Hace poco más de 20 años el papel CISO (chief information security officer) se limitaba a la gestión firewalls y al control del perímetro tecnológico de una organización. Apenas si le dejaban conocer lo que estaba protegiendo, simplemente tenía que hacerlo.
Durante largos años algunos consideraron que la función del CISO debía circunscribirse a consideraciones meramente técnicas o como mucho —siendo generosos— a imposiciones reglamentarias. Pero ese papel ha cambiado. Actualmente, el CISO interactúa con todos los departamentos de la organización y establece una comunicación directa entre la parte dedicada al negocio y la centrada en la seguridad de la información. Su presencia se ha hecho indispensable en cualquier organigrama. De igual manera a como no se concibe una organización sin una Dirección General o una Dirección Financiera, la figura del CISO se ha consolidado como una función clave. Y es que la protección de los sistemas de información y de los datos se han convertido en un elemento fundamental del negocio al igual que los recursos humanos o financieros.
Esta función, a día de hoy, obliga al CISO a responder preguntas tales como ¿puede la ciberseguridad ayudar a mejorar, proteger y garantizar los ingresos de la compañía?, ¿puede ayudar a retener clientes?, ¿permite la diferenciación respecto a la competencia?, ¿contribuye a la eficiencia y eficacia de la organización? A medida que las amenazas y los ciberataques han ido creciendo su papel se ha hecho más preponderante.
Pese a todo, algunos aún parecen tentados a pensar que la seguridad de la información es un problema tecnológico más que de negocio. Nada más lejos de la realidad. La ciberseguridad es un elemento que afecta a los riesgos —en el sentido más amplio— de la organización. Y el CISO ha contribuido a su gestión. Por eso su actividad se ha desplazado en esa dirección.
El CISO ha adquirido nuevos conocimientos que le han llevado a evaluar la probabilidad y el impacto de un potencial evento en la seguridad de la información de una organización —incluyendo aspectos operativos o regulatorios como el Reglamento Europeo de Protección de Datos, la Directiva NIS, la Directiva PSD-2…. Precisamente los organismos de estandarización han contribuido a la tarea, aglutinando bajo estructuras y guías normalizadas los pautas para construir, implementar y evaluar el plan de ciberseguridad de una organización. Podríamos decir, atreviéndonos a ser simplistas, que la ISO 27001 ha sido la traducción del marco de Calidad desarrollado con la ISO 9001 —ampliamente aceptado y seguido por el mercado— a la problemática de la gestión de la información y su seguridad.
Recientemente, algunas voces han comenzado a alzarse para impulsar el papel del CISO. Se trata de fuentes que hablan del CIRO o Responsable de Gestión de Riesgos.
Fuente: innovadores.larazon.es
No hay comentarios:
Publicar un comentario