Más de 20 directores de la Seguridad de la Información han trabajado en la elaboración del primer Libro Blanco del CISO en España, un documento que pretende servir de guía para los profesionales de este sector, definiendo detalladamente cuáles deben ser sus responsabilidades y funciones, y que se presentará el próximo 23 de octubre en el marco de ENISE, el Encuentro Internacional de Seguridad de la Información, organizado por INCIBE.
“Con este libro tenemos la oportunidad de reivindicar la figura del CISO en España”, declara Roberto Baratta, Global Executive VP and Director of Loss Prevention, Business Continuity and Security de Abanca y Board Member de ISMS Forum, bajo el marco del VII Foro de la Ciberseguridad de la asociación.
El papel del CISO (Chief Information Security Officer), director de la Seguridad de la Información en español, es hoy más complejo que nunca. Durante los últimos años, los departamentos de seguridad han tenido que enfrentarse a un panorama de amenazas cada vez más difícil y el CISO ha desempeñado un papel mucho más visible dentro de las organizaciones. Como resultado, el rol del CISO ha experimentado una importante evolución y acercamiento al negocio.
“Hay muchas empresas que no tenían la necesidad de tener un responsable de la seguridad de la información, y ahora tienen que designar una persona específica para desempeñar esas funciones”, comenta Carles Solé, CISO de CaixaBank, durante la presentación de la iniciativa. Mientras los procesos tecnológicos avanzan, los organismos públicos y los propios lobbies profesionales amenazan con un marco regulatorio cada vez más difícil, donde las empresas deben adaptarse al Reglamento Europeo de Protección de Datos, la Directiva NIS, la Directiva PSD-2, etc., y donde la figura del CISO tiene un papel fundamental para cohesionar los requerimientos normativos en materia de Seguridad de la Información.
Por otra parte, la responsabilidad del CISO dentro de las compañías puede solaparse con otras funciones desempeñadas por el CCO (Chief Communications Officer) o el DPD (Delegado de Protección de Datos), de última creación. “Se pone muchísima exigencia en las funciones del CISO, en cambio éstas no se especifican en ningún lugar. Tenemos una normativa muy precisa sobre qué color de pelo y qué zapatos debe llevar un DPD, ¿qué pasa con el CISO? Existen estructuras muy definidas para profesiones nuevas, pero no somos capaces, al menos en el contexto europeo, de definirlas para el CISO”.
Las funciones que cada uno de estos actores desempeñe dentro de la organización deberán definirse ad-hoc según la idiosincrasia de cada una sin olvidar la necesaria segregación de funciones entre los distintos roles, que garantice transparencia, independencia y control. “Las compañías necesitan un marco de referencia, y qué mejor que ese marco sea elaborado por los que están en el sector”, añade Solé.
Por todo ello, ISMS Forum Spain ha impulsado la iniciativa de elaborar el primer Libro Blanco del CISO en España que, con total seguridad, servirá para dibujar una primera aproximación de las responsabilidades, funciones, modelos organizativos y soft skills que debe reunir el perfil del CISO. El documento se presentará el 23 de octubre en el marco de ENISE, el Encuentro Internacional de Seguridad de la Información, organizado por INCIBE.