Director de Seguridad de la Información
Una de las dudas frecuentes que plantea la implementación de ISO 27001 está relacionada con la figura del Director de Seguridad de la Información. Y es una duda razonable, sobre todo para aquellas pequeñas organizaciones que no cuentan con ese cargo dentro de su nómina de personal.
En primera instancia podemos afirmar que el Director de Seguridad de la Información, no es indispensable en ISO 27001. La norma y el Sistema de Gestión de la Información han sido estructurados de tal forma que es posible operar con eficiencia prescindiendo de esta figura.
Pero cuando decimos que las pequeñas organizaciones pueden prescindir del Director de Seguridad de la Información, no queremos decir que su trabajo resulte inútil en las organizaciones que ya tienen establecido este puesto de trabajo. Por el contrario, su labor adquiere mayor relevancia y trascendencia. Veamos cómo y por qué.
La labor del Director de Seguridad de la Información
En general, el Director de Seguridad de la Información, conocido como CISO por sus iniciales en inglés, es la persona encargada de coordinar las actividades relacionadas con la obtención, tratamiento, almacenamiento y salvaguarda de la información. Y debe hacerlo bajo condiciones de seguridad que impidan su alteración, modificación no autorizada o acceso a personas no acreditadas.
Es aquí donde surge una reflexión importante. El Director de Seguridad de la Información, en una organización, cumple la misma función que ISO 27001. En la práctica, ISO 27001 se convierte en una herramienta de gran eficacia para que el director pueda cumplir con su trabajo. A su vez, la norma encuentra en este colaborador, un gran aliado que garantiza la conformidad con ella. Para ello, el Director de Seguridad de la Información debe:
- Elaborar la lista de partes interesadas relacionadas con la Seguridad de la Información.
- Documentar las necesidades y las expectativas de esas partes interesadas.
- Establecer contacto permanente con autoridades y grupos de interés especial.
- Coordinar y hacer recomendaciones sobre las acciones necesarias para proteger los datos personales y la información en general.
En cuanto a la documentación, el Director también puede contribuir con su trabajo:
- Redactando y proponiendo los documentos relativos a la seguridad de la información, entre ellos, por supuesto, la política de seguridad de la información de la organización.
- Revisando y actualizando los documentos de forma periódica.
En cuanto a la gestión de riesgos:
- Puede enseñar a los empleados a identificar riesgos y hacer una evaluación de ellos.
- Coordinar los procesos de evaluación y tratamiento de riesgos.
- Sugerir la selección y los plazos de implementación de salvaguardias.
En lo relativo a la administración de recursos humanos:
- Realiza verificaciones de antecedentes de los diferentes candidatos a ocupar puestos de trabajo en la organización.
- Prepara el plan de formación, capacitación y concienciación sobre la seguridad de la información en base en las necesidades detectadas en los trabajadores.
- Actúa entrenamientos de inducción en temas de seguridad de la información para nuevos empleados.
- Sugiere acciones disciplinarias contra los empleados que han comprometido la seguridad.
El Director de Seguridad de la Información también puede cumplir funciones relacionadas con la Alta Dirección, la mejora continua, la gestión de activos, la relación con terceros, administración de incidentes, continuidad del negocio y, por supuesto, con los aspectos técnicos requeridos para lograr la conformidad con la norma y asegurar la integridad de la información.
El #DirectorSeguridad de la información en #ISO27001 puede facilitar con su trabajo la conformidad con la norma. Aprenda cómo lo hace. Clic para tuitear¿Quién puede ser el Director de Seguridad de la Información?
En pequeñas organizaciones, estas tareas se pueden añadir a alguien que tenga cierta afinidad con el campo, como un Administrador de Sistemas TI. En organizaciones de mediana estructura, el Gerente de TI, sería el más apropiado. En grandes organizaciones, es natural que exista el cargo definido y de tiempo completo.
Al seleccionar un Director de Seguridad de la Información, el criterio primordial debe ser el conocimiento sobre la tecnología de la información. Pero, tan importante como lo anterior debe ser el conocimiento sobre los procesos de negocio y las habilidades de comunicación interpersonales que posea.
La formación y el conocimiento de la norma ISO 27001 pueden ser un valor añadido crucial que finalmente marque la diferencia en la toma de la decisión.
Diplomado implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013
ISO 27001 es un estándar que ha revolucionado el tema de la seguridad de la información en el mundo. La necesidad de formar profesionales en el área y la creciente demanda de los mismos en las organizaciones modernas, ha hecho que la Escuela Europea de Excelencia ofrezca el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Este programa de formación de Alto Nivel permite a los participantes implementar y auditar un Sistema de Gestión de la Información basado en la norma.
Adquirir esta formación, que puede resultar de gran relevancia para su empresa, es muy sencillo. No dude en conseguir una plaza aquí.
