CISO virtual ¿De qué se trata?

¿QUÉ ES UN CISO VIRTUAL?

CISO son las siglas de Chief Information Security Officer, y es el director de seguridad de la información en una organización o empresa. Es el responsable de las políticas y normas de seguridad, entre otras actividades. Su función principal es la de asegurar una buena seguridad de la información sin perder de vista los objetivos estratégicos del negocio.

ciso virtual Bomontec

¿QUÉ ES UN CISO VIRTUAL?

La figura del CISO virtual es la del CISO externo. Presta sus servicios a la empresa que le contrata por horas o tiempos definidos mensuales. No está definido bajo ningún modelo que su atención deba ser de forma solo virtual o presencial, a pesar del término, eso dependerá de cada caso.

Esta persona será el responsable máximo de planificar, desarrollar, controlar y gestionar las políticas, procedimientos y acciones con el fin de mejorar la seguridad de la información dentro de una empresa. Siempre velará por la seguridad de la información sin olvidar lo más importante para la empresa su confidencialidad, integridad y disponibilidad.

TAREAS DE UN VIRTUAL CISO

El rol de un vCISO está en continua evolución, por lo tanto, las tareas que le corresponden también lo están. Estas son algunas de las tareas:

  • Generar e implantar políticas de seguridad de la información.
  • Garantizar la seguridad y privacidad de los datos.
  • Establecer los planes de continuidad de negocio y recuperación referentes a la información.
  • Supervisar la administración del control de acceso a la información.
  • Supervisar el cumplimiento normativo de la seguridad de la información.
  • Supervisar la arquitectura de seguridad de la información de la empresa.
  • Estar al tanto de los cambios normativos, debiendo informarse de las consecuencias para las actividades de la organización y proponiendo las medidas oportunas para adecuarse al nuevo marco normativo.
  • Responsable del equipo de respuesta ante incidentes de seguridad de la información de la organización.
  • Esquema Nacional de Seguridad (ENS).
  • Realización de análisis de riesgos de seguridad.
  • Diseño de planes de seguridad.
  • Soporte a la gestión de vulnerabilidades.
  • Control y seguimiento de proyectos de seguridad.
  • Informar al liderazgo ejecutivo de las amenazas actuales y las actualizaciones de cumplimiento para ayudarlos a tomar decisiones comerciales más inteligentes:
  • Realización de auditorías técnicas y hacking ético.
  • Formación.

La seguridad de la Información es, en definitiva, un problema de continuidad de negocio y no es un problema del área de TI.

OBJETIVOS DE UN VIRTUAL CISO

Todas estas tareas podemos resumirlas dentro de los Objetivos Principales que debe cumplir un Virtual CISO

  • Definición e implementación de estrategias de seguridad de la información.
  • Gestión de riesgos.
  • Gestión de incidentes
  • Gestión del cumplimiento regulatorio.
  • Gestión de campañas de sensibilización
  • Gestión de los activos de la información.
  • Verificación del cumplimiento de los controles definidos.

VENTAJAS DE CONTRATAR UN VIRTUAL CISO

-El Coste: Por una parte, de lo que te costaría tener a una persona dentro de la empresa dedicada a tiempo completo a esto puedes contar con un equipo de varios trabajadores que están dirigidos por tu Ciso Virtual.

– La Experiencia: No tiene exclusividad con tu empresa, pero eso mismo hace que al atender a varios clientes va ganando un conocimiento de las amenazas y posibles problemas. Esto muchas veces permitirá tomar medidas de prevención antes de enfrentar una nueva amenaza.

-Conocimiento de Negocio: El vCISO no perderá de vista los objetivos estratégicos del negocio y los tendrá siempre en cuenta a la hora de establecer los procedimientos y normas de seguridad de la información.

 

Un típico error es nombrar como responsable de la Seguridad de la Información al responsable del área de Informática. Esto nos lleva a dos errores:

-La Seguridad de la información es mucho más amplio que los temas de TI.

-Será el CISO quien deba controlar y auditar las actividades del departamento de informática, y esto puede suponer un conflicto si este papel lo ejerce el propio jefe de ese departamento.