22 jul 2021

El CISO: el nombramiento que toda pymes debe acometer

Contar con un alto cargo responsable de velar por la seguridad de la información de la compañía es ya obligatorio en algunos sectores, pero también debería ser prioritario en el resto del tejido empresarial en un entorno de transformación digital y en el que el teletrabajo facilita los ataques informáticos.

Cada cierto tiempo surge un nuevo “palabro” anglosajón que se traslada al lenguaje nacional con inusitada rapidez y que al poco tiempo es casi vox populi entre los empresarios. Uno de esos anglicismos que no tardaremos demasiado en degustar en la piel de toro (de hecho ya está presente y es conocido en muchas compañías) es el de Chief Information Security Officer o CISO. Se trata de la persona cuya misión es velar por la seguridad de la información de la compañía. Es decir, el directivo guardián del activo más importante para cualquier empresa en la actualidad: los datos.

Es cierto que al contrario de lo que se dice en el primer párrafo introductorio, el CISO no es un desconocido en buena parte del mundo empresarial. Es más, la directiva europea publicada a principios de año conocida como NIS ya exige que ese rol exista en algunos sectores. En concreto, en operadores y proveedores de servicios esenciales. Además el reglamento establece la necesidad de adoptar medidas técnicas en el ámbito de la seguridad de los datos en función de los riesgos que atañen a las redes de comunicación. Por si fuera poco, la normativa define con claridad que el CISO es el responsable de elaborar la política de seguridad y de notificar a las autoridades cualquier ataque informático que la empresa reciba.

A la vista está que en algunas de las grandes compañías el CISO no es un desconocido. De hecho es hasta un nombramiento obligatorio. No ocurre así en el resto del tejido empresarial. Ni las pymes ni las grandes empresas familiares (salvo que operen en sectores estratégicos) están obligadas, de momento, a contar con un CISO en su organigrama. Pero eso no quiere decir que no sea conveniente contar con él o, en su defecto, con un servicio que cubra el trabajo de este puesto directivo de reciente creación. Y es que el CISO se ha convertido en un rol clave en la gobernanza de la seguridad de la información, lo que es un activo fundamental para moverse en un entorno empresarial dominado por la transformación digital y, por qué no decirlo, la falta de cultura en ciberseguridad en muchas empresas.

Precisamente esa falta de cultura en ciberseguridad es lo que está motivando que las pymes se hayan convertido en los últimos años en uno de los grandes objetivos de los ciberdelincuentes, hasta el punto de ser ahora el sector económico que más ciberataques recibe.

Por si esto no fuera razón suficiente, el Covid ha acelerado la necesidad de tomar decisiones innovadores lo que, irremediablemente, expone aún más a las empresas a los ataques informáticos. Además, está el auge del teletrabajo, que es otra puerta de entrada para los hackers. 

Pero, cuidado, nombrar a un CISO no basta para tener asegurados los datos más sensibles de la empresa y de los clientes. Muy al contrario, para que este directivo ejerza de manera adecuada sus funciones debe trabajar de manera transversal para que su labor esté en sintonía con los objetivos de la empresa. Con esa idea, el Chief Information Security Officer debe pertenecer a la alta dirección dentro del organigrama de la compañía y solo responder ante el presidente o el consejero delegado (CEO). No obstante, debe regirse por la normativa de seguridad interna y de cumplimiento de riesgos que tenga la empresa. En otras palabras, el CISO tiene que mandar pero también debe ser controlado ante la importancia capital de su trabajo.

Como ha ocurrido con anterioridad en puestos directivos de reciente creación, las dificultades para encontrar candidatos acordes con el cargo es máxima, lo que está llevando a que algunas empresas recurran a la contratación a un tercero del servicio del CISO. Normalmente son firmas especializadas en el sector de la ciberseguridad las que prestan apoyo a las compañías. Lejos de lo que pueda parecer, utilizar el outsourcing es una opción adecuada, ya que lo más importante es que la misión de velar por la seguridad de la información no quede desierta.

Las ya comentadas dificultades que existen en el ámbito de la contratación de este directivo se multiplican aún más en España debido al déficit de profesionales de garantías que existen en el sector de la ciberseguridad, una carencia que en estos momentos se está notando más ante el impulso que está experimentado la seguridad informática por la descontrolada transformación digital que se ha iniciado en muchas compañías para adaptarse a un entorno de recuperación post-Covid.

Con todo, y a pesar de las dificultades para cubrir este importantes puesto laboral, las compañías no deben de cejar en su empeño. Contar con un Chief Information Security Officer es ya primordial para alguna sectores y para la mayoría de las grandes empresas españolas. Pero también debería serlo para el tejido empresarial familiar y para las pymes. Conviene no olvidar que nadie está a salvo del ataque de los amigos de lo ajeno en el mundo informático.

Compártelo:

Publicidad

Twitter

cesce_es

Contenido más visitado

Más populares

10 consejos para vender tu nuevo producto o servicio

26132 Accesos

Los seis elementos clave para elaborar un buen presupuesto

24066 Accesos

Conoce los 15 países más endeudados del mundo

18289 Accesos

Breve historia de la inteligencia artificial: el camino hacia la empresa

16165 Accesos

Qué es y para qué sirve el modelo Canvas

9508 Accesos

Te podría interesar

Formulario Asesores de Pymes

Contacta con nosotros

Envíanos tus datos mediante este formulario y nos pondremos en contacto contigo lo antes posible.
Estaremos encantados de ayudarte.

Llámanos 900 115 000 Horario de Atención al Cliente de 8:30 a 19:00 de lunes a jueves y de 8:30 a 16:00 los viernes Escríbenos en Twitter @cesce_es Servicio de consulta en Twitter

Solicita información

Déjanos tus datos y nos pondremos en contacto contigo
Deseo que CESCE me remita información sobre sus productos, servicios, promociones y noticias, por cualquier medio, incluido el electrónico.
Comprendo que CESCE va a tratar mis datos con la finalidad de gestionar mi solicitud y prestarme el servicio solicitado. Así mismo, solo si lo autorizo, CESCE tratará mis datos para mantenerme informado sobre sus productos y servicios por cualquier medio, incluido el electrónico. Entiendo que para más información sobre el tratamiento de mis datos y sobre cómo ejercer mis derechos de Protección de Datos puedo consultar la Política de Privacidad de CESCE.