Es importante explicar en la empresa los diferentes roles que conforman la Seguridad de la Información y responsabilidades aplicadas a cada uno de los mismos, sus diferencias etc.
Al margen de que explicamos los diferentes perfiles encargados, es importante recalcar que dependerá mucho del tamaño de la empresa. Existen casos como pueden ser las empresas pequeñas (startups) que debe ser responsable de Seguridad de la empresa el propio CEO o algún integrante de C-Suite. Según vaya creciendo, se podrá ir delegando estos cargos.
Sabemos la importancia que existe hoy en día en el área digital respecto a la ejecución del negocio de las empresas el tener una buena y bien aplicada seguridad informática de la misma, por lo que tener claro todos estos perfiles, normas y responsabilidades es un punto vital para poder entender la Seguridad de la información a nivel de empresas y quien lo debe gestionar correctamente.
Como dijimos anteriormente da igual que seas una pequeña empresa, mediana o grande, al final es lógico y es necesario tener en cuenta estos puntos de seguridad de la información para poder crecer de forma robusta sin riesgos importantes que afecten a la producción y negocio de la empresa, pudiendo incluso hundir a la misma. (en caso de abandono y no tener en cuenta nada más que lo básico respecto a la seguridad de la información).
Pasemos inicialmente a explicar los diferentes roles que están ligados en parte más o menos importante a la gestión y ejecución de la Seguridad de la información de las compañías.
1 Roles y responsabilidades en Seguridad de la Información
Los Roles y responsabilidades en el area de Seguridad Informática son muy importantes de entender donde cualquier empresa puede tener bien localizados para hacer frente estos puntos a tener en cuenta como son la seguridad de la información, seguridad informática, seguridad física de la compañía y seguridad de los datos. Puntos clave hoy en día que deben ser tratados por profesionales de este area, bien preparados para estas tareas.
Es puesto importante para empujar la importancia de la Ciberseguridad y darle valor para ser implementada dentro de la compañía. Podemos decir que es un punto vital para el empuje de la Seguridad de la información en la empresa y todo lo que conlleva. Aunque el CEO no tiene de objetivo principal centrarse en la seguridad informática de la compañía, debe entender y valorar la importancia que conlleva su buena implementación y poder garantizar que la empresa cuente con los recursos y la estructura organizativa adecuados para gestionar de manera efectiva la seguridad de la información. Puede ayudar junto con la junta directiva, como se expone a continuación para que la seguridad informática de la empresa esté unida con los objetivos comerciales, negocio y las prioridades que posee la empresa.
CEO es la persona encargada de tomar decisiones en contrataciones importantes o necesarias para el personal del equipo (dependiendo del tamaño de la empresa, puede delegar parte de estos términos, pero lo que es seguro es que puestos importantes siempre pasan por esta persona).
En caso de ser importante para su empresa, debe ser un CEO que le dé empuje y vía libre a la ejecución de controles de Ciberseguridad. Además de permitir realizar acotamientos de riesgos para que amenazas Cibernéticas no afecten en misma escala de daño según donde se produzcan dentro de la Compañía. Es decir, que gestiona y es interesante e importante estar al tanto correctamente desde arriba los riesgos que pueden ocurrir al nivel de Seguridad IT en la empresa. Si le añadimos que pueda tener conocimientos avanzados en ese área de Seguridad IT sería un dos en uno, porque sabrá valorar y aplicar desde arriba de la organización un punto de apoyo importante para el área del equipo que tenga que implementar medidas de seguridad.
Como punto importante que puede empujar fuerte desde su posición de CEO, es aplicar y apoyar la cultura de Ciberseguridad aplicada a su compañía, se le suele llamar como “Cultura Organizativa de Seguridad IT” donde se fomenta su importancia a todos los empleados y favorecerá una comunicación, ejecución y seguimiento idóneos para conseguir el éxito de evitar buen número de riesgos en el uso de la información de la empresa.
- Responsable de la seguridad de la información a nivel de toda la empresa.
- Es la persona encargada de establecer políticas y estrategias de seguridad informática para salvaguardar la información y data de la compañía. Incluyendo la responsabilidad de Auditor interno de Ciberseguridad.
- Supervisa la implementación de controles y medidas de seguridad, y se asegura de que la empresa cumpla con las leyes y regulaciones aplicables para evitar posibles multas e infracciones reputacionales.
- Es la persona encargada de unir y conectar la Seguridad de la información de la empresa con los puestos como CSO (en caso de existir) y sino existe CSO, sería el encargado de transmitirlo a C-Suite de alta dirección (CEO, CMO, CFO etc.).
La conexión entre ambas partes, de C-Suite con el o los profesionales encargados de este punto (como es el caso de CISO o CSO), son vitales para la buena y agil implementación para estar alineados los dos puntos importantes en este escenario que son:
- Seguridad de la Información de la empresa bien aplicada y continuada.
- Aplicar estas reglas de Seguridad IT teniendo en cuenta la estrategia comercial y puntos de negocio de la propia empresa.
Resumiendo: CISO puede ser también encargado de transmitir y ser puente entre los profesionales IT y alta dirección (sobre todo en caso de no existir CSO). No olvidando la continuidad del negocio. Pudiendo hablar de forma clara y entendible de la importancia de temas de Seguridad sin tecnicismos con Dirección, además de ser también punto de apoyo para los profesionales IT que ejecutan seguridad en su equipo, entendiendo y ayudando a su correcta implementación. Eligiendo correctamente las técnicas y ejecución correcta de esos cambios que se aplicarán en enfoque de seguridad de la información de la empresa.
En caso de existir este puesto en la compañía es uno de los puntos de unión al respecto con C-Suite y en muchos casos siendo más especializado CISO también puede entrar a esta responsabilidad. En algunas empresas es importante remarcar que perfil de CSO (Chief Security Officer) puede ser igual a CISO (Chief Information Security Officer).
El CSO es el encargado de controlar, chequear y coordinar implementaciones activas de seguridad que existen en toda la organización. Es encargado también de realizar y establecer políticas de seguridad y es el encargado de coordinar con responsables de diferentes áreas de la compañía para garantizar que la seguridad se tome en cuenta y sea aprovechada por todos los empleados de los diferentes departamentos, teniendo siempre en cuenta los puntos clave donde se tiene que poner enfoque de más control de riesgos.
El CSO es el responsable de garantizar que la empresa aborda y cumple con las leyes y regulaciones relacionadas con temas de Seguridad de información y Seguridad física que sean obligatorias de cumplir por parte de la compañía.
¿Qué diferencias existen entre CSO y CISO?
Una de las preguntas que muchos os podéis hacer es la expuesta que vamos a resolver al detalle a continuación.
Por dejar claros los puntos que pueden existir entre ambas profesiones. Vamos a detallaros los puntos diferenciales en caso de existir ambos puestos en una organización.
El CSO (Chief Security Officer) y el CISO (Chief Information Security Officer) son dos roles de liderazgo distintos dentro de una organización. Es cierto que sus responsabilidades pueden estar relacionadas y a veces se superponen. Es también cierto que en algunas empresas existe solo uno de esos dos perfiles (porque no es necesario ampliarlo tanto, dependerá del tamaño de la organización y la importancia que le dan a este punto de la Seguridad de la empresa y Seguridad de la información).
Las mayores diferencias entre ambos perfiles se presentan a continuación:
- El CSO es responsable de la seguridad general de la empresa (física y de la información). CISO se encarga y es responsable de la seguridad de la información de la empresa (no de la parte física).
- El perfil de responsabilidad de CSO incluye la supervisión y coordinación de las implementaciones que se aplican en el enfoque de seguridad de toda la empresa a través de políticas, procedimientos y gestión de riesgos de la Seguridad empresarial. Además del cumplimiento de leyes y regulaciones aplicables relacionadas con la seguridad como explicaremos un poco más adelante.
- El perfil de responsabilidad CISO está enfocado en la seguridad de la información específicamente. Para ello realizando tareas como son la identificación, evaluación de riesgos de seguridad de la información, aplicación de políticas, procedimientos y auditorías internas relacionadas con la seguridad de la información.
- CSO informa directamente al grupo C-Suite (CEO, COO, CMO etc.). La importancia y posición de CSO será igual a la dependencia e importancia que le otorgue la empresa al punto de la seguridad física y digital de la información de una compañía.
- CISO suele informar al CIO (Chief Information Officer), también al CSO (depende del tamaño y forma organizativa de cada compañía).
Resumiendo: Si el tamaño es grande y tiene como punto muy importante la gestión de la seguridad de la información de la compañía, el perfil de CISO es necesario a la vez que el CSO. Si es empresa mediana en muchos casos, un CSO puede tener responsabilidades de CISO y viceversa en la seguridad general de la empresa (física e informática). E incluso se ha visto casos de empresas tener CISO enfocado en la seguridad de la información y el target de CSO serlo uno de los roles Directivos de la empresa en el área de C-Suite.
Es importante comentar que CSO o CISO (Sobre todo CSO) también pueden ayudar a preparar a la empresa para cumplir los estándares de internacionales de Seguridad que necesite o requiera cada organización, dependiendo de su industria junto a regulaciones dependiendo de las leyes aplicables a la zona donde está instalada su sede y donde aplique su negocio.
Es lógico y normal que CIO coordine tanto con CISO como CSO para entre todos conseguir que las políticas, normas y procedimientos decididos de implementar respecto de la seguridad informática de la empresa acaben teniendo éxito al estar estos perfiles coordinados entre todos ellos.
El objetivo real es detectar vulnerabilidades en los sistemas, redes, aplicaciones y dispositivos de la compañía antes de que los atacantes (hackers) lo hagan y puedan entrar en los sistemas empresariales.
Una vez identificadas las vulnerabilitades en la empresa por parte del Pentester, es momento de corregirlas estas vulnerabilidades detectadas. Es recomendable que parte de tu equipo de seguridad se convierta en Pentester y también en algunos casos tener un perfil especializado en esta forma de comprobación de seguridad empresarial.
Pueden existir más perfiles de Seguridad que dependen de los descritos anteriormente, solamente dejamos algunos casos más de ese tipo:
- Administrador de seguridad: Responsable de implementar y mantener las políticas y procedimientos de seguridad establecidos por el CISO. Configuración y administración de hardware de seguridad como son los firewalls, sistemas de detección, prevención de intrusiones, antivirus y seguridad de servidores.
- Especialista en seguridad de la información: Especialistas en seguridad de la información se centran en áreas específicas de la seguridad informática, como son la evaluación de riesgos, la criptografía, la autenticación y autorización, o la seguridad de aplicaciones.
- Ingeniero de seguridad de red: Este rol se encarga de securizar la red de la empresa, incluidos los dispositivos de red, servidores y sistemas de comunicación. Los ingenieros de seguridad de red son responsables de monitorear y proteger la red contra amenazas y vulnerabilidades.
- Auditor de seguridad: El que se encarga de auditor de seguridad es responsable de revisar y evaluar la efectividad de las políticas y controles de seguridad implementados en las empresas. Se encargan de realizar auditorías internas y externas para verificar que todo se está cumpliendo de forma efectiva.
- Analista de seguridad de aplicaciones: Es un Rol encargado de que las aplicaciones desarrolladas en la empresa sean seguras. Estos analistas de seguridad de aplicaciones revisan el código fuente, identifican posibles vulnerabilidades y trabajan con los desarrolladores para corregir los problemas de seguridad.
- Especialista en respuesta a incidentes: Cuando ocurre un incidente de seguridad, como una violación de datos o un ataque cibernético, los especialistas en respuesta a incidentes son responsables de investigar y gestionar la situación. Puede ser interno o externo para estos casos.
- Capacitador en seguridad de la información: Este es un rol encargado de comunicar y capacitar a los empleados de su empresa sobre la seguridad informática necesaria para evitar agujeros de seguridad en las empresas como puede ser el enseñar la creación de contraseñas seguras, detección de correos electrónicos de phishing etc. Estos casos, es cierto que las compañias suelen poner estos documentos online para que los empleados puedan leer este tipo de capacitación.
2 Estándares Internacionales Seguridad Informática
Algunos estándares internacionales de seguridad de la información que pueden obtener las empresas para demostrar que cumplen garantías en seguridad de la información de la compañía y son muy conocidos son los siguientes:
Os dejamos también acceso a la pagina oficial de ISO 27001 si queréis más información directa de la norma.
Puntos importantes respecto a preservar la seguridad de la información cumpliendo la ISO 27001 son los siguientes:
- Confidencialidad.
- Integridad.
- Disponibilidad de la información.
- Minimización de riesgos de seguridad de la información.
Uno de los objetivos de esta ISO es sin duda garantizar la ciberseguridad de los sistemas de información, por ello perfiles como el CSO o CISO de una empresa tiene sentido que quieran aplicar este estándar como parte de sus objetivos para mejorar la seguridad de la información de la empresa que están gestionando a ese nivel de Seguridad.
AENOR es una compañía conocida que aplica regularmente esta norma internacional (respecto a la seguridad de información) a empresas. Por ello, es interesante mostraros su explicación al respecto para entender la importancia de la ISO 27001.
CSF 2.0 | Actualizaciones 2023 2024 (PDF)
PCI DSS es una respuesta global y unificada para combatir los fallos de seguridad en los datos de tarjetas de pago. Se van actualizando continuamente mejorando los estándares de esta industria para mejorar la seguridad en este aspecto. Dependiendo de tu modelo de negocio y tamaño del mismo puede ser interesante o no en tu caso cumplirlo.
En esta imagen se os muestran los 15 estándares de seguridad PCI que son aplicados en el proceso de pago. Puedes obtener más información mira Pagina Oficial PCI DSS.
Básicamente todas las organizaciones que manejan datos personales de ciudadanos de la UE deben cumplir con el GDPR, dentro de esta protección existen medidas de seguridad para proteger este tipo de datos de las personas físicas (de la UE) que albergan las empresas en lo que afecte el tratamiento de datos personales y a la libre circulación de este tipo de datos. Más información en Pagina Oficial GDPR.
Existen más normas importantes, dependiendo del tipo de empresa que puede cumplimentar y puede interesar, pero hemos mostrado algunas de las más conocidas y relevantes a nivel internacional enfocadas en las seguridad de la información y datos.
