Hace unos días preparaba una introducción del rol y características del CISO para un buen amigo y creo que por su “generalidad” puede ser interesante que lo incluya aquí a modo de serie. Como siempre, comentarios bienvenidos.
El CISO (Chief information security officer) es el ejecutivo de alto nivel dentro de una organización responsable de establecer y mantener la visión empresarial, la estrategia y el programa para garantizar que los activos de información están adecuadamente protegidos.
El CISO dirige al personal en la identificación, desarrollo, implementación y mantenimiento de los procesos en toda la organización para reducir los riesgos de la información y la tecnología de la información (TI), así como responde a los incidentes, establece normas y controles apropiados, y dirige en el establecimiento y aplicación de políticas y procedimientos. El CISO es generalmente responsable del cumplimiento relacionado con la seguridad de la información.
Responsabilidades y Funciones
Salvaguardar los activos de la empresa, la propiedad intelectual, cumplimiento normativo y los sistemas informáticos.Identificar los objetivos de protección, los objetivos y métricas en consonancia con el plan estratégico corporativo. Administrar el desarrollo y la aplicación de la política de seguridad global, normas, directrices y procedimientos para garantizar el mantenimiento continuo de la seguridad de la información y la protección de activos.Definir la arquitectura de seguridad de red, acceso a la red y las políticas de monitorización.Definir estrategias de seguridad y posición misma en la organización para orientar los objetivos de la seguridad en la consecución de los objetivos de la organización.Educación y sensibilización de los empleados. Concienciación y cultura de seguridad en toda la organización destacando el valor que aporta. Toda la organización debe entender el propósito de la seguridad.Trabajar con otros ejecutivos para dar prioridad a las iniciativas de seguridad y el gasto sobre la base de la gestión del riesgo apropiadas y / o metodología financiera.Desarrollar e implantar un sistema de gestión de la seguridad que permita identificar y dar respuesta a los nuevos riesgos de la organización.Estar a cargo de la planificación de respuesta de incidentes, así como la investigación de vulneración de la seguridad, y ayudar con las cuestiones disciplinarias y legales relacionados con las infracciones que sean necesarias.Trabajar con consultores externos según sea apropiado para las auditorías de seguridad independientes.Dirigir y supervisar permanentemente las actividades de la unidad con el objeto de establecer medidas de mejora continua.Formular y conducir el proceso de Planificación Estratégica en Tecnologías de Información y Comunicación.Desarrollar el plan operativo anual del área de seguridad.Formular el presupuesto anual de la unidad y evaluar su ejecución.Formular y conducir la elaboración de los documentos normativos de gestión para el ordenamiento y mejora de las acciones a desarrollar por el resto de áreas.Dirigir el Proceso de desarrollo de Políticas y Normativas de Uso y desarrollo de servicios. Establecer, revisar, aprobar y mantener actualizada, junto con el Comité de Seguridad, la Política de Seguridad de la organización y las responsabilidades generales en materia de seguridad de la información en cada área de la organización.Aprobar las principales iniciativas para el incremento del nivel de seguridad de la información.Supervisar los cambios significativos en la exposición de los recursos de información frente a las amenazas más importantes.Supervisar los incidentes relativos a la seguridad.Garantizar que la seguridad sea parte del proceso de planificación de la información y un requisito más del negocio. Evaluar la pertinencia y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios.El próximo día, los Atributos de un CISO…
Autor: Samuel Linares
Fuente: InfoSecMan Blog
