"Aquello que no te mata... debería hacerte más fuerte" ;)
InfoSecMan Blog
El CISO: Responsabilidades y Funciones
16 October 2010Hace unos días preparaba una introducción del rol y características del CISO para un buen amigo y creo que por su “generalidad” puede ser interesante que lo incluya aquí a modo de serie. Como siempre, comentarios bienvenidos.
El CISO (Chief information security officer) es el ejecutivo de alto nivel dentro de una organización responsable de establecer y mantener la visión empresarial, la estrategia y el programa para garantizar que los activos de información están adecuadamente protegidos.
El CISO dirige al personal en la identificación, desarrollo, implementación y mantenimiento de los procesos en toda la organización para reducir los riesgos de la información y la tecnología de la información (TI), así como responde a los incidentes, establece normas y controles apropiados, y dirige en el establecimiento y aplicación de políticas y procedimientos. El CISO es generalmente responsable del cumplimiento relacionado con la seguridad de la información.
Responsabilidades y Funciones
– Salvaguardar los activos de la empresa, la propiedad intelectual, cumplimiento normativo y los sistemas informáticos.
– Identificar los objetivos de protección, los objetivos y métricas en consonancia con el plan estratégico corporativo.
– Administrar el desarrollo y la aplicación de la política de seguridad global, normas, directrices y procedimientos para garantizar el mantenimiento continuo de la seguridad de la información y la protección de activos.
– Definir la arquitectura de seguridad de red, acceso a la red y las políticas de monitorización.
– Definir estrategias de seguridad y posición misma en la organización para orientar los objetivos de la seguridad en la consecución de los objetivos de la organización.
– Educación y sensibilización de los empleados. Concienciación y cultura de seguridad en toda la organización destacando el valor que aporta. Toda la organización debe entender el propósito de la seguridad.
– Trabajar con otros ejecutivos para dar prioridad a las iniciativas de seguridad y el gasto sobre la base de la gestión del riesgo apropiadas y / o metodología financiera.
– Desarrollar e implantar un sistema de gestión de la seguridad que permita identificar y dar respuesta a los nuevos riesgos de la organización.
– Estar a cargo de la planificación de respuesta de incidentes, así como la investigación de vulneración de la seguridad, y ayudar con las cuestiones disciplinarias y legales relacionados con las infracciones que sean necesarias.
– Trabajar con consultores externos según sea apropiado para las auditorías de seguridad independientes.
– Dirigir y supervisar permanentemente las actividades de la unidad con el objeto de establecer medidas de mejora continua.
– Formular y conducir el proceso de Planificación Estratégica en Tecnologías de Información y Comunicación. (Actualización: errata de “copy & paste”, ver comentarios más abajo 🙂 )
– Desarrollar el plan operativo anual del área de seguridad.
– Formular el presupuesto anual de la unidad y evaluar su ejecución.
– Formular y conducir la elaboración de los documentos normativos de gestión para el ordenamiento y mejora de las acciones a desarrollar por el resto de áreas.
– Dirigir el Proceso de desarrollo de Políticas y Normativas de Uso y desarrollo de servicios.
– Establecer, revisar, aprobar y mantener actualizada, junto con el Comité de Seguridad, la Política de Seguridad de la organización y las responsabilidades generales en materia de seguridad de la información en cada área de la organización.
– Aprobar las principales iniciativas para el incremento del nivel de seguridad de la información.
– Supervisar los cambios significativos en la exposición de los recursos de información frente a las amenazas más importantes.
– Supervisar los incidentes relativos a la seguridad.
– Garantizar que la seguridad sea parte del proceso de planificación de la información y un requisito más del negocio.
– Evaluar la pertinencia y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios.
El próximo día, los Atributos de un CISO…
… por cierto, me he incorporado al mundo “tweety” 🙂 Si os apetece seguirme: http://twitter.com/infosecmanblog
3 Comments » | Posted in Gobierno TI, Normativas, Profesion | del.icio.us |
Últimos "tweets" en InfoSecManBlog
- Genial la música ;) @Pmartin_izertis: @InfosecManBlog Genial Café Central 3 years ago
- #offtopic Enjoying good latin jazz with Pepe Rivero, El Negron, Inoidel Gonzalez & Georvis Pico @Cafe Central (Madrid) http://t.co/glFLMhyb 3 years ago
- FYI: @Security_REC: Security Job: Director NERC Cyber Security Solutions sndts.co/7334fb51d9a946… #security 3 years ago
- “@rmogull: “@securosis: New post: Time to Play Nice with SCADA Kids bit.ly/VIagfh” > from @gattaca“ 3 years ago
- +1000 @cibercrimen: Los alumnos creen que van a aprender de mi y se equivocan. Ya tengo unas ideas para aprender todos 3 years ago
Últimas entradas
- Resumen Semanal desde Twitter (2013-06-07)
- Resumen Semanal desde Twitter (2013-05-31)
- Resumen Semanal desde Twitter (2013-05-24)
- Resumen Semanal desde Twitter (2013-05-17)
- Resumen Semanal desde Twitter (2013-05-10)
- Resumen Semanal desde Twitter (2013-05-03)
- Resumen Semanal desde Twitter (2013-04-26)
- Resumen Semanal desde Twitter (2013-04-19)
- Resumen Semanal desde Twitter (2013-04-12)
- Resumen Semanal desde Twitter (2013-04-05)
Me queda duda de este:
“- Formular y conducir el proceso de Planificación Estratégica en Tecnologías de Información y Comunicación.”
Y en base a tu experiencia, que rol atribuyes al CISO con el Plan de Continuidad del Negocio? es el responsable, o es un actor importante?
[…] Samuel Linares Fuente: InfoSecMan Blog […]
Fernando, tienes razón, ese punto es un mal efecto del “copy&paste”, ahora lo modificaré. Sin duda tiene que participar en esa parte incluyendo la seguridad como un requisito más, pero no sería el responsable último del proceso.
En cuanto a su rol en el Plan de Continuidad de Negocio, creo que es un actor muy importante y determinante, pero generalizando y yéndonos a organizaciones grandes y complejas, no tiene por qué ser el responsable del Plan y Proceso asociado. En algunos entornos esa responsabilidad puede tener contenido más que suficiente para ser dedicada de una persona independiente.
Ojo, tampoco tapemos el sol con un dedo. En buena parte de las organizaciones, no muy grandes o con determinados nivel de madurez, el CISO puede ser el más capacitado para asumir ese rol por sus conocimientos de análisis de riesgos, negocio, medidas, sistemas de gestión, etc…. porque no olvidemos que si seguimos “aglutinando”, incluso hay organizaciones que aúnan en una misma persona la figura del CIO y del CISO!! 🙂