¿Cuáles son las funciones del Responsable de Seguridad de la Información o CISO?

En nuestra entrada anterior os informamos de la entrada en vigor del Real Decreto 43/2021, mediante el cual todas las empresas de servicios esenciales y proveedores de servicios digitales deben designar a su Responsable de Seguridad de la Información o CISO (Chief Information Security Officer).

A grandes rasgos, esta figura debe designarse como muy tarde el 27 de abril del presente año, y se encargará del análisis del estado de la ciberseguridad de su empresa y de presentar ante las autoridades competentes la Declaración de Aplicabilidad, además de velar por su cumplimiento a posteriori (por lo que no será una figura temporal, ni mucho menos).

El 27 de julio, finaliza el plazo para presentar la Declaración de Aplicabilidad. A partir de esta fecha, las empresas que no cumplan con estas obligaciones podrán ser inspeccionadas y sancionadas.

El objetivo de esta normativa es muy claro: que las empresas esenciales alcancen un nivel adecuado de seguridad de la información, considerando que, al ser empresas de servicios indispensables como energéticas, salud, gestión de residuos o alimentación, deben reducir al máximo sus riesgos de sufrir una ciberincidencia que paralice su actividad laboral.

La semana pasada os hablamos en detalle sobre las empresas afectadas por el RD 43/2021. Esta semana os queremos explicar las funciones del CISO o Responsable de Seguridad.

Preguntas y respuestas sobre el Responsable de Seguridad de la Información o CISO

¿Qué hace un CISO o Responsable de Seguridad?

Sus funciones se encuentran recogidas en el artículo 7 del RD 43/2021, que establece:

1. Actuar como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información.
2. Actuar como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia.
3. Se desarrollarán bajo su responsabilidad, entre otras, las siguientes funciones:

• Elaborar y proponer para ser aprobado por la empresa un Plan de Ciberseguridad. Este plan debe incluir las medidas técnicas y organizativas necesarias para gestionar los riesgos detectados en materia de seguridad de las redes y sistemas de información de que dispone la empresa.
  Su finalidad es prevenir y reducir al mínimo los efectos de ciberincidencias que pudieran afectar a la empresa y a sus servicios. Para más información, consulta el artículo 6 del RD 43/2021.
• Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.
• Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad conforme a lo establecido en el artículo 6.2.
• Actuar como promotor y formador por unas buenas prácticas en la organización en materia ciberseguridad.
• Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de servicios esenciales.
• Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.
• Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa.

Como explicamos sobre estas líneas, la figura del CISO requiere de altas capacidades en seguridad de la información y conlleva importantes responsabilidades. El perfil tradicional del “informático de la empresa” se especializa y se vuelve mucho más complejo. No obstante, el Responsable de Seguridad podrá apoyarse en servicios prestados por terceros (empresas de seguridad digital y consultoría informática) para cumplir con sus funciones de forma efectiva y como marca la ley.

Cuenta con Edorteam para guiar a tu empresa en la adaptación al Real Decreto 43/2021.

¿El Responsable de Seguridad tiene que ser un trabajador de la empresa?

No necesariamente, puede serlo un departamento, unidad u órgano colegiado externo a la empresa. No obstante, siempre se debe designar una persona física como representante y un sustituto que asuma sus funciones en casos de ausencia, vacante o enfermedad.

Por la naturaleza y complejidad de sus funciones, recomendamos que el CISO de tu empresa sea un profesional técnico con conocimientos especializados en seguridad informática, a poder ser contratado específicamente para este cargo o, en todo caso, promocionado a este nuevo cargo tras recibir la formación complementaria que pueda necesitar.

El perfil profesional debería contar con las siguientes capacidades:

• Conocimientos informáticos avanzados, a poder ser con titulación universitaria en Ingeniería Informática o similar.
• Conocimientos especializados y experiencia en materia de ciberseguridad desde los puntos de vista organizativo, técnico y jurídico.
• Capacidad para participar en todas las cuestiones relativas a la seguridad, manteniendo una comunicación real y efectiva con la dirección de la empresa.
• Capacidad de independencia con respecto a los responsables de las redes y los sistemas de información de la empresa.

Edorteam, como especialistas en seguridad digital con más de 25 años de experiencia, seremos un valioso apoyo para tu Responsable de Seguridad ayudándole en su formación y nuevas funciones.

Nuestro departamento de IT no solo se encargará de analizar la ciberseguridad de tu empresa y de identificar posibles amenazas, también te propondrá soluciones de software para cumplir con los estándares que exige la normativa. Todo bajo supervisión de nuestro departamento legal, formado por abogados y especialistas en protección de datos para garantizarte pleno cumplimiento jurídico.