a la nostra entrada anterior us informem de l’entrada en vigor de Reial Decret 43/2021, mitjançant el qual totes les empreses de serveis essencials i proveïdors de serveis digitals han de designar el seu Responsable de Seguretat de la Informació o CISO ( Chief Information Security Officer ).
A grans trets, aquesta figura s’ha de designar com a molt tard el 27 d’abril de el present any, i s’encarregarà de l’anàlisi de l’estat de la ciberseguretat de la seva empresa i de presentar les autoritats competents la Declaració de Aplicabilitat , A més de vetllar pel seu compliment a posteriori (pel que no serà una figura temporal, ni de bon tros).
El 27 de juliol, finalitza el termini per presentar la Declaració de Aplicabilitat. A partir d’aquesta data, les empreses que no compleixin amb aquestes obligacions podran ser inspeccionades i sancionades.
L’objectiu d’aquesta normativa és molt clar: que les empreses essencials assoleixin un nivell adequat de seguretat de la informació , Considerant que, a l’ésser empreses de serveis indispensables com energètiques, salut, gestió de residus o alimentació, han de reduir a la màxima seus riscos de patir una ciberincidencia que paralitzi la seva activitat laboral.
La setmana passada us vam parlar en detall sobre les empreses afectades pel RD 43/2021 . Aquesta setmana us volem explicar les funcions de l’CISO o responsable de seguretat.
Preguntes i respostes sobre el responsable de seguretat de la Informació o CISO
Què fa un CISO o responsable de seguretat?
Les seves funcions es troben recollides en l’article 7 de l’RD 43/2021, que estableix:
- Actuar com a punt de contacte amb l’autoritat competent en matèria de supervisió dels requisits de seguretat de les xarxes i sistemes d’informació.
- Actuar com a punt de contacte especialitzat per a la coordinació de la gestió dels incidents amb el CSIRT de referència.
- Es desenvoluparan sota la seva responsabilitat, entre altres, les següents funcions:
- Elaborar i proposar per a ser aprovat per l’empresa un Pla de Ciberseguretat. Aquest pla ha d’incloure les mesures tècniques i organitzatives necessàries per gestionar els riscos detectats en matèria de seguretat de les xarxes i sistemes d’informació de què disposa l’empresa.
La seva finalitat és prevenir i reduir a l’mínim els efectes de ciberincidencias que poguessin afectar a l’empresa i els seus serveis. Per a més informació, consulta el article 6 de l’RD 43/2021 . - Supervisar i desenvolupar l’aplicació de les polítiques de seguretat, normatives i procediments derivats de l’organització, supervisar la seva efectivitat i dur a terme controls periòdics de seguretat.
- Elaborar el document de Declaració d’Aplicabilitat de mesures de seguretat d’acord amb el que estableix l’article 6.2.
- Actuar com a promotor i formador per unes bones pràctiques en l’organització en matèria ciberseguretat.
- Remetre a l’autoritat competent, mitjançant el CSIRT de referència i sense dilació indeguda, les notificacions d’incidents que tinguin efectes pertorbadors en la prestació de serveis essencials.
- Rebre, interpretar i supervisar l’aplicació de les instruccions i guies emanades de l’autoritat competent, tant per a l’operativa habitual com per a l’esmena de les deficiències observades.
- Recopilar, preparar i subministrar informació o documentació a l’autoritat competent o el CSIRT de referència, a la seva sol·licitud o per pròpia iniciativa.
Com vam explicar sobre aquestes línies, la figura de l’CISO requereix de altes capacitats en seguretat de la informació i comporta importants responsabilitats. El perfil tradicional del “informàtic de l’empresa” s’especialitza i es torna molt més complex. No obstant això, el responsable de seguretat podrà recolzar-se en serveis prestats per tercers (empreses de seguretat digital i consultoria informàtica) per complir les seves funcions de forma efectiva i com marca la llei.
Compta amb Edorteam per guiar la teva empresa en l’adaptació a el Reial Decret 43/2021.
Edorteam, un valuós suport per al teu CISO
Fem costat a la teva empresa en la seva adaptació al Reial Decret 43/2021 amb el Pla CISO Assessor, fes-nos una consulta sense compromís.
El responsable de seguretat ha de ser un treballador de l’empresa?
No necessàriament, ho pot ser un departament, unitat o òrgan col·legiat extern a l’empresa. No obstant això, sempre s’ha de designar una persona física com a representant i un substitut que assumeixi les seves funcions en casos d’absència, vacant o malaltia.
Per la naturalesa i complexitat de les seves funcions, recomanem que el CISO de la teva empresa sigui un professional tècnic amb coneixements especialitzats en seguretat informàtica , Si pot ser contractat específicament per a aquest càrrec o, en tot cas, promocionat a aquest nou càrrec després de rebre la formació complementària que pugui necessitar.
El perfil professional hauria de comptar amb les següents capacitats:
- Coneixements informàtics avançats , Si pot ser amb titulació universitària en Enginyeria Informàtica o similar.
- Coneixements especialitzats i experiència en matèria de ciberseguretat des dels punts de vista organitzatiu, tècnic i jurídic.
- Capacitat per participar en totes les qüestions relatives a la seguretat, mantenint una comunicació real i efectiva amb la direcció de l’empresa.
- capacitat de independència pel que fa als responsables de les xarxes i els sistemes d’informació de l’empresa.
Edorteam, com a especialistes en seguretat digital amb més de 25 anys d’experiència, serem un valuós suport per al teu responsable de seguretat ajudant-lo en la seva formació i noves funcions.
El nostre departament d’IT no només s’encarregarà d’analitzar la ciberseguretat de la teva empresa i d’identificar possibles amenaces, també et proposarà solucions de programari per complir amb els estàndards que exigeix la normativa. Tot sota supervisió del nostre departament legal , Format per advocats i especialistes en protecció de dades per garantir-te ple compliment jurídic.
¿Realmente el CISO necesita ser un empleado interno? ¡Qué debate interesante!
¿El CISO debe ser parte de la empresa o un externo? ¡Opiniones! 🤔🔒
El CISO debería ser parte de la empresa. Solo así podrá conocer a fondo los procesos y necesidades de seguridad. ¡No se puede proteger lo que no se conoce! Además, la lealtad y compromiso con la empresa son fundamentales para garantizar la seguridad de la información.🔒💼
¿Realmente un CISO necesita ser empleado de la empresa? ¡Interesante debate! 🤔
¡Totalmente de acuerdo! Un CISO externo puede aportar una perspectiva fresca, imparcial y especializada a la empresa. La clave está en encontrar al profesional adecuado, independientemente de si es empleado o contratado externamente. ¡El debate está en marcha! 🔥
¿Pero en serio, un CISO debe ser empleado de la empresa? ¡Qué dilema! 🤔
¡Claro que sí! Un CISO interno con conocimiento profundo de la empresa puede ser crucial para la seguridad. Sin embargo, también hay ventajas en contratar un CISO externo con perspectiva fresca. En el mundo actual, la diversidad de enfoques es clave. ¡Siempre hay más de una forma de abordar un dilema! 😉
¿Crees que un CISO debe ser un empleado interno o externo? Opiniones variadas.
En mi opinión, un CISO debería ser un empleado interno para garantizar una comprensión profunda de la empresa y sus necesidades de seguridad. Los externos pueden carecer de la misma dedicación y conocimiento. ¡La lealtad y la experiencia interna son clave!
¿Crees que el CISO debería ser interno o externo? ¡Opiniones dividas! 🤔💼
¡Definitivamente interno! Solo alguien dentro de la organización conoce a fondo los riesgos y necesidades de seguridad. Un CISO externo podría carecer de la visión y el compromiso necesarios. ¡La seguridad de la empresa es asunto de todos, no de un consultor externo! 💻🔒
¿Crees que un CISO debería ser parte interna o externa de la empresa? Opiniones.
¿Realmente necesitamos un CISO interno o es mejor externalizar la seguridad? ¡Debate abierto!
Depende de la empresa y sus necesidades específicas. Un CISO interno puede tener un conocimiento profundo de la organización, pero la externalización puede brindar una perspectiva fresca y especializada. En seguridad, la clave es la eficacia, no la ubicación del experto. ¡Ambas opciones tienen sus ventajas y desventajas!