Quines són les funcions de l’responsable de seguretat de la Informació o CISO?

a la nostra entrada anterior us informem de l’entrada en vigor de Reial Decret 43/2021, mitjançant el qual totes les empreses de serveis essencials i proveïdors de serveis digitals han de designar el seu Responsable de Seguretat de la Informació o CISO ( Chief Information Security Officer ).

A grans trets, aquesta figura s’ha de designar com a molt tard el 27 d’abril de el present any, i s’encarregarà de l’anàlisi de l’estat de la ciberseguretat de la seva empresa i de presentar les autoritats competents la Declaració de Aplicabilitat , A més de vetllar pel seu compliment a posteriori (pel que no serà una figura temporal, ni de bon tros).

El 27 de juliol, finalitza el termini per presentar la Declaració de Aplicabilitat. A partir d’aquesta data, les empreses que no compleixin amb aquestes obligacions podran ser inspeccionades i sancionades.

L’objectiu d’aquesta normativa és molt clar: que les empreses essencials assoleixin un nivell adequat de seguretat de la informació , Considerant que, a l’ésser empreses de serveis indispensables com energètiques, salut, gestió de residus o alimentació, han de reduir a la màxima seus riscos de patir una ciberincidencia que paralitzi la seva activitat laboral.

La setmana passada us vam parlar en detall sobre les empreses afectades pel RD 43/2021 . Aquesta setmana us volem explicar les funcions de l’CISO o responsable de seguretat.

Preguntes i respostes sobre el responsable de seguretat de la Informació o CISO

Què fa un CISO o responsable de seguretat?

Les seves funcions es troben recollides en l’article 7 de l’RD 43/2021, que estableix:

1. Actuar com a punt de contacte amb l’autoritat competent en matèria de supervisió dels requisits de seguretat de les xarxes i sistemes d’informació.
2. Actuar com a punt de contacte especialitzat per a la coordinació de la gestió dels incidents amb el CSIRT de referència.
3. Es desenvoluparan sota la seva responsabilitat, entre altres, les següents funcions:

• Elaborar i proposar per a ser aprovat per l’empresa un Pla de Ciberseguretat. Aquest pla ha d’incloure les mesures tècniques i organitzatives necessàries per gestionar els riscos detectats en matèria de seguretat de les xarxes i sistemes d’informació de què disposa l’empresa.
  La seva finalitat és prevenir i reduir a l’mínim els efectes de ciberincidencias que poguessin afectar a l’empresa i els seus serveis. Per a més informació, consulta el article 6 de l’RD 43/2021 .
• Supervisar i desenvolupar l’aplicació de les polítiques de seguretat, normatives i procediments derivats de l’organització, supervisar la seva efectivitat i dur a terme controls periòdics de seguretat.
• Elaborar el document de Declaració d’Aplicabilitat de mesures de seguretat d’acord amb el que estableix l’article 6.2.
• Actuar com a promotor i formador per unes bones pràctiques en l’organització en matèria ciberseguretat.
• Remetre a l’autoritat competent, mitjançant el CSIRT de referència i sense dilació indeguda, les notificacions d’incidents que tinguin efectes pertorbadors en la prestació de serveis essencials.
• Rebre, interpretar i supervisar l’aplicació de les instruccions i guies emanades de l’autoritat competent, tant per a l’operativa habitual com per a l’esmena de les deficiències observades.
• Recopilar, preparar i subministrar informació o documentació a l’autoritat competent o el CSIRT de referència, a la seva sol·licitud o per pròpia iniciativa.

Com vam explicar sobre aquestes línies, la figura de l’CISO requereix de altes capacitats en seguretat de la informació i comporta importants responsabilitats. El perfil tradicional del “informàtic de l’empresa” s’especialitza i es torna molt més complex. No obstant això, el responsable de seguretat podrà recolzar-se en serveis prestats per tercers (empreses de seguretat digital i consultoria informàtica) per complir les seves funcions de forma efectiva i com marca la llei.

Compta amb Edorteam per guiar la teva empresa en l’adaptació a el Reial Decret 43/2021.

El responsable de seguretat ha de ser un treballador de l’empresa?

No necessàriament, ho pot ser un departament, unitat o òrgan col·legiat extern a l’empresa. No obstant això, sempre s’ha de designar una persona física com a representant i un substitut que assumeixi les seves funcions en casos d’absència, vacant o malaltia.

Per la naturalesa i complexitat de les seves funcions, recomanem que el CISO de la teva empresa sigui un professional tècnic amb coneixements especialitzats en seguretat informàtica , Si pot ser contractat específicament per a aquest càrrec o, en tot cas, promocionat a aquest nou càrrec després de rebre la formació complementària que pugui necessitar.

El perfil professional hauria de comptar amb les següents capacitats:

• Coneixements informàtics avançats , Si pot ser amb titulació universitària en Enginyeria Informàtica o similar.
• Coneixements especialitzats i experiència en matèria de ciberseguretat des dels punts de vista organitzatiu, tècnic i jurídic.
• Capacitat per participar en totes les qüestions relatives a la seguretat, mantenint una comunicació real i efectiva amb la direcció de l’empresa.
• capacitat de independència pel que fa als responsables de les xarxes i els sistemes d’informació de l’empresa.

Edorteam, com a especialistes en seguretat digital amb més de 25 anys d’experiència, serem un valuós suport per al teu responsable de seguretat ajudant-lo en la seva formació i noves funcions.

El nostre departament d’IT no només s’encarregarà d’analitzar la ciberseguretat de la teva empresa i d’identificar possibles amenaces, també et proposarà solucions de programari per complir amb els estàndards que exigeix la normativa. Tot sota supervisió del nostre departament legal , Format per advocats i especialistes en protecció de dades per garantir-te ple compliment jurídic.