(CISO, ENS, ISO27001)

CISO Externo Ley 43/2021

¿Las empresas tienen la obligación de contar con un CISO o representante de seguridad de la información?

Segun la ley 43/2021, publicada en el BOE el 26 de enero, las empresas de ciertos sectores, tienen la obligación de contar con un CISO, o persona encargada de la seguridad de los sistemas de la información. Esta resolución obliga a contar con dicha persona en menos de tres meses a partir de la fecha de publicación del boletin oficial del estado. Pero BackCibersecurity os puede ayudar en esta tarea, y las empresas que no sean grandes, o no puedan disponer de esta figura, pueden contratar SERVICIOS EXTERNOS como el nuestro.

¿Qué sectores están obligados a contar con un CISO?

Responsable de la seguridad de la información – Seguridad CISO

Aunque la empresa cuente con un CISO, esta debe facilitar los medios, y poner todo el empeño en realizar sus tareas.

Entre muchas de ellas, listamos un breve compendio:

¿Qué tareas se le pedirá a un CISO?

El puesto o servicio de CISO no será anecdótico, y se le requerirá cumplir con ciertas tareas relacionadas con sus funciones, como son:

a) Elaborar y proponer para aprobación por la organización, de conformidad con lo establecido en el artículo 6.2 de este real decreto, las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios, de conformidad con lo dispuesto en el artículo 6.

b) Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.


c) Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad considerado en el artículo 6.3 párrafo segundo de este real decreto.

d) Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.

e) Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios a los que se refiere el artículo 19.1 del Real Decreto-ley 12/2018, de 7 de septiembre.

f) Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas. 

g) Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa.

Esquema Nacional de Seguridad

El ENS es necesario para toda empresa y todo ciudadano que trabaje o se relacione con las administraciones públicas y organizaciones relacionadas (Administración General del Estado, Administraciones de las Comunidades Autónomas, Administración local, universidades, entidades de derecho privado, etc.).

¿Qué es el ENS?

• Es una norma jurídica que defiende la privacidad de los ciudadanos.
• Proporciona al sector público un planteamiento común de seguridad para la protección de la información.
• Su objetivo es determinar la política de seguridad en la utilización de medios electrónicos.
• Se trata de garantizar las buenas prácticas en la implantación y evolución de la tecnología y las ciberamenazas.
• Es conforme con la regulación internacional y europea.

¿Cuál es el marco regulatorio del ENS?

Tenéis más información sobre todo ello en la web del Centro Criptológico Nacional.

¿Qué medidas de seguridad recoge?

El ENS recoge 75 medidas de seguridad agrupadas en tres puntos:

• Marco organizativo: 4 medidas
• Marco operacional: 31 medidas
• Medidas de protección: 40 medidas

Es por ello por lo que, dependiendo de la actividad y de las medidas que tenga una empresa existen diferentes niveles de certificación. Así hay un nivel de riesgo BAJO, MEDIO o ALTO.

Para los niveles MEDIO o ALTO, la certificación es obligatoria.

En el caso del nivel BAJO es una certificación voluntaria, pero cada vez se precisa más para ser competitivo en el mercado.

Las empresas deben implantar los controles que establece el ENS para cada caso.
La certificación se consigue superando una auditoría de una entidad independiente y autorizada por el Centro Criptológico Nacional.

ISO 27001

ISO/IEC 27001 es un estándar para la seguridad de la información, aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. En España la versión actual de la norma (NTC-ISO-IEC 27001:2013) se encuentra normalizada por el Instituto Madrileño de Normas y Técnicas y Certificación IMONTEC.

¿Qué es la norma ISO 27001?

• Es un standard para la seguridad de la información, de 2005 y mejorado en el 2013.
• Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información
• En España la versión actual de la norma (NTC-ISO-IEC 27001:2013) se encuentra normalizada por el IMONTEC
• Dicha norma es una adopción idéntica (IDT) por traducción de la norma ISO/IEC 27001:2013.

Beneficios que aporta este a los objetivos de la organización

¿ESTRUCTURA DE LA NORMATIVA?

La norma se encuentra dividida en dos partes, siendo la primera de 10 puntos la que nombramos a continuación, y la segunda el Anexo A, en el cual se establecen los objetivos del control.

Objeto y campo de aplicación.
Referencias Normativas.
Términos y Definiciones.
Contexto de la Organización.
Liderazgo.
Planificación.
Soporte.
Operación.
Evaluación del Desempeño.
Mejora