El CISO es el director de seguridad de la información en una organización. Su función es velar por la ciberseguridad y garantizar en todo momento que la información corporativa está debidamente protegida, salvaguardando así los objetivos de negocio.
El CISO hace años que dejó de ser un profesional meramente técnico y se ha incorporado a los procesos y estrategias de negocio de las empresas cobrando un papel fundamental dentro de las mismas. El avance de las tecnologías de la información y la digitalización de los procesos en las empresas ha propiciado este rol haciendo que hoy día en muchas organizaciones exista un responsable de seguridad a nivel ejecutivo desempeñando este rol.
El rol del CISO debe tener una comunicación real y efectiva con la alta dirección y facilitar el desarrollo de las funciones participando adecuadamente en todas las cuestiones relacionadas con la seguridad. Desde enero de 2021 con la publicación del Real Decreto 43/2021 de seguridad de las redes y sistemas de información (Reglamento NIS), las empresas a las que afecta esta norma están obligadas a contar con un responsable de seguridad, con responsabilidad legal ante la autoridad reguladora correspondiente.
Para lograr los objetivos, un CISO es responsable de anticipar nuevas amenazas y trabajar para evitar que sucedan colaborando con otros profesionales de diferentes departamentos para garantizar que los sistemas de seguridad funcionen y reducir los riesgos ante un ataque.
Entre sus funciones más habituales se incluyen:
- Garantizar la privacidad de los datos generando e implantando políticas de seguridad de la información y supervisando su cumplimiento
- Supervisar la administración del control de acceso a la información y la arquitectura de seguridad. Es el encargado de realizar prácticas comerciales, identificar objetivos, elegir productos y proveedores de seguridad, así como de informar y reportar a dirección cuestiones que afecten a la ciberseguridad de la empresa.
- Implantación de acciones de formación y concienciación a los empleados, así como generar una cultura de seguridad en la empresa.
Para poder desempeñar estas funciones, la persona con este cargo debe ser capaz de dirigir empleados (aunque no siempre suele tenerlos), tener un sólido conocimiento en ciberseguridad y al mismo tiempo ser capaz de comunicar conceptos de seguridad complejos a empleados técnicos y no técnicos. Asimismo, es habitual que estén especializados en gestión de riesgos y auditoría. También deben tener experiencia en metodología de control de acceso, criptografía, telecomunicaciones y seguridad de desarrollo de software, entre otras materias.
