Un director de seguridad de la información (CISO) es un ejecutivo de alto nivel dentro de una organización responsable de establecer y mantener la visión, la estrategia y el programa de la empresa para garantizar que los activos y las tecnologías de la información estén adecuadamente protegidos. El CISO dirige al personal en la identificación, el desarrollo, la implementación y el mantenimiento de procesos en toda la empresa para reducir los riesgos de la información y la tecnología de la información (TI). Responde a los incidentes, establece estándares y controles adecuados, administra las tecnologías de seguridad y dirige el establecimiento y la implementación de políticas y procedimientos. El CISO también suele ser responsable del cumplimiento relacionado con la información (por ejemplo, supervisa la implementación para lograr la certificación ISO/IEC 27001 para una entidad o una parte de ella). El CISO también es responsable de proteger la información y los activos de propiedad exclusiva de la empresa, incluidos los datos de los clientes y consumidores. El CISO trabaja con otros ejecutivos para asegurarse de que la empresa crezca de manera responsable y ética.
Por lo general, la influencia del CISO alcanza a toda la organización. Sus responsabilidades pueden incluir, entre otras:
Tener un CISO o una función equivalente en las organizaciones se ha convertido en una práctica estándar en las empresas, el gobierno y las organizaciones sin fines de lucro. Para 2009, aproximadamente el 85% de las grandes organizaciones tenían un ejecutivo de seguridad, en comparación con el 56% en 2008 y el 43% en 2006 [ cita requerida ] . En 2018, la Encuesta sobre el estado global de la seguridad de la información 2018 (GSISS), una encuesta conjunta realizada por CIO, CSO y PwC, [1] [2] concluyó que el 85% de las empresas tienen un CISO o equivalente. El papel del CISO se ha ampliado para abarcar los riesgos que se encuentran en los procesos comerciales , la seguridad de la información, la privacidad del cliente y más. Como resultado, ahora existe una tendencia a ya no integrar la función de CISO dentro del grupo de TI. En 2019, solo el 24 % de los CISO reportan a un director de información (CIO), mientras que el 40 % reporta directamente a un director ejecutivo (CEO) y el 27 % pasa por alto al CEO y reporta al directorio. Incorporar la función de CISO bajo la estructura de informes del CIO se considera subóptimo, porque existe un potencial de conflictos de intereses y porque las responsabilidades del rol se extienden más allá de la naturaleza de las responsabilidades del grupo de TI. La estructura de informes para el CISO puede variar según el tamaño de la organización, la industria, el entorno regulatorio y el perfil de riesgo. Sin embargo, la importancia de la seguridad de la información en las empresas actuales ha elevado el rol del CISO a un puesto de nivel superior. [3]
En las corporaciones, la tendencia es que los CISO tengan un sólido equilibrio entre perspicacia empresarial y conocimiento tecnológico. Los CISO suelen tener una gran demanda y su remuneración es comparable a la de otros puestos de nivel C que también tienen un título corporativo similar .
Un CISO típico posee certificaciones no técnicas (como CISSP y CISM ), aunque un CISO que proviene de un entorno técnico tendrá un conjunto de habilidades técnicas ampliado. Otra formación típica incluye gestión de proyectos para gestionar el programa de seguridad de la información, gestión financiera (por ejemplo, poseer un MBA acreditado ) para gestionar los presupuestos de seguridad de la información y habilidades blandas para dirigir equipos heterogéneos de gerentes de seguridad de la información, directores de seguridad de la información, analistas de seguridad, ingenieros de seguridad y gerentes de riesgo tecnológico. Recientemente, dada la participación de los CISO en cuestiones de privacidad, las certificaciones como CIPP son muy solicitadas.
Un desarrollo reciente en esta área es el surgimiento de los CISO "virtuales" (vCISO, también llamados "CISO fraccional"). [4] [5] Estos CISO trabajan de manera compartida o fraccional, para organizaciones que pueden no ser lo suficientemente grandes como para tener un CISO ejecutivo a tiempo completo, o que pueden desear, por diversas razones, tener un ejecutivo externo especializado que desempeñe esta función. Los vCISO suelen realizar funciones similares a los CISO tradicionales, y también pueden funcionar como un CISO "interino" mientras una empresa que normalmente emplea a un CISO tradicional busca un reemplazo. [6] Las áreas clave en las que los vCISO pueden ayudar a una organización incluyen:
{{cite web}}
: CS1 maint: unfit URL (link)