CEO, CISO, CIO… ¿Roles en ciberseguridad?
Cada vez es más común ver en las tarjetas de visita, al lado del nombre de la persona, alguna sigla como CISO, CIO, CSO, CTO, CEO, entre otras. Estas siglas determinan el cargo que ocupan. Mayoritariamente hacen referencia a puestos de directivos. Pero, ¿Qué responsabilidades conlleva cada una de estas siglas? En este post vamos a detallarlas de una forma resumida para que las conozcas.
Es fácil perderse entre tantas siglas. Cada día es más difícil saber cuáles son las funciones que desempeña cada uno de estos roles. En los últimos años muchos cargos conocidos han sido transformados y readaptados generándose nuevas figuras y con ellas nuevas siglas. Esto ha ocurrido sobre todo en los cargos o perfiles asociados a la tecnología.
Tal y como se indica cuando elaboramos un plan director de seguridad, es imprescindible definir las responsabilidades dentro de nuestra organización, tanto de la información como de los activos, y que éstas estén asociadas a perfiles específicos.
En cualquier organización suelen existir los perfiles de responsable de seguridad, y dependiendo de éste el responsable de información y el responsables de ámbito. Para todos ellos se han establecido las responsabilidades que tienen cada uno para desempeñar su función.
Pero ¿Qué pasa con las figuras que van apareciendo identificadas por siglas? ¿Cuáles son sus funciones? Los más comunes y de los que más hemos oído hablar son los siguientes.
CISO
El CISO (Chief Information Security Officer) es el director de seguridad de la información. Básicamente es un rol desempeñado a nivel ejecutivo y su función principal es la de alinear la seguridad de la información con los objetivos de negocio. De esta forma se garantiza en todo momento que la información de la empresa está protegida adecuadamente.
Como decíamos, cada día van saliendo nuevos roles. Por tanto, muchas de las responsabilidades de un puesto se han ido modificando a lo largo de los años. Sin embargo, para el rol de CISO podemos decir que en general, sus responsabilidades incluyen:
- Generar e implantar políticas de seguridad de la información.
- Garantizar la seguridad y privacidad de los datos.
- Supervisar la administración del control de acceso a la información.
- Supervisar el cumplimiento normativo de la seguridad de la información.
- Responsable del equipo de respuesta ante incidentes de seguridad de la información de la organización.
- Supervisar la arquitectura de seguridad de la información de la empresa.
CSO
El CSO (Chief Security Officer) es el responsable de la seguridad de la organización. Al CSO a veces se le denomina responsable de seguridad corporativa. Podemos pensar que el CISO y el CSO son el mismo rol y que desempeñan las mismas funciones. En organizaciones pequeñas es frecuente que coincidan ambas responsabilidades en una misma persona. Pero realmente no es así. El rol del CISO suele estar más centrado en aspectos de seguridad de la información, mientras que al CSO se le requiere:
- Tener una visión de negocio que comprenda los riesgos que afronta la organización y cómo tratarlos.
- Entender la misión y los objetivos de la empresa y asegurarse de que todas las actividades son planificadas y ejecutadas para satisfacer dichos objetivos.
- Comprender las necesidades normativas, la gestión de la reputación de la organización y las expectativas de los usuarios.
- Establecer los planes de continuidad de negocio y recuperación de desastres en el ámbito de las tecnologías de la información.
- Estar al tanto de los cambios normativos, debiendo informarse de las consecuencias para las actividades de la organización y proponiendo las medidas oportunas para adecuarse al nuevo marco normativo.
Cuando existen CSO y CISO, el CISO reporta al CSO y el CSO a la dirección.
CEO
El CEO (Chief Executive Officer). Es sin lugar a dudas la sigla más conocida. Es el director ejecutivo, el gerente, el cargo más alto dentro del organigrama de la organización. Es el responsable final de las acciones que se lleven a cabo dentro de la empresa, de su desempeño y su eficiencia.
Su función principal es la de supervisar y velar porque la estrategia definida en la empresa cumpla con la consecución de los objetivos de la organización, además de sembrar los principios y pilares básicos a seguir dentro de la empresa.
El CEO tiene una importante relación con el CIO, debido a que las estrategias de las empresas están estrechamente ligadas al ámbito de las tecnologías de la información.
CIO
El CIO (Chief Information Officer), es el gerente de sistemas o director de tecnologías de la información. Reporta directamente al CEO, y se encarga básicamente de que las estrategias de la organización estén alineadas con la tecnología de la información para lograr los objetivos planificados.
Además, se encarga de mejorar los procesos de tecnologías de la información de la organización, gestionar el riesgo y la continuidad de negocio, controlar el coste en infraestructura de tecnologías de la información, alinear el gobierno de tecnologías de la información a los requerimientos tecnológicos, y establecer mejoras e innovaciones de soluciones y productos.
CTO
El rol del CTO (Chief Technology Officer) en un rol similar al CIO pero más «técnico». En este sentido, se han identificado nada menos que seis roles distintos que pueden desempeñar los CTO. Se entremezclan con las funciones de los CIO. Sin embargo podemos decir que es un director técnico, siendo su responsabilidad la gestión del día a día de las tecnologías de la información.
De forma resumida, el organigrama completo de los principales roles en ciberseguridad es:
Estos son los roles más conocidos y más utilizados en una organización. Seguro que irán saliendo nuevos cargos, y con ellos nuevos roles y siglas que los identifique. De hecho y según una importante consultora internacional, todo apunta a que este año aflorarán los roles de Chief Data Officer y Chief Digital Officer (ambas compartirán las mismas siglas, CDO) que coexistirán con las más tradicionales de CIO y CTO, al menos en el corto plazo, por lo que se necesitará una estrecha revisión de las responsabilidades y funciones entre los viejos y los nuevos roles.
Fuente: Incibe.es