red seguridad 074

La gestión de la seguridad como un servicio: el ‘virtual CISO’ L a situación actual de las organiza- ciones es de una fuerte y progresiva dependencia de los sistemas infor- máticos, dentro de un entorno de crecientes amenazas de seguridad y un marco legal y normativo cada vez mayor, a la par que más exigen- te: normativa de protección de datos personales, Esquema Nacional de Seguridad, requisitos de continuidad y recuperación, estándares (ISO 27001, 20000, 22301), requisitos sectoriales (solvencia, PCI-DSS, ley SOX)... Sin duda, la seguridad de la infor- mación y el cumplimiento normati- vo ( compliance ) asociado requieren de una gestión, teniendo el respon- sable de seguridad (el CISO: Chief Information Security Officer ) un papel clave en la misma. Esta labor de gestión está orien- tada, entre otras cosas, a velar por que se implanten los mecanismos de seguridad que estén definidos en los diferentes planes y estrategias. Además, la seguridad de la informa- ción y el cumplimiento normativo aso- ciado no son algo estático, sino que una vez implantados dichos mecanis- mos de seguridad o completado un proceso de adecuación legal/norma- tivo se hace preciso un mantenimien- to. Por lo tanto, las responsabilidades del CISO se extienden a velar por el mantenimiento. Para poder ejercer sus respon- sabilidades, se hace preciso que el CISO tenga un conocimiento amplio y variado, algo que no siempre es posible, sobre todo en organizaciones pequeñas donde su papel podría estar compartido con otras funciones (o simplemente no existir porque no sea rentable ni operativo contar de forma permanente con personal de estas características). Incluso en aquellas organizaciones que dispongan de un CISO a tiempo completo, no es des- cartable que, a veces, pueda necesitar asesoramiento y soporte específico. En este escenario, el poder contar con una Oficina Técnica de seguridad ( virtual CISO ) que preste asistencia especializada alternativa o comple- mentaria a la del CISO, puede ser una opción rentable y eficiente. No estaríamos hablando de una exter- nalización de responsabilidades, sino más bien de un cambio de concepto: gestión de la seguridad como servicio ( CISO as a Service ). El cambio de filosofía sería que, en lugar de contar con recursos internos que puedan tener el conocimiento o el tiempo suficiente para velar por garantizar la seguridad y el cumpli- miento, se contrate un servicio espe- cializado. Dicho esto, se podría plantear una amplia paleta de alternativas para el virtual CISO , desde una modalidad “reactiva”, en la que simplemente se cuente con un soporte bajo deman- da, a veces meramente de carácter consultivo –es decir, lo que podría asimilarse a una especie de pago por uso–, hasta un servicio integral y proactivo que, bajo la forma de un contrato “tarifa plana”, englobe tanto actuaciones de implantación como de mantenimiento de los requisitos normativos y legales de seguridad. opinión 60 red seguridad tercer trimestre 2015 especial seguridad corporativa monográfico Elisa I. García Martín CISA, CISM. Consultora de Seguridad de la Información en Ingenia