Por Lic. Cristina Caballero

Conocer el rol del CISO en la organización, el perfil y sus funciones es una algo necesario en cualquier organización hoy en día ya que con el crecimiento de la ciberdelincuencia y el impacto negativo que puede llegar a tener en la rentabilidad de las empresas. Muchos roles del departamento de TI están cambiando y este rol de CISO en las organizaciones con un mayor nivel de madurez lo ubican inclusive fuera del área de tecnología , esta función  está tomando cada vez más relevancia en las organizaciones, y están dejando de tener un rol meramente pasivo (conteniendo y corrigiendo amenazas de ciber ataques en su organización), a tener que ser un rol más estratégico en cuanto a la planificación de riesgo de la información y lidereando el desarrollo de una cultura de seguridad de informática. Una actividad que ha estado creciendo es su involucramiento dentro de los proyectos estratégicos de implementación tecnológica dentro de las organizaciones con la finalidad de vigilar que la arquitectura de la solución a implementar no genere un riesgo a la seguridad de la información.

El CISO (Chief Information Security Officer) es la persona dentro de la organización que se encarga de dirigir, orientar y coordinar la estrategia de seguridad de una empresa con el fin último que la seguridad esté alineada a los objetivos de negocio y que las decisiones de aceptar o no determinado riesgo de seguridad en la información sea elevado al más alto nivel en la empresa y con ello se tomen decisiones conscientes entre todos los miembros de la alta dirección; dado lo anterior es  que resulta prioritario alinear la estrategia de seguridad con los objetivos de la empresa. Es un rol destinado a proteger la información de forma adecuada como un activo valioso de la organización y la ciberseguridad en una de las actividades dentro del rol, pero no es la única.

Algunas de sus responsabilidades incluyen:

• Generar e implantar políticas de seguridad de la información.
• Garantizar la seguridad y privacidad de los datos.
• Supervisar la administración del control de acceso a la información.
• Supervisar el cumplimiento normativo de la seguridad de la información.
• Establecer el equipo de respuesta ante incidentes de seguridad de la información de la organización.
• Supervisar la arquitectura de seguridad de la información de la empresa.
• Elaborar un plan director de seguridad.
• Actualizar Políticas y procedimientos de acuerdo con las nuevas tecnologías en el mercado y a las tendencias de ciberseguridad.

De acuerdo con lo establecido en la circular única de bancos en su artículo 168 Bis 13 se establece que “El oficial en jefe de seguridad de la información deberá ser designado por el Director General o, en su caso, por el administrador único, y no deberá tener conflictos de interés respecto del responsable de las funciones de auditoría y tecnologías de la información de la institución de fondos de pago electrónico. Asimismo, no podrá realizar las funciones relacionadas con la operación de la seguridad de la información de la propia institución de fondos de pago electrónico.

El oficial en jefe de seguridad de la información podrá apoyarse, para el ejercicio de sus funciones, en representantes de las diferentes unidades de negocio”.

Esto muestra que para el sector financiero resulta un rol muy importante que requiere la designación de parte del Director General de la institución.

Cristina Caballero

Lic. En Informática Administrativa, forma parte del equipo de consultores de HKMX realizando Análisis de Riesgos, implementación de controles y procesos en tecnologías de información, tiene más de 15 años de experiencia en temas de auditoria de tecnologías de información en el sector bancario. Certificación en CRISC, ISO 27001.