaciones (MinTIC) ha definido una serie de guías relacionadas con la seguridad y privacidad de la información, y, específicamente, ha definido una en la que se habla de los roles y responsabilidades en el ámbito de la seguridad de la información. En dicha guía, se encuentra el rol del Responsable de Seguridad de la información; en sus principales funciones se encuentra la de liderar la implementación del modelo de seguridad y privacidad de la información.

Es común encontrar una confusión entre los papeles del CISO y del CIO (Chief Information Officer) o director de tecnologías de la información. Sin embargo, estos son diferentes a pesar de que ambos se encuentran relacionados con las tecnologías. El CIO es el responsable de garantizar que las tecnologías de información permitan la continuidad del negocio y de todos los servicios empresariales, así como de definir e implementar mejoras en los requerimientos tecnológicos, que propendan por el cumplimiento de las estrategias organizacionales.

Si se observa el caso particular de hacienda y banca, ha aparecido el rol de CIO de banca o CIO de banca digital. Este rol, si bien sigue las funciones mencionadas previamente para un director de tecnologías de la información, es el encargado de los procesos de transformación de la banca digital.

Para este proceso, y según The Financial Brand, que se basó en una encuesta realizada por Cognizant a 50 CIO de entidades bancarias, hay cinco claves para la transformación: acelerar el ritmo de innovación, impulsar las estrategias centradas en el cliente, distribución y consumo multicanal, implantación de herramientas para ofrecer nuevos servicios, y digitalización completa de los procesos.

Este artículo está clasificado como:

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR