Cada vez más, el papel del CISO (Chief Information Security Officer) se vuelve fundamental al interior de las organizaciones. La razón principal se debe a que su actividad está enfocada a garantizar la seguridad de la información dentro de las mismas.
El flujo de información dentro de una empresa es uno de los aspectos más relevantes y que requieren mayor atención. Poseer un estricto control de las actividades que generan y comparten información, requiere de una serie de medidas encaminadas a ofrecer la disponibilidad, integridad y confiabilidad de los datos. Es en ese punto donde el Chief Information Security Officer cobra una especial importancia.
Según datos de la “Encuesta Global 2007 de Seguridad & Privacidad” de la empresa Deloitte, el 80 % de los ataques a una organización provienen de errores humanos. Respecto a las brechas de seguridad, los ataques por medio de correo electrónico ocupan el primer lugar con un 52%, le siguen los virus con un 40% y el phishing con un 35%. Sin embargo, los ataques internos producidos por los mismos empleados poseen una efectividad de 39%.
Es por lo anterior que día a día, son más las empresas que contratan a un encargado de la seguridad de la información.
¿Qué es el CISO?
El Chief Information Security Officer se encarga, primordialmente, de la seguridad de la información dentro de una organización e implementa las medidas de control necesarias en torno a ésta. Sin embargo, entre sus principales actividades también destacan la concientización de usuarios, análisis de riesgos, administración de seguridad, definición de normas respecto al uso de la información, seguridad física del equipo de cómputo, capacitación y soporte, entre otras.
Hasta hace pocos años, las actividades relacionadas a la seguridad de la información estaban a cargo del área de sistemas o de informática. Empero, el aumento en los ataques informáticos y la elevada cantidad de información que se maneja al interior de las empresas ha hecho necesario crear una función especializada en la protección de los datos.
Tipos de CISO
De manera concreta existen tres tipos de CISO. El primero de ellos corresponde a un perfil empresarial, pues su conocimiento y experiencia se encuentran enfocados a particpar en el correcto cumplimiento de los objetivos de la organización. Este tipo de CISO se encuentra estrechamente vinculado con el área jurídica, de recursos humanos e informática.
Existe también el tipo técnico al cual se le denomina CSO. En este caso su perfil le permite ubicar las vulnerabilidades, verificar su corrección y salvaguardar la integridad de la información que reside y viaja sobre redes, equipos y sistemas informáticos de la compañía. Por supuesto, su función dentro de la empresa no es menos importante, pues se encarga de buscar y custodiar las pruebas electrónicas necesarias para poder impugnar a quienes han hecho mal uso de la información.
Finalmente se encuentra el tipo metodológico. Este último utiliza diversos procedimientos para la protección de los datos tales como ITIL, Cobit e ISO27001 y el plan de recuperación en casos de desastres (DRP, por sus siglas en inglés). De acuerdo a la necesidad de cada empresa, en cuanto a resguardo de la información, será el tipo de CISO que se contrate para cumplir con los objetivos en ese rubro.
Funciones
Fundamentalmente, el CISO se encarga de crear la política de seguridad y de ejecutar las operaciones de TI (Tecnologías de la Información). Entre sus funciones y responsabilidades más destacadas se encuentran:
- Administración de la seguridad de la información.
- Desarrollo y gestión de las políticas de seguridad informática.
- Crear conciencia en materia de seguridad entre el personal de la organización y las partes interesadas.
- Evaluación de riesgos y control de los activos de información de la organización.
- Implementar medidas preventivas respecto a la vulnerabilidad de los activos de la empresa.
Importancia del CISO dentro de la organización
El papel del CISO es extremadamente importante al interior de de la organización, pues su opinión es de suma relevancia para la toma de decisiones y la protección de activos.
Generalmente el director o la alta gerencia no necesariamente deben conocer los aspectos fundamentales de la seguridad física y lógica. Por ello, el contar con un encargado de la seguridad de la información le permitirá centrar sus esfuerzos en las actividades que permitan el crecimiento y tener la plena certeza de que los datos que circulen por la empresa estarán siempre bien resguardados.
Fuente | Seguridad en America
No hay comentarios.:
Publicar un comentario