El CISO no será obligatorio en pymes (de momento)
La ley de seguridad de redes y sistemas de información ya obliga a las grandes empresas a disponer de estos perfiles.
La figura del CISO, también conocido como el Chief Information Security Officer, es obligatoria para grandes empresas. La ley de seguridad de las redes y sistemas de información obliga a las empresas y a la Administración a disponer de partners especializados en el mundo de la ciberseguridad, tal y como confirman en un análisis realizado por la revista especializada computing.com.
Dicho análisis confirma también que, de momento, las pymes no tienen la obligación de introducir esta figura. Aunque es muy probable que en el futuro sea necesario implantar en ellas también estas medidas.
Empresas afectadas por esta obligación
Las empresas más afectadas por esta medida son las que se ocupan de la gestión del agua, energía, empresas financieras, administraciones públicas, empresas que se dedican al sector de la alimentación y a la salud.
Además de eso, la normativa afecta a aquellas compañías que estén involucradas en acciones de Defensa Nacional y que tengan obligaciones específicas. Según la nueva regulación, dichas compañías deberán tener una política de seguridad, una de gestión de terceros para poder controlar el riesgo y tendrán que disponer también de planes de recuperación, aparte deberán poder comunicar incidentes y disponer de una declaración de aplicabilidad.
Entre las novedades que contempla la nueva regulación destaca la obligación de crear la figura del responsable de seguridad de la Información (RSI). Este profesional tendrá una responsabilidad legal frente a la autoridad reguladora competente. En ese sentido, con la entrada en vigor de esta norma, se deben adaptar y preparar las empresas para cumplir con el nuevo marco regulatorio. De lo contrario podrían tener que dar cuenta ante la autoridad competente si no lo hacen.
Políticas de seguridad
Los nuevos CISO, según explican desde Computing, tendrán que plantear todas las políticas de seguridad de la empresa. Del mismo modo, su función pasa por ser gestores de normas y de los riesgos de seguridad. También tendrán que desarrollar y aplicar las políticas pertinentes y remitir toda la información a la Administración.
Entre las funciones principales de los CISO cabe reseñar que estos profesionales serán capacitadores dentro de la propia organización. Serán ellos quienes asuman la responsabilidad y el compromiso en materia de seguridad.
Es por ello por lo que se indica que estos profesionales podrán ser “una persona o un grupo, aunque debe siempre figurar una persona física”. De igual forma se le exigirán conocimientos especializados organizativos, técnicos y jurídicos.
