Seguritecnia 476

SEGURITECNIA Junio 2020 41 Seguridad Integral ción “debe contar con la formación, la capacidad y experiencia necesaria para alinear la seguridad de las redes y siste- mas de información de la empresa con los objetivos de negocio”. “Esa protec- ción de la información, de los productos y servicios de la empresa, lo hará en el desempeño de sus funciones y respon- sabilidades”, continúa el libro. El libro blanco del CISO indica que “no existe una definición única de las fun- ciones responsabilidad del CISO”, pero aun así recoge una relación exhaustiva de las tareas que desarrolla este profesio- nal. El documento identifica aquellas que son imprescindible y otras que, en fun- ción del tipo y madurez de la organiza- ción, podrían recaer en otras áreas de la organización. En ese sentido, el documento esta- blece unos mínimos exigibles para con- siderar que existe realmente un respon- sable de seguridad de la información en una organización. Las siguientes respon- sabilidades deben considerarse “misión principal” del CISO y no son delegables: Alinear la estrategia de seguridad de la información con los objetivos de la empresa. Definir la normativa de seguridad (po- líticas, normas y procedimientos) y ve- lar por su cumplimiento. Gestionar los riesgos de seguridad de la información y establecer el plan de acción correspondiente. Velar e impulsar la identificación de requisitos de seguridad. Identificar e impulsar la identificación y estable- buciones de estas dos figuras de la segu- ridad son un asunto tan delicado como la seguridad. Pero a pesar de las diferen- cias que puedan existir, se trata de labo- res complementarias que deben ir enca- minadas, en cualquier caso, a un objetivo común: la seguridad de la organización. De ahí que ambas partes de la seguri- dad, exista el modelo que exista, han de converger. Labor conjunta No cabe duda de la importancia de te- ner bien definidos planes de continui- dad, las políticas, la implantación de me- didas de seguridad, así como formar y concienciar a los empleados. Esto ga- rantiza la seguridad y la buena resilien- cia de las compañías, y es algo que no depende de una única figura de la com- pañía, sino del trabajo en equipo del di- rector de Seguridad y del CISO. No tiene sentido gastar un porcentaje muy alto del presupuesto en una seguridad (sea física o lógica) y descuidar otra. Cada día más, la tendencia (y la ló- gica) llevan a una convergencia de am- bas, bien porque el mercado les obliga acercando más las tecnologías o bien por aprovechamiento de recursos, SOC ( Security Operations Center ) que hacen de primer nivel de un CRA (Central Recep- tora de Alarmas) y a la inversa, CRA que hacen de primer nivel de SOC. Por lo tanto, la seguridad Integral, cada día es más necesaria y queda claro que no es un trabajo individual, sino un trabajo en equipo. cimiento de los controles de segu- ridad necesarios para acometer el riesgo (controles organizativos, pro- cedimentales, así como los técnicos y humanos). Supervisar el nivel de seguridad, el cumplimiento de los controles y el grado de eficacia de las medidas apli- cadas. Supervisar el cumplimiento de la le- gislación en los aspectos referidos a su ámbito de actuación. Interlocutar con la Alta Dirección en materia de seguridad de la informa- ción (métricas, reporting de riesgos, planes de acción, amenazas e inciden- cias) Interlocutar con otras empresas, ins- tituciones, reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la informa- ción. Formar, concienciar y sensibilizar a la organización en materia de seguridad de la información. Gestionar la operación de seguridad de la información, sea directa, a través de servicios externalizados o a través de otras áreas de la organización. Gestionar los incidentes de seguridad, sea directa, a través de servicios exter- nalizados o a través de otras áreas de la organización. Prevenir el fraude, al menos el come- tido a través de medios electrónicos. Como podemos observar con un sim- ple vistazo, las responsabilidades y atri-