La seguridad integral es un modelo ideal en el que la seguridad de la compañía se aborda como un todo, no por parcelas, y está alineada con los objetivos de la organización. Este enfoque debe cubrir, fundamentalmente, tanto la seguridad física como la lógica, que es la Seguridad de la Información.
Actualmente pocas empresas tienen alineadas sus estrategias de seguridad física con las medidas de seguridad informática, aunque colaboran, ya que los estándares de seguridad de la información tienen controles sobre la seguridad física, así como los controles propios de seguridad física tiene controles que afectan a las medidas técnicas de la seguridad lógica.
Rara es la compañía que lucha por el objetivo de conseguir una verdadera seguridad integral. En algunas organizaciones existe la figura del CSO (Chief Security Officer), que coordina al director de Seguridad y al CISO. A lo largo de mi experiencia he encontrado situaciones en las que el CSO era el propio director de seguridad, pero no entendía la labor del CISO. O al contrario, a CISO que realizaban funciones del director de seguridad, pero que no cumplían con la legislación en esa materia. Se trata de una cuestión compleja, y viendo las funciones de cada una de estas figuras entenderemos el porqué.
Funciones parecidas
A continuación, definiremos las funciones del director de seguridad y del CISO, para entender la labor de cada uno.
El director de seguridad:
Este profesional está al mando de un Departamento de Seguridad, con las siguientes funciones a su cargo, según el artículo 36 de la Ley de Seguridad Privada.
- La organización, dirección, inspección y administración de los servicios y recursos de seguridad privada disponibles.
- La identificación, análisis y evaluación de situaciones de riesgo que puedan afectar a la vida e integridad de las personas y al patrimonio.
- Funciones de organización y supervisión de recursos técnicos y humanos de seguridad privada.
- La intermediación, colaboración y cooperación con las Fuerzas y Cuerpos de Seguridad.
- Las comprobaciones de los aspectos necesarios sobre el personal que, por el ejercicio de las funciones encomendadas, precise acceder a áreas o informaciones, para garantizar la protección efectiva de su entidad, empresa o grupo empresarial.
Además de estas funciones, el artículo 52 de la Ley de Seguridad Privada trata las medidas que se pueden adoptar en dicho ámbito. El apartado “c” de esa disposición dice textualmente: “Medidas de seguridad informática, cuyo objeto es la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida”.
El CISO (Chief Information Security Officer):
El libro blanco del CISO, elaborado por compañeros de profesión especialistas en la materia, explica las funciones de esta figura. El documento indica que el responsable de seguridad de la información “debe contar con la formación, la capacidad y experiencia necesaria para alinear la seguridad de las redes y sistemas de información de la empresa con los objetivos de negocio”. “Esa protección de la información, de los productos y servicios de la empresa, lo hará en el desempeño de sus funciones y responsabilidades”, continúa el libro.
El libro blanco del CISO indica que “no existe una definición única de las funciones responsabilidad del CISO”, pero aun así recoge una relación exhaustiva de las tareas que desarrolla este profesional. El documento identifica aquellas que son imprescindible y otras que, en función del tipo y madurez de la organización, podrían recaer en otras áreas de la organización.
En ese sentido, el documento establece unos mínimos exigibles para considerar que existe realmente un responsable de seguridad de la información en una organización. Las siguientes responsabilidades deben considerarse “misión principal” del CISO y no son delegables:
- Alinear la estrategia de seguridad de la información con los objetivos de la empresa.
- Definir la normativa de seguridad (políticas, normas y procedimientos) y velar por su cumplimiento.
- Gestionar los riesgos de seguridad de la información y establecer el plan de acción correspondiente.
- Velar e impulsar la identificación de requisitos de seguridad. Identificar e impulsar la identificación y establecimiento de los controles de seguridad necesarios para acometer el riesgo (controles organizativos, procedimentales, así como los técnicos y humanos).
- Supervisar el nivel de seguridad, el cumplimiento de los controles y el grado de eficacia de las medidas aplicadas.
- Supervisar el cumplimiento de la legislación en los aspectos referidos a su ámbito de actuación.
- Interlocutar con la Alta Dirección en materia de seguridad de la información (métricas, reporting de riesgos, planes de acción, amenazas e incidencias)
- Interlocutar con otras empresas, instituciones, reguladores y Fuerzas y Cuerpos de Seguridad del Estado en materia de seguridad de la información.
- Formar, concienciar y sensibilizar a la organización en materia de seguridad de la información.
- Gestionar la operación de seguridad de la información, sea directa, a través de servicios externalizados o a través de otras áreas de la organización.
- Gestionar los incidentes de seguridad, sea directa, a través de servicios externalizados o a través de otras áreas de la organización.
- Prevenir el fraude, al menos el cometido a través de medios electrónicos.
Como podemos observar con un simple vistazo, las responsabilidades y atribuciones de estas dos figuras de la seguridad son un asunto tan delicado como la seguridad. Pero a pesar de las diferencias que puedan existir, se trata de labores complementarias que deben ir encaminadas, en cualquier caso, a un objetivo común: la seguridad de la organización. De ahí que ambas partes de la seguridad, exista el modelo que exista, han de converger.
Labor conjunta
No cabe duda de la importancia de tener bien definidos planes de continuidad, las políticas, la implantación de medidas de seguridad, así como formar y concienciar a los empleados. Esto garantiza la seguridad y la buena resiliencia de las compañías, y es algo que no depende de una única figura de la compañía, sino del trabajo en equipo del director de Seguridad y del CISO. No tiene sentido gastar un porcentaje muy alto del presupuesto en una seguridad (sea física o lógica) y descuidar otra.
Cada día más, la tendencia (y la lógica) llevan a una convergencia de ambas, bien porque el mercado les obliga acercando más las tecnologías o bien por aprovechamiento de recursos, SOC (Security Operations Center) que hacen de primer nivel de un CRA (Central Receptora de Alarmas) y a la inversa, CRA que hacen de primer nivel de SOC.
Por lo tanto, la seguridad integral, cada día es más necesaria y queda claro que no es un trabajo individual, sino un trabajo en equipo.
