InfoSecMan Blog

Hace unos días preparaba una introducción del rol y características del CISO para un buen amigo y creo que por su “generalidad” puede ser interesante que lo incluya aquí a modo de serie. Como siempre, comentarios bienvenidos.

El CISO (Chief information security officer) es el ejecutivo de alto nivel dentro de una organización responsable de establecer y mantener la visión empresarial, la estrategia y el programa para garantizar que los activos de información están adecuadamente protegidos.

El CISO dirige al personal en la identificación, desarrollo, implementación y mantenimiento de los procesos en toda la organización para reducir los riesgos de la información y la tecnología de la información (TI), así como responde a los incidentes, establece normas y controles apropiados, y dirige en el establecimiento y aplicación de políticas y procedimientos. El CISO es generalmente responsable del cumplimiento relacionado con la seguridad de la información.

Responsabilidades y Funciones

– Salvaguardar los activos de la empresa, la propiedad intelectual, cumplimiento normativo y los sistemas informáticos.
– Identificar los objetivos de protección, los objetivos y métricas en consonancia con el plan estratégico corporativo.
– Administrar el desarrollo y la aplicación de la política de seguridad global, normas, directrices y procedimientos para garantizar el mantenimiento continuo de la seguridad de la información y la protección de activos.
– Definir la arquitectura de seguridad de red, acceso a la red y las políticas de monitorización.
– Definir estrategias de seguridad y posición misma en la organización para orientar los objetivos de la seguridad en la consecución de los objetivos de la organización.
– Educación y sensibilización de los empleados. Concienciación y cultura de seguridad en toda la organización destacando el valor que aporta. Toda la organización debe entender el propósito de la seguridad.
– Trabajar con otros ejecutivos para dar prioridad a las iniciativas de seguridad y el gasto sobre la base de la gestión del riesgo apropiadas y / o metodología financiera.
– Desarrollar e implantar un sistema de gestión de la seguridad que permita identificar y dar respuesta a los nuevos riesgos de la organización.
– Estar a cargo de la planificación de respuesta de incidentes, así como la investigación de vulneración de la seguridad, y ayudar con las cuestiones disciplinarias y legales relacionados con las infracciones que sean necesarias.
– Trabajar con consultores externos según sea apropiado para las auditorías de seguridad independientes.
– Dirigir y supervisar permanentemente las actividades de la unidad con el objeto de establecer medidas de mejora continua.
– Formular y conducir el proceso de Planificación Estratégica en Tecnologías de Información y Comunicación. (Actualización: errata de “copy & paste”, ver comentarios más abajo 🙂 )
– Desarrollar el plan operativo anual del área de seguridad.
– Formular el presupuesto anual de la unidad y evaluar su ejecución.
– Formular y conducir la elaboración de los documentos normativos de gestión para el ordenamiento y mejora de las acciones a desarrollar por el resto de áreas.
– Dirigir el Proceso de desarrollo de Políticas y Normativas de Uso y desarrollo de servicios.
– Establecer, revisar, aprobar y mantener actualizada, junto con el Comité de Seguridad, la Política de Seguridad de la organización y las responsabilidades generales en materia de seguridad de la información en cada área de la organización.
– Aprobar las principales iniciativas para el incremento del nivel de seguridad de la información.
– Supervisar los cambios significativos en la exposición de los recursos de información frente a las amenazas más importantes.
– Supervisar los incidentes relativos a la seguridad.
– Garantizar que la seguridad sea parte del proceso de planificación de la información y un requisito más del negocio.
– Evaluar la pertinencia y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios.

El próximo día, los Atributos de un CISO…

… por cierto, me he incorporado al mundo “tweety” 🙂 Si os apetece seguirme: http://twitter.com/infosecmanblog