El Responsable de la Seguridad de la Información
Desde el mes de abril de 2021 y con motivo de la publicación del Real Decreto 43/2021, que regula la denominada “Ley NIS”, de seguridad de las redes y sistemas de información, es necesario en según qué compañías la inclusión de la figura del Responsable de Seguridad de la Información o CISO (“Chief Information Security Officer” o “CISO”).
En este artículo te contamos te contamos todo lo necesario para conocer las funciones del Responsable de Seguridad de la Información, así como otras cuestiones de interés al respecto.
¿Quién es el Responsable de la Seguridad de la Información?
A pesar de que la figura del CISO se encuentra ya incluida en algunas compañías desde hace un tiempo, no ha sido a partir de la publicación y entrada en vigor del mencionado Real Decreto 43/2021 su figura se ha hecho necesaria en determinadas organizaciones.
El Responsable de Seguridad de la Información en una compañía es aquel que, según el artículo 7 del Real Decreto 43/2021 “responsable de la seguridad de la información que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente”.
Se trata por tanto de la persona responsable de la seguridad de la información y los datos en una compañía, debiendo desarrollar y tratar de implementar políticas de cara a proteger diversas cuestiones como los sistemas, las comunicaciones o los activos de las empresas de las posibles amenazas tanto internas como externas.
El Responsable de Seguridad de la Información no tiene por qué ser necesariamente un trabajador de la compañía, sino que puede serlo de una organización externa a la misma. No obstante, es necesario que la empresa nombre a un sustituto que pueda asumir las funciones del CISO en caso de ausencia, enfermedad o vacante.
Además, podrá tratarse tanto de una única persona o bien de un órgano colegiado. En este ultimo caso será necesario que se designe a una única persona física para la firma de documentos o las actuaciones de intermediación con las autoridades.
Es recomendable, teniendo en cuenta la complejidad de las funciones que se le atribuyen, que el Responsable de Seguridad de la Información sea un profesional con perfil técnico y con conocimientos en informática.
En concreto, el Responsable de Seguridad de la Información deberá contar con capacidades como:
- Conocimientos de informática de carácter avanzado, como puede ser una titulación universitaria en informática.
- Conocimiento en ciberseguridad, así como algo de experiencia en la materia.
- Participar en las cuestiones que afecten a la seguridad de la compañía comunicándose para ello con la dirección de la compañía.
- Independencia respecto a aquellos que sean responsables de los sistemas de información, así como de redes de la compañía.
Responsabilidades
Una vez analizada la figura del Responsable de Seguridad de la Información, es necesario desarrollar las funciones que le corresponden al mismo, diferenciando:
1. La redacción de la Declaración de Aplicabilidad de las medidas de seguridad a implantar en la compañía:
La Declaración de Aplicabilidad se realizará una vez se haya analizado el punto en el que se encuentra la compañía en materia de ciberseguridad. Con la información de dicho análisis se redactará la Declaración mencionada, determinando las medidas ya existentes, así como aquellas a implantar o mejorar.
En cualquier caso, el CISO velará por el cumplimiento de la Declaración de Aplicabilidad, la cual deberá incluir cuestiones como:
- Una lista con las medidas de seguridad y organizativas necesarias.
- Una gestión de riesgos de proveedores o de terceros.
- La adquisición de determinados productos o de servicios de seguridad.
- Diversos planes para el aseguramiento de la continuidad de operaciones.
- Un análisis de riesgos y de la gestión de los mismos.
- La gestión del personal y la profesionalidad del mismo.
- Planes para las mejoras continuas.
- Las interconexiones de sistemas que sean necesarias.
2. La elaboración de un Plan de ciberseguridad:
El Responsable de Seguridad de la Información debe elaborar este Plan a la compañía para mejorar y garantizar la seguridad en esta materia, de tal forma que sea aprobado por la empresa.
Se debe incluir en este plan cuestiones para poder diseñar medidas tanto técnicas como organizativas para así gestionar los riesgos existentes en las redes y los sistemas de información.
3. Formaciones a los empleados:
El Responsable de Seguridad de la Información también deberá ser capaz de formar y capacitar a los trabajadores en materia de seguridad de la información, mostrándoles todas las medidas que se vayan implementando para ello.
4. La supervisión y desarrollo de las medidas y soluciones de seguridad de la información
El CISO deberá supervisar las medidas de seguridad y también los procedimientos correspondientes debiendo controlar la efectividad y llevando a cabo los correspondientes controles de forma periódica.
Tendrá el Responsable de Seguridad de la Información que comprobar la seguridad informática de la empresa para así conocer e identificar los posibles problemas de software, la efectividad de las medidas que se hayan ido aplicando, las políticas de copias de seguridad, etc.
¿Qué empresas necesitan un Responsable de la Seguridad de la Información?
Como se ha mencionado previamente, hay supuestos y según qué compañías que requieren que se implante esta figura en su organización.
En concreto el Real Decreto 43/2021 dispone que el CISO será obligatorio para compañías que sean operadoras de infraestructuras críticas, así como aquellas que ofrecen servicios esenciales o bien, prestadores de servicios de carácter digital.
Se consideran como servicios esenciales los de aquellas compañías que garantizan el funcionamiento correcto de la sociedad y en caso de recibir un ciberataque y como consecuencia se interrumpan sus servicios, pueden ocasionarse graves trastornos en la vida diaria de los ciudadanos.
Todas estas compañías desde el pasado mes de julio de 2021 deberían haber nombrado a un Responsable de Seguridad de la Información.
José María Baños es el socio fundador de Letslaw y abogado multidisciplinar.
Está especializado en derecho mercantil, derecho procesal y en el derecho de las nuevas tecnologías, comercio electrónico, propiedad intelectual y protección de datos.