El CISO: Responsabilidades y Funciones
Hace unos días preparaba una introducción del rol y características del CISO para un buen amigo y creo que por su “generalidad” puede ser interesante que lo incluya aquí a modo de serie. Como siempre, comentarios bienvenidos.
El CISO (Chief information security officer) es el ejecutivo de alto nivel dentro de una organización responsable de establecer y mantener la visión empresarial, la estrategia y el programa para garantizar que los activos de información están adecuadamente protegidos.
El CISO dirige al personal en la identificación, desarrollo, implementación y mantenimiento de los procesos en toda la organización para reducir los riesgos de la información y la tecnología de la información (TI), así como responde a los incidentes, establece normas y controles apropiados, y dirige en el establecimiento y aplicación de políticas y procedimientos. El CISO es generalmente responsable del cumplimiento relacionado con la seguridad de la información.
Responsabilidades y Funciones
Autor: Samuel Linares
Fuente: InfoSecMan Blog
El CISO (Chief information security officer) es el ejecutivo de alto nivel dentro de una organización responsable de establecer y mantener la visión empresarial, la estrategia y el programa para garantizar que los activos de información están adecuadamente protegidos.
El CISO dirige al personal en la identificación, desarrollo, implementación y mantenimiento de los procesos en toda la organización para reducir los riesgos de la información y la tecnología de la información (TI), así como responde a los incidentes, establece normas y controles apropiados, y dirige en el establecimiento y aplicación de políticas y procedimientos. El CISO es generalmente responsable del cumplimiento relacionado con la seguridad de la información.
Responsabilidades y Funciones
- Salvaguardar los activos de la empresa, la propiedad intelectual, cumplimiento normativo y los sistemas informáticos.
- Identificar los objetivos de protección, los objetivos y métricas en consonancia con el plan estratégico corporativo. Administrar el desarrollo y la aplicación de la política de seguridad global, normas, directrices y procedimientos para garantizar el mantenimiento continuo de la seguridad de la información y la protección de activos.
- Definir la arquitectura de seguridad de red, acceso a la red y las políticas de monitorización.
- Definir estrategias de seguridad y posición misma en la organización para orientar los objetivos de la seguridad en la consecución de los objetivos de la organización.
- Educación y sensibilización de los empleados. Concienciación y cultura de seguridad en toda la organización destacando el valor que aporta. Toda la organización debe entender el propósito de la seguridad.
- Trabajar con otros ejecutivos para dar prioridad a las iniciativas de seguridad y el gasto sobre la base de la gestión del riesgo apropiadas y / o metodología financiera.
- Desarrollar e implantar un sistema de gestión de la seguridad que permita identificar y dar respuesta a los nuevos riesgos de la organización.
- Estar a cargo de la planificación de respuesta de incidentes, así como la investigación de vulneración de la seguridad, y ayudar con las cuestiones disciplinarias y legales relacionados con las infracciones que sean necesarias.
- Trabajar con consultores externos según sea apropiado para las auditorías de seguridad independientes.
- Dirigir y supervisar permanentemente las actividades de la unidad con el objeto de establecer medidas de mejora continua.
Formular y conducir el proceso de Planificación Estratégica en Tecnologías de Información y Comunicación.(Actualización: errata de “copy & paste” - del autor)- Desarrollar el plan operativo anual del área de seguridad.
- Formular el presupuesto anual de la unidad y evaluar su ejecución.
- Formular y conducir la elaboración de los documentos normativos de gestión para el ordenamiento y mejora de las acciones a desarrollar por el resto de áreas.
- Dirigir el Proceso de desarrollo de Políticas y Normativas de Uso y desarrollo de servicios.
- Establecer, revisar, aprobar y mantener actualizada, junto con el Comité de Seguridad, la Política de Seguridad de la organización y las responsabilidades generales en materia de seguridad de la información en cada área de la organización.
- Aprobar las principales iniciativas para el incremento del nivel de seguridad de la información.
- Supervisar los cambios significativos en la exposición de los recursos de información frente a las amenazas más importantes.
- Supervisar los incidentes relativos a la seguridad.
- Garantizar que la seguridad sea parte del proceso de planificación de la información y un requisito más del negocio.
- Evaluar la pertinencia y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios.
Autor: Samuel Linares
Fuente: InfoSecMan Blog
Excelente. Gran aporte. Cuando pongas mas información vamos a aportar algo.
ResponderBorrarGracias.